Gerenciamento de Risco

Centro de orientaes de segurana
Guia de Gerenciamento de Riscos de Segurana

Viso geral
Publicado em: 15 de Outubro de 2004 A tarefa de implementar um plano de gerenciamento de riscos de segurana pode se mostrar assustadora aos clientes. E isso talvez se deva ao fato de no contarem com os conhecimentos necessrios, oramento ou diretrizes para terceirizar essa tarefa. Para auxiliar tais clientes, a Microsoft criou o Guia de Gerenciamento de Riscos de Segurana. Este guia auxilia todos os tipos de clientes durante o planejamento, criao e manuteno de um programa eficiente de gerenciamento de riscos de segurana. Esse programa envolve quatro fases, descritas a seguir, e es te guia explica como conduzir cada uma dessas fases do programa e como criar um processo contnuo de avaliao e reduo de riscos a um nvel aceitvel.
Este guia no se baseia em uma tecnologia especfica, e faz referncia a diversos padres da indstria aceitos para o gerenciamento de riscos de segurana. Ele um importante exemplo do compromisso da Microsoft em fornecer uma orientao eficaz para auxiliar os seus clientes a garantir a segurana de suas infra-estruturas de tecnologia da informao. Este Guia incorpora experincias reais da equipe de TI da Microsoft, bem como inclui sugestes de clientes e parceiros da Microsoft. Este Guia foi desenvolvido, revisado e aprovado por equipes de especialistas em segurana reconhecidos. Este Guia e outros tpicos de orientao de segurana esto disponveis no Centro de Orientaes de Segurana em http://www.microsoft.com/brasil/security/guidance/default.mspx . Comentrios ou dvidas sobre este guia podem ser enviados (em ingls) a secwish@microsoft.com. Este guia dividido em seis captulos e quatro apndices. Nesta pgina Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana
Captulo 2: Anlise das prticas de gerenciamento de riscos de segurana
Captulo 3: Viso geral do gerenciamento de riscos de segurana
Captulo 4: Avaliando os riscos
Captulo 5: Oferecendo suporte s decises
Captulo 6: Implementando controles e analisando a eficcia do programa
Apndices
Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana

O Captulo 1 apresenta o Guia de Gerenciamento de Riscos de Segurana (GGRS) e fornece uma breve viso geral dos captulos seguintes. Ele fornece tambm informaes sobre os tpicos a seguir: As chaves para o sucesso de um programa de gerenciamento de riscos Principais termos e definies Convenes de estilo Referncias para informaes adicionais Incio da pgina

O Captulo 2 descreve os conceitos fundamentais e apresenta o contexto do GGRS atravs da anlise de outras abordagens ao gerenciamento de riscos de segurana e tpicos relacionados, incluindo com o determinar o nvel de maturidade do gerenciamento de riscos da sua organizao. Incio da pgina

O Captulo 3 fornece uma descrio mais detalhada das quatro fases do processo do Guia de Gerenciamento de Riscos de Segurana e, ao mesmo tempo, apresenta alguns conceitos importantes e as chaves para um processo bem -sucedido. Esse captulo traz tambm sugestes sobre a preparao para o programa atravs do planejamento eficiente e da nfase na criao de uma Equipe de gerenciamento de riscos de segurana com funes e responsabilidades bem definidas. Incio da p gina

O Captulo 4 aborda em detalhes a primeira fase, Avaliando os riscos. As etapas nessa fase incluem o planejamento, a coleta de dados e a priorizao de riscos. A priorizao dos riscos consiste em nveis resumidos e detalhados, utilizando tanto abordagens quantitativas como qualitativas a fim de proporcionar informaes confiveis sobre riscos com uma dosagem uniforme de tempo e esforo. O resultado da fase de avaliao de riscos uma relao dos riscos significativos e sua anlise detalhada, a qual pode ser usada pela equipe para tomar decises de negcios durante a fase seguinte do processo. Incio da pgina

O Captulo 5 aborda a segunda fase, Oferecendo suporte s decises. Durante essa fase, as equipes determinam como abordar os principais riscos de maneira mais eficaz e com custo/benefcio ideal. As
equipes identificam os controles, estimam os custos, ava liam o grau de reduo do risco e, em seguida, determinam que controles devem ser implementados. O resultado da fase de suporte s decises um plano de ao claro e contestvel para controlar ou aceitar cada um dos principais riscos identificados na fase de avaliao de riscos. Incio da pgina

O Captulo 6 aborda as duas ltimas fases do GGRS: Implementando controles e Analisando a eficcia do programa. Durante a fase de implementao de controles, os responsveis pela atenuao de riscos criam e executam planos de acordo com a lista de solues de controle resultante da fase de suporte s decises. Aps a concluso das trs primeiras fases do processo de gerenciamento de riscos de segurana, recomendvel que as organizaes analisem o seu progresso geral em relao ao gerenciamento de riscos de segurana. A fase final, Analisando a eficcia do programa, apresenta o conceito de "Carto de pontuao de riscos de segurana" para auxiliar nesse processo. Incio da pgina
Apndices
Os Apndices incluem:
Apndice A: Avaliaes de risco ad hoc Apndice B: Ativos comuns de sistemas de informaes Apndice C: Ameaas comuns Apndice D: Vulnerabilidades Incio da pgina

Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana
Publicado em: 15 de Outubro de 2004 Nesta pgina Resumo executivo Neste artigo Viso geral A quem este guia se destina Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana Captulo 2: Anlise das prticas de gerenciamento de riscos de segurana Captulo 3: Viso geral do gerenciamento de riscos de segurana Captulo 4: Avaliando os riscos Captulo 5: Oferecendo suporte s decises Captulo 6: Implementando controles e analisando a eficcia do programa Apndice A: Avaliaes de riscos ad hoc Apndice B: Ativos comuns de sistemas de informaes Apndice C: Ameaas comuns Apndice D: Vulnerabilidades Agradecimentos
Escopo deste guia
Fundamentos do sucesso
Principais termos e definies
Convenes de estilo
Obtendo suporte para este guia
Mais informaes
Resumo executivo
Desafios ambientais
A maioria das organizaes reconhece o papel importante que a tecnologia da informao (TI) desempenha para o cumprimento de seus objetivos de negcios. Contudo, as infra -estruturas de TI atuais com alto nvel de conexo existem em um ambiente cada vez mais hostil: ataques so realizados com uma freqncia cada vez maior e exigem uma resposta cada vez mais rpida. Em geral, as organizaes no so capazes de reagir a novas ameaas segurana a tempo de impedir que seus negcios sejam prejudicados. Gerenciar a segurana de suas infra-estruturas, bem como o valor comercial que geram, tem se mostrado o principal desafio dos departamentos de TI. Alm disso, novas leis de proteo de privacidade, obrigaes financeiras e a governana corporativa tm forado organizaes a gerenciar suas infra-estruturas de TI com mais cautela e eficincia do que nunca. Diversos rgos governamentais e as organizaes com as quais conduzem negcios so obrigados por lei a m anter um nvel mnimo de gerenciamento de segurana. Caso no sejam capazes de gerenciar a segurana de forma eficiente, essas organizaes colocam em risco si prprias e os seus executivos devido ao no cumprimento
de responsabilidades legais e fiduciais.
Uma melhor abordagem

A abordagem da Microsoft ao gerenciamento de riscos de segurana proativo e pode auxiliar organizaes de todos os portes a atender aos requisitos apresentados por esses desafios legais e ambientais. Um processo formal de gerenciamento de riscos de segurana permite que as empresas operem com eficcia termos de custo e incorram em um nvel aceitvel de riscos aos negcios. Ele tambm proporciona s empresas um caminho claro e coerente para organizar e priorizar recursos limitados a fim de gerenciar os riscos. Voc descobrir os benefcios do uso do gerenciamento de riscos quando implementar controles eficientes em termos de custo que reduzem riscos a um nvel aceitvel. A definio de risco aceitvel e a abordagem de gerenciamento de riscos variam de acordo com cada organizao. No h uma resposta correta nem incorreta; h diversos modelos de gerenciamento de riscos sendo usados atualmente. Cada modelo equilibra de modo diferente a sua preciso, recursos, tempo, complexidade e subjetividade. Investir em um processo de gerenciamento de riscos baseado em um mtodo de trabalho slido e funes e responsabilidades bem definidas prepara a organizao para que possa determinar suas prioridades, planejar a atenuao de ameaas e criar uma estratgia de resposta a futuras ameaas ou vulnerabilidades aos negcios. Alm disso, um programa de gerenciamento de riscos eficaz pode ajudar a empresa a atender novos requisitos legais.
O papel da Microsoft no gerenciamento de riscos de segurana

Este o primeiro guia de orientao publicado pela Microsoft com enfoque total no gerenciamento de riscos de segurana. Criado a partir da experincia da prpria Microsoft e de seus clientes, este guia foi testado e revisado por clientes, parceiros e revisor es tcnicos durante o seu desenvolvimento. O objetivo desse esforo fornecer um guia preciso e prtico sobre a implementao de um processo de gerenciamento de riscos de segurana que proporcione diversos benefcios, incluindo: Persuadir os clientes a adotar uma postura de segurana proativa e livr-los de um processo frustrante e reativo. Permitir a anlise da segurana, demonstrando o valor dos projetos de segurana. Ajudar os clientes a atenuar de modo eficiente os maiores riscos em seus ambientes em vez de alocar recursos escassos a todos os
possveis riscos.
Viso geral do guia

Este guia usa padres da indstria para apresentar diversos modelos estabelecidos de gerenciamento de riscos em um processo de quatro fases iterativo que busca equilibrar custo e eficcia. Durante um processo de avaliao de riscos, as etapas de qualificao identificam rapidamente os riscos mais graves. Em seguida, realizado o processo de quantificao com base em funes e responsabilidades claramente definidas. Essa abordagem minuciosa e leva a uma compreenso profunda dos riscos mais graves. Juntas, as etapas de qualificao e quantificao do processo de avaliao de riscos fornecem a base necessria para tomar decises informadas quanto aos riscos e como atenu-los de acordo com um processo de negcios inteligente. Observao: no se preocupe caso voc no conhea alguns dos conceitos descritos neste resumo executivo, pois eles sero explicados nos captulos seguintes. Por exemplo, o Captulo 2, "Anlise das prticas de gerenciamento de riscos de segurana", examina as diferenas entre as abordagens quantitativa e qualitativa da avaliao de riscos. O processo de gerenciamento de riscos de segurana da Microsoft permite que as organizaes implementem e mantenham processos para identificar e priorizar os riscos em seus ambientes de TI. Mudar a postura reativa dos clientes para uma postura proativa fundamental para o aprimoramento da segurana em seus ambientes. Uma segurana aprimorada, por sua vez, fomenta uma maior disponibilidade de infra -estruturas de TI e aumenta o valor dos negcios. O processo de gerenciamento de riscos de segurana da Microsoft oferece uma combinao de diversas abordagens, incluindo anlise quantitativa pura, anlise do retorno do inves timento em segurana, anlise qualitativa e prticas recomendadas. importante observar que este guia descreve um processo e no apresenta requisitos tecnolgicos especficos.
Fatores essenciais ao sucesso

H diversos fatores essenciais para garantir uma implementao bemsucedida de um programa de gerenciamento de riscos de segurana em uma organizao. Alguns deles so especialmente importantes e sero aqui descritos; outros sero discutidos na seo "Chaves para o sucesso" mais adiante neste captulo. Em primeiro lugar, o gerenciamento de riscos de segurana estar sujeito ao fracasso caso no conte com o suporte e o compromisso dos executivos da empresa. Quando o gerenciamento de riscos de segurana implementado de cima para baixo, as organizaes po dem
organizar a segurana com relao ao valor dos negcios. Em seguida, uma definio clara das funes e responsabilidades fundamental para um processo bem-sucedido. Os proprietrios de empresa tm a responsabilidade de identificar o impacto de um risco. Alm disso, eles so capazes de estabelecer o valor dos ativos comerciais necessrios para a operao de suas funes. O Grupo de segurana de informaes responsvel por identificar a probabilidade de ocorrncia do risco ao levar em conta controles atuais e os aqui propostos. O grupo de tecnologia da informao responsvel por implementar os controles selecionados pelo comit de orientao de segurana quando a probabilidade de uma explorao apresenta um risco inaceitvel.
Prximas etapas
Investir em um programa de gerenciamento de riscos baseado em um processo slido e realizvel e em funes e responsabilidades bem definidas prepara uma organizao para que possa determinar suas prioridades, planejar a atenuao das ameaas e criar uma estratgia de resposta a ameaas e vulnerabilidades srias. Use este guia para avaliar se est preparado e para obter orientaes quanto ao uso de recursos de gerenciamento de riscos de segurana. Se necessitar ou se desejar obter mais assistncia, entre em conta to com uma equipe de conta da Microsoft ou um parceiro de servios da Microsoft. Incio da pgina
A quem este guia se destina

Este guia foi criado principalmente para consultores, especialistas em segurana, arquitetos de sistemas e profissionais de TI responsveis pelas etapas de planejamento do desenvolvimento e da implementao de aplicativos ou infra-estrutura que englobem diversos projetos. Esses profissionais em geral ocupam os seguintes cargos: Arquitetos e planejadores responsveis pela conduo dos trabalhos de arquitetura em suas organizaes Membros da equipe de segurana de TI dedicados exclusivamente a promover a segurana em todas as plataformas de uma organizao Auditores de segurana e de informtica responsveis por assegurar que as organizaes tomem medidas de precauo adequadas proteo dos seus principais ativos comerciais Executivos seniores, analistas de negcios e responsveis por decises de negcios cujos objetivos e necessidades principais precisam de suporte de TI Consultores e parceiros que necessitam de ferramentas de transferncia de conhecimento para parceiros e clientes corporativos. Incio da pgina
Escopo deste guia

Este guia descreve como planejar, implementar e manter um processo
bem-sucedido de gerenciamento de riscos de segurana em organizaes de todos os portes e ramos de negcios. O seu contedo explica como conduzir cada fase de um projeto de gerenciamento de riscos e como torn-lo um processo contnuo que fornea organizao os controles mais teis e eficazes em termos de custo para a atenuao dos riscos de segurana.
Viso geral do contedo

O Guia de Geren ciamento de Riscos de Segurana apresenta seis captulos, brevemente descritos abaixo. Cada captulo apresenta medidas prticas completas necessrias para iniciar e operar com eficincia um processo de gerenciamento de riscos de segurana em sua organizao. Subseqentes aos captulos esto alguns apndices e ferramentas que podem auxiliar na organizao dos projetos de gerenciamento de riscos de segurana.
'Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana

Este captulo apresenta o guia e fornece uma viso geral resumida dos captulos seguintes.
Captulo 2: Anlise das prticas de gerenciamento de riscos da segurana

importante estabelecer os fundamentos do processo de gerenciamento de riscos de segurana da Microsoft atravs da reviso dos diferentes mtodos usados por organizaes no passado para o gerenciamento de riscos de segurana. Os leitores experientes em gerenciamento de riscos de segurana podem consultar rapidamente esse captulo; os iniciantes em gerenciamento de riscos ou em segurana deveriam l -lo por inteiro. O captulo traz inicialmente uma reviso dos pontos fortes e fracos de abordagens proativas e reativas ao gerenciamento de riscos. Em seguida, ele faz uma reviso detalhada do conceito de maturidade do gerenciamento de riscos corporativos apresentado no Captulo 1, "Introduo ao Guia de Gerenciamento de Riscos de Segurana". Por fim, o captulo avalia e compara o gerenciamento de risco qualitativo ao gerenciamento de risco quantitativo, os dois mtodos tradicionais de gerenciamento. O processo apresentado como um mtodo alternativo que representa um equilbrio entre esses dois mtodos, resultando em um processo comprovadamente eficaz na Microsoft.

Esse captulo fornece uma descrio mais detalhada do processo de
gerenciamento de riscos de segurana da Microsoft, bem como apresenta alguns dos conceitos fundamentais e as chaves para seu sucesso. Alm disso, ele oferece sugestes sobre como preparar-se para o processo atravs de um planejamento eficaz e da criao de uma Equipe de gerenciamento de riscos de segurana slida com funes e responsabilidades bem definidas.

Esse captulo explica em detalhes a fase de avaliao de riscos do processo de gerenciamento de riscos de segurana da Microsoft. As etapas nessa fase incluem o planejamento, a facilitao da coleta de dados e a priorizao dos riscos. O processo de avaliao de riscos consiste em diversas tarefas, algumas das quais podem apresentar desafios a uma organizao de grande porte. Por exemplo, a identificao e determinao dos valores dos ativos comerciais podem ser um processo demorado. Outras tarefas, como a identificao de ameaas e vulnerabilidades, exigem um conhecimento tcnico especializado. Os desafios associados a essas tarefas demonstram a importncia de um planejamento adequado e da criao de uma Equipe forte de gerenciamento de riscos de segurana, como enfatizado no Captulo 3, "Viso geral do gerenciamento de riscos de segurana". Durante a priorizao de riscos resumida, a Equipe de gerenciamento de riscos de segurana usa uma abordagem qualitativa para filtrar a lista completa de riscos de segurana de modo a identificar rapidamente as ameaas mais graves a serem analisadas em detalhes. Em seguida, os riscos mais graves so minuciosamente analisados usando tcnicas quantitativas. Os resultados compem uma lista resumida dos riscos mais graves e mtricas detalhadas que podem ser usadas pela equipe para tomar decises prudentes durante a fase seguinte do processo.

Durante a fase de suporte s decises do processo, a Equipe de gerenciamento de riscos de segurana determina como abordar os principais riscos da maneira mais eficaz em termos operacionais e de custo. A equipe identifica os controles, determina os custos associados aquisio, implementao e suporte de cada controle, avalia o grau de reduo do risco alcanado por cada controle e, por fim, colabora com o comit de orientao de segurana para determinar que controles implementar. O resultado final um plano de ao preciso para controlar ou aceitar cada um dos principais riscos identificados na fase de avaliao de riscos.

Esse captulo aborda as duas ltimas fases do Guia de Gerenciamento de Riscos de Segurana: Implementando controles e Analisando a eficcia do programa. A fase de implementao de controles auto explicativa: os responsveis pela atenuao de riscos criam e executam planos de acordo com a lista de solues de controle resultante da fase de suporte s decises a fim de atenuar os riscos identificados na fase de avaliao de riscos. Esse captulo fornece links orientao prescritiva que pode ser til aos responsveis pela atenuao de riscos da sua organizao ao lidarem com diversos riscos. A fase de anlise da eficcia do programa uma etapa contnua usada pela Equipe de gerenciamento de riscos de segurana para verificar periodicamente se os controles implementados na fase precedente esto apresentando o grau de proteo esperado. A segunda etapa dessa fase a estimativa do progresso geral obtido pela organizao em relao ao gerenciamento de riscos de segurana como um todo. O captulo apresenta o conceito de um "Carto de pontuao de riscos" que pode ser usado para controlar o desempenho da sua organizao. Finalmente, o captulo explica a importncia de monitorar alteraes no ambiente de computao, como a adio ou remoo de sistemas e aplicativos ou a ocorrncia de novas ameaas e vulnerabilidades. Esses tipos de alteraes podem exigir uma resposta rpida por parte da organizao a fim de proteger -se contra riscos novos e em evoluo.
Apndice A: Avaliaes de risco ad hoc

Esse apndice compara o processo formal de avaliao de riscos corporativos abordagem de avaliao ad-hoc adotada por diversas organizaes. Ele destaca as vantagens e desvantagens de cada mtodo e sugere o momento ideal para usar cada um deles.
Apndice B: Ativos comuns de sistemas de informaes

Esse apndice relaciona os ativos de sistemas de informaes comumente encontrados em organizaes de vrios portes. Ele no pretende apresentar uma lista exaustiva, e improvvel que e ssa lista represente todos os ativos presentes no ambiente exclusivo de sua organizao. Portanto, essencial personalizar a lista durante o processo de avaliao de riscos. Ela fornecida apenas como referncia e serve de ponto inicial para auxiliar no comeo do processo em sua organizao.
Apndice C: Ameaas comuns

Esse apndice relaciona as ameaas capazes de afetar diversos tipos de organizaes. Essa lista no exaustiva e, por ser esttica, poder ficar desatualizada. Sendo assim, essencial remover as ameaas que no sejam relevantes sua organizao e adicionar as novas ameaas identificadas durante a fase de avaliao do projeto. Ela fornecida apenas como referncia e serve de ponto inicial para auxiliar no comeo do processo em sua organizao.
Apndice D: Vulnerabilidades
Esse apndice relaciona as vulnerabilidades capazes de afetar diversos tipos de organizaes. Essa lista no exaustiva e, por ser esttica, poder ficar desatualizada. Sendo assim, essencial remover as vulnerabilidades que no sejam relevantes sua organizao e adicionar as novas vulnerabilidades identificadas durante a fase de avaliao do projeto. Ela fornecida apenas como referncia e serve como ponto de partida para a organizao iniciar o processo.
Ferramentas e modelos
Um conjunto de ferramentas e modelos acompanha este guia para facilitar a implementao do processo de gerenciamento de riscos de segurana da Microsoft em sua organizao. Essas ferramentas e modelos esto includos em um arquivo compactado de auto-extrao do WinZip disponvel no Centro de Download. Observe que o download contm tambm uma cpia deste guia. Quando voc extrai os arquivos do arquivo compactado baixado, a seguinte estrutura de pastas criada no local especificado: \Guia de Gerenciamento de Riscos de Segurana Contm a verso em PDF (Portable Document Format) do arquivo deste guia. \Guia de Gerenciamento de Riscos de Segurana \Ferramentas e modelos Contm os seguintes arquivos: Modelos de coleta de dados (FerramentaGGRS1-Ferramenta de coleta de dados.doc). Esse modelo pode ser usado na fase de avaliao de riscos durante os workshops descritos no Captulo 4, "Avaliando riscos". Planilha de anlise de risco de nvel resumido (FerramentaGGRS2-Nvel de risco resumido.xls). Essa planilha do Microsoft Excel ajudar sua organizao a conduzir a primeira fase de anlise de riscos: a anlise resumida. Planilha de anlise de risco de nvel detalhado (FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls). Essa planilha do Microsoft Excel ajudar sua organizao a
conduzir uma anlise exaustiva dos principais riscos identificados durante a anlise resumida. Exemplo de agendamento (FerramentaGGRS4-Exemplo de agenda de projeto.xls). Essa planilha do Excel mostra um agendamento resumido do projeto de gerenciamento de riscos de segurana da Microsoft. Ele inclui as fases, etapas e tarefas discutidas neste guia. Incio da pgina
Fundamentos do sucesso
Sempre que uma organizao se engaja em uma nova iniciativa, diversos elementos fundamentais devem estar presentes para garantir o sucesso desse esforo. A Microsoft identificou os componentes que devem estar presentes ao iniciar a implementao de um processo bem-sucedido de gerenciamento de riscos de segurana, e que devem permanecer presentes durante esse processo. So eles: O patrocnio executivo. Um lista bem definida dos interessados no gerenciamento de riscos. Maturidade corporativa em rela o ao gerenciamento de riscos. Uma atmosfera de comunicaes abertas. O esprito de equipe. Uma viso holstica da organizao. Autoridade da Equipe de gerenciamento de riscos de segurana.
As sees seguintes abordam os elementos necessrios durante o processo inteiro de gerenciamento de riscos de segurana. Itens adicionais relevantes a fases especficas sero descritos nos captulos referentes a cada fase respectiva.
Patrocnio executivo
Os administradores seniores devem oferecer um suporte inequvoco e entusiasta ao processo de gerenciamento de riscos de segurana. Sem esse suporte, os interessados nessa iniciativa podem vir a resistir ou a se opor aos esforos de implementao do gerenciamento de riscos para tornar mais segura a organizao. Alm disso, sem um patrocnio executivo inequvoco, funcionrios individuais podero ignorar as diretivas sobre como realizar o trabalho ou ajudar a proteger os ativos da organizao. H diversas razes pelas quais os funcionrios talvez se recusem a cooperar. Entre elas est uma resistncia geral a mudanas; a falta de conscincia da importncia do gerenciamento eficaz de riscos de segurana; a crena equvoca de que eles como indivduos detm uma compreenso slida de como proteger os ativos comerciais, mesmo que seu ponto de vista no seja amplo e abrangente como o da Equipe de gerenciamento de riscos de segurana; ou a crena de que o seu departamento na empresa nunca seria alvo de possveis ataques.
O patrocnio envolve o seguinte:
Delegao de autoridade e responsabilidade Equipe de gerenciamento de riscos de segurana sobre um projeto cujo escopo tenha sido claramente definido Apoio participao de todos os funcionrios, conforme necessrio Alocao de recursos suficientes, como recursos humanos e fundos Apoio inequvoco e entusiasta ao processo de gerenciamento de riscos de segurana Participao na reviso dos resultados e recomendaes do processo de gerenciamento de riscos de segurana
Um lista bem definida dos interessados no gerenciamento de riscos

Este guia com freqncia menciona os interessados, os quais, neste contexto, indicam os membros da organizao que tm interesse nos resultados do processo de gerenciamento de riscos de segurana. A Equipe de gerenciamento de riscos de segurana necessita conhecer todos os interessados, inclusive os membros da prpria equipe e os patrocinadores executivos. Isso inclui ainda os indivduos responsveis pelos ativos comerciais a serem avaliados. A equipe de TI responsvel pela criao, implementao e gerenciamento dos ativos comerciais tambm faz parte do grupo de interessados. Os interessados devem ser identificados de forma que possam participar no processo de gerenciamento de riscos de segurana. A Equipe de gerenciamento de riscos de segurana deve dedicar algum tempo para auxiliar essas pessoas a compreender o processo e o modo em que ele as ajudar a proteger seus ativos e economizar dinheiro a longo prazo.
Maturidade corporativa em relao ao gerenciamento de riscos.

Em uma organizao que no possua um processo de gerenciamento de riscos de segurana, a implementao de todo o processo de gerenciamento de riscos de segurana da Microsoft pode resultar em mudanas radicais e demasiadamente rpidas. Mesmo em uma organizao com processos informais, como esforos aleatrios iniciados em resposta a problemas de segurana especficos, a implementao do processo poder parecer um desafio grande demais. Contudo, ele poder se mostrar eficaz em organizaes mais maduras em termos de gerenciamento de riscos. A maturidade fica evidente atravs de aspectos como processo de segurana bem definidos e a compreenso e aceitao profundas do gerenciamento de riscos de segurana em diversos nveis corporativos. O Captulo 3, "Viso geral do gerenciamento de riscos de segurana", discute o conceito de
maturidade de gerenciamento de riscos de segurana e como calcular o nvel de maturidade da sua organizao.
Uma atmosfera de comunicaes abertas

Diversas organizaes e projetos operam de acordo com a necessidade de conhecimento momentnea, o que, em geral, causa mal-entendidos e prejudica a capacidade de uma equipe de criar uma soluo bemsucedida. O processo de gerenciamento de riscos de segurana da Microsoft exige uma abordagem de comunicaes abertas e honestas, tanto no mbito da equipe como dos interessados. Um fluxo contnuo de informaes no s reduz os riscos de mal-entendidos e o desperdcio de esforos como tambm assegura que todos os membros da equipe possam contribuir para a reduo de incertezas que afetem o projeto. A discusso aberta e honesta sobre os riscos identificados e os controles que podem ser usados para atenuar esses riscos essencial para o sucesso do processo.
O esprito de equipe
A fora e a vitalidade dos relacionamen tos entre os indivduos envolvidos no processo de gerenciamento de riscos de segurana da Microsoft afetaro imensamente o resultado dos esforos. Independentemente do apoio demonstrado pelos administradores seniores, os relacionamentos desenvolvidos entre a equipe, os gerentes de segurana e o resto da organizao so cruciais para o sucesso geral do projeto. extremamente importante que a Equipe de gerenciamento de riscos de segurana fomente um esprito de colaborao em equipe com cada um dos representantes das diversas unidades de negcios com as quais trabalham durante a realizao do projeto. A equipe pode simplificar isso demonstrando de modo eficaz aos gerentes das unidades de negcios o valor comercial do gerenciamento de riscos de segurana, bem como expor aos funcionrios de que forma o projeto poder, a longo prazo, facilitar o seu trabalho.
Uma viso holstica da organizao

Todos os participantes envolvidos no processo de gerenciamento de riscos de segurana da Microsoft, especialmente a Equipe de gerenciamento de riscos de segurana, devem levar em conta a organizao toda ao realizar o seu trabalho. O que ideal para um determinado funcionrio pode no ser ideal para a organizao como um todo. Do mesmo modo, o que vantajoso para uma unidade de negcios pode no apresentar vantagens para a organizao toda. Os funcionrios e os gerentes de uma determinada unidade de negcios tentaro instintivamente orientar o processo de forma que beneficie a eles prprios e aos seus departamentos na organizao.
Autoridade durante o processo

Os participantes no processo de gerenciamento de riscos de segurana da Microsoft assumem a responsabilidade pela identificao e controle dos riscos mais graves que podem afetar a organizao. A fim de efetivamente atenuar esses riscos atravs da implementao de controles sensatos, eles precisaro tambm de autoridade suficiente para realizar as mudanas necessrias. Os membros da equipe devem ter a autoridade necessria para serem capazes de cumprir as metas a eles atribudas. A concesso de autoridade determina que os membros da equipe recebam os recursos necessrios para realizar o seu trabalho, sejam responsveis pelas decises que afetem esse trabalho e compreendam os limites de sua autoridade e as vias de delegao disponveis para lidar com questes fora desses limites. Incio da pgina
Principais termos e definies

A terminologia relacionada ao gerenciamento de riscos de segurana s vezes pode ser de difcil compreenso. s vezes, um termo facilmente reconhecido pode ser interpretado de modo diferente por diferentes pessoas. Por essas razes, importante que voc compreenda as definies usadas pelos autores deste guia para termos importantes empregados aqui com freqncia. Muitas das definies descritas abaixo so originrias de documentos publicados por duas outras organizaes: ISO (International Standards Organization) e IETF (Internet Engineering Task Force). Os endereos na Web dess as organizaes so fornecidos na seo "Mais informaes", mais adiante neste captulo. A lista a seguir fornece uma viso consolidada dos componentes-chave do gerenciamento de riscos de segurana. Expectativa de perda anual (EPA) O valor total que uma organizao perder em um ano se nada for feito para atenuar o risco. Taxa de ocorrncia anual (TOA) O nmero de vezes que se prev que um risco ocorrer em um ano. Ativo Qualquer elemento de valor em uma organizao, como componentes de hardware e software, dados, pessoas e documentao. Disponibilidade A propriedade de um sistema ou recurso de sistema que garante que ele poder ser acessado e utilizado a qualquer momento por um usurio autorizado desse sistema. A disponibilidade uma car acterstica essencial de um sistema seguro. CID Consulte Confidencialidade, Integridade e Disponibilidade . Confidencialidade A propriedade que garante que as informaes no ficaro disponveis nem sero divulgadas a indivduos, entidades ou processos no autorizados (ISO 7498-2).
Controle Um mtodo organizacional, procedimental ou tecnolgico de gerenciamento de riscos; um sinnimo de salvaguarda ou contramedida. Anlise de custo/benefcio A estimativa e a comparao do valor relativo e do custo associado a cada controle proposto, de forma que os controles mais eficazes nesses termos sejam implementados. Suporte a decises Priorizao do risco de acordo com uma anlise de custo/benefcio. O custo da soluo de segurana para atenuar um risco ponderado em relao ao benefcio obtido pela atenuao do risco. Defesa em profundidade Uma abordagem que utiliza diversas camadas de segurana para oferecer proteo contra a falha de qualquer um dos componentes de segurana. Explorao Um modo de utilizar uma vulnerabilidade a fim de comprometer as atividades de negcios ou a segurana das informaes. Exposio Uma ao causada por uma ameaa que faz com que dados confidenciais sejam divulgados a uma entidade no autorizada (RFC 2828). O processo de gerenciamento de riscos de segurana da Microsoft refina essa definio de forma que se refira especialmente aos danos causados a um ativo comercial. Impacto A perda geral nos negcios prevista quando uma ameaa explora uma vul nerabilidade e prejudica um ativo. Integridade A propriedade dos dados que assegura que eles no sejam alterados nem destrudos de modo no autorizado (ISO 74982). Atenuao Ao de tomar medidas contra um risco projetadas para impedir a ameaa subjacente. Soluo de atenuao A implementao de um controle organizacional, procedimental ou tecnolgico que visa gerenciar um risco de segurana. Probabilidade O grau de segurana com que se pode esperar a realizao de um evento. Gerenciamento de risco qualitativo Um mtodo de gerenciamento de riscos no qual os participantes atribuem valores relativos aos ativos, aos riscos, aos controles e ao impacto. Gerenciamento de risco quantitativo Um mtodo de gerenciamento de riscos no qual os participantes tentam atribuir valores numricos objetivos (por exemplo, valores monetrios) aos ativos, aos riscos, aos controles e ao impacto. Reputao O conceito que uma organizao goza no mercado. A reputao da maioria das empresas apresenta um valor real, mesmo sendo intangvel e difcil de ser calculado.
Retorno do investimento em segurana O valor monetrio total que se prev que uma organizao economize anualmente ao implementar um controle de segurana. Risco A combinao da probabilidade de um evento ocorrer e as suas conseqncias. (Guia ISO 73). Avaliao do risco O processo pelo qual os riscos so identificados e o seu impacto, determinado. Gerenciamento de riscos O processo de determinao de um nvel de risco aceitvel que envolve avaliar o nvel de risco atual, tomar medidas para reduzir o risco a um nvel aceitvel e manter aquele nvel de risco. Expectativa de perda nica (EPU) O valor da receita total perdida devido a uma nica ocorrncia de um risco. Ameaa Uma causa potencial de um impacto indesejado em um sistema ou organizao. (ISO 13335 -1). Vulnerabilidade Quaisquer falhas, processo administrativo, ato ou exposio fsica que permita que um ativo de informaes seja explorado por uma ameaa. Incio da pgina
Convenes de estilo
Este guia utiliza as seguintes convenes de estilo e terminologia. Tabela 1: Convenes de estilo Elemento Observao Significado Chama a a teno do leitor para informaes complementares. Exemplo Woodgrove Avisa ao leitor que o contedo est associado organizao fictcia usada como exemplo, "Woodgrove Bank".
Obtendo suporte para este guia

Este guia procura descrever de maneira clara um processo que pode ser seguido pelas organizaes para implementar e manter um programa de gerenciamento de riscos de segurana. Se voc necessita de assistncia na impl ementao de um programa de gerenciamento de riscos, entre em contato com a equipe da sua conta da Microsoft. No h atendimento telefnico disponvel para este documento. Comentrios ou dvidas sobre este guia devem ser enviados (em ingls) para secwish@m icrosoft.com. Incio da pgina
Incio da pgina
Mais informaes
As fontes de informaes a seguir eram as mais recentes disponveis sobre tpicos estritamente relacionados ao gerenciamento de riscos de segurana no momento em que este guia foi publicado. O MOF (Microsoft Operations Framework) fornece orientaes que
permitem que as organizaes proporcionem aos seus sistemas cruciais confiabilidade e disponibilidade e a facilidade de suporte e de gerenciamento de produtos e tecnologias da Microsoft. O MOF proporciona orientaes sobre operaes na forma de documentos oficiais, guias de operao, ferramentas de avaliao, prticas recomendadas, estudos de caso, modelos, ferramentas de suporte e servios. Essa orientao aborda questes relacionadas a pessoas, processos, tecnologia e gerenciamento associadas a ambientes de TI complexos, distribudos e heterogneos. Para obter mais informaes sobre o MOF consulte www.microsoft.com/mof (site em ingls). O MSF (Microsoft Solutions Framework) pode ajud -lo a executar com xito os planos de ao criados como parte do processo de gerenciamento de riscos de segurana da Microsoft. Projetado para auxiliar organizaes a fornecer solues de alta tecnologia de forma pontual e dentro do oramento proposto, o MSF uma abordagem focada e disciplinada voltada a projetos de tecnologia, alm de ser baseada em um conjunto definido de princpios, modelos, disciplinas, conceitos, diretrizes e prticas comprovadas da Microsoft. Para obter mais informaes sobre o MSF, consulte www.microsoft.com/msf (site em ingls). O Centro de Orientaes de Segurana Microsoft oferece um conjunto bem-organizado e completo de documentos que abordam diversos tpicos relacionados segurana. O Centro de Orientaes de Segurana pode ser acessado em www.microsoft.com/security/guidance/ default.mspx. O Microsoft Windows 2000 Server Solution for Security uma soluo de orientao que pretende ajudar a reduzir as vulnerabilidades de segurana e diminuir o custo do gerenciamento de segurana e exposio em ambientes do Microsoft Windows 2000. Os captulos 2, 3 e 4 do guia Microsoft Windows 2000 Server Solution for Security compem as primeiras orientaes sobre o gerenciamento de riscos de segurana publicado pela Microsoft, que foi chamado de Disciplina de gerenciamento de riscos de segurana. O guia que voc est lendo substitui o contedo de gerenciamento de riscos de segurana no guia Microsoft Windows 2000 Server Solution for Security . Esse guia est disponvel em http://go.microsoft.com/ fwlink/?LinkId=14837. O NIST (National Institute for Standards and Technology) oferece um guia excelente sobre o gerenciamento de riscos chamado Risk Management Guide for Information Technology Systems (janeiro de 2002). Ele est disponvel em http://csrc.nist.gov/publications/nistpubs/800 -30/ sp800-30.pdf . O NIST oferece tambm um guia chamado The Security SelfAssessment Guide for Information Technology Systems (novembro de
2001) sobre como realizar uma avaliao de segurana em sua prpria organizao. Ele est disponvel em http://csrc.nist.gov/publications/nistpubs/800 -26/ sp800-26.pdf . O ISO oferece um cdigo de prticas detalhado conhecido como Information technology Code of practice for information security management, tambm chamado de ISO 17799. Ele pode ser comprado em www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail? CSNUMBER=33441&ICS1=35&ICS2=40&ICS3=. O ISO j publicou vrios outros documentos sobre padres, alguns dos quais mencionados neste guia. Eles podem ser comprados em www.iso.org. O CERT (Computer Emergency Response Team), localizado no Instituto de Engenharia de Software da Universidade Carnegie -Mellon, criou o OCTAVE (Operationally Critical Threat, Asset, and Vulnerability EvaluationSM ), um mtodo de planejamento e auto-avaliao de riscos. Para obter mais informaes sobre o OCTAVE, consulte www.cert.org/octave (site em ingls). O CobiT (Control Objectives for Information and Related Technology) oferece padres amplamente aceitos e aplicveis para garantir prticas recomendadas de controle e segurana de TI, as quais forneam uma estrutura de referncia para gerentes, usurios e responsveis pela auditoria, controle e segurana de sistemas de informaes. Ele pode ser comprado online no site do IT Governance Institute em www.itgi.org/cobit. O IETF publicou o RFC (Request for Comments) 2828, um documento disponvel ao pblico que fornece definies padro de diversos termos relacionados segurana de sistemas de informaes. Ele est disponvel em www.faqs.org/rfcs/rfc2828.html. Incio da pgina
2 de 12

Publicado em: 15 de Outubro de 2004 Este captulo traz inicialmente uma reviso dos pontos fortes e fracos das abordagens proativa e reativa ao gerenciamento de riscos. Em seguida, feita uma avaliao e comparao entre o gerenciamento de risco qualitativo e o gerenciamento de risco quantitativo, os dois mtodos tradicionais de gerenciamento. O gerenciamento de riscos de segurana da Microsoft apresentado como um mtodo alternativo que busca um equilbrio entre esses dois mtodos, resultando em um processo comprovadamente eficiente ao ser usado pela Microsoft. Observao: importante estabelecer os fundamentos do processo de gerenciamento de riscos de segurana da Microsoft ao revisar os diferentes mtodos usados por organizaes no passado para o gerenciamento de riscos de segurana. Os leitores experientes em gerenciamento de riscos de segurana podem consultar rapidamente este captulo; os iniciantes em gerenciamento de riscos ou em segurana deveriam l -lo por inteiro. Nesta pgina Comparando ab ordagens ao gerenciamento de riscos Neste artigo Viso geral Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana Captulo 2: Anlise das prticas de gerenciamento de riscos de segurana Captulo 3: Viso geral do gerenciamento de riscos de segurana Captulo 4: Avaliando os riscos Captulo 5: Oferecendo suporte s decises Captulo 6: Implementando controles e analisando a eficcia do programa Apndice A: Avaliaes de riscos ad hoc O processo de gerenciamento de riscos de segurana da Microsoft Apndice B: Ativos comuns de sistemas de informaes Apndice C: Ameaas comuns Apndice D: Vulnerabilidades Agradecimentos
Abordagens priorizao de riscos
Comparando abordagens ao gerenciamento de riscos

Em muitas organizaes, a adoo do gerenciamento de riscos de segurana nasceu da necessidade de responder a um incidente de segurana relativamente pequeno. Por exemplo, o computador de um dos funcionrios foi infectado por um vrus, e um gerente de departamento, tambm responsvel por questes tcnicas, ficou encarregado de excluir o vrus sem destruir o computador ou os seus dados. Qualquer que tenha sido o incidente, medida que aumenta o nmero de incidentes de segurana, e que esses passam a afetar os negcios, diversas organizaes experimentam a frustrao de ter de lidar com uma crise aps a outra. Essas organizaes buscam uma alternativa a esse mtodo de reao a incidentes, ou seja, uma nova abordagem que possa reduzir a probabilidade de que incidentes de segurana ocorram. As organizaes que gerenciam riscos efetivamente tendem a evoluir e adotar um mtodo proativo, contudo voc ver neste captulo que esse mtodo apenas uma parte da soluo.
A abordagem reativa
Atualmente, diversos profissionais de informtica sentem -se pressionados a realizar suas tarefas da maneira mais rpida possvel e sem causar inconvenincias aos usurios. Quando um incidente de segurana acontece, muitos profissionais de informtica sentem que a nica coisa que tm tempo de fazer conter a situao, descobrir as causas e reparar os sistemas afetados no menor tempo possvel. Alguns deles tentam at mesmo identificar a raiz do problema, porm isso soa como um luxo para aqueles que no contam com recursos suficientes. Embora uma abordagem reativa possa ser uma ttica eficaz de resposta a riscos de segurana que tenham sido explorados e que tenham desencadeado incidentes de segurana, impor um certo grau de rigor abordagem reativa poderia ajudar diversas organizaes a aproveitar melhor seus recursos. Incidentes de segurana recentes podem auxiliar uma organizao a se prevenir contra problemas futuros. Isso significa que uma organizao que se preocupe em responder ocorrncia de incidentes de segurana de maneira calma e racional, ao mesmo tempo que determina as razes do incidente, ser capaz de se proteger melhor contra problemas similares no futuro e de responder mais rapidamente a outros incidentes que possam ocorrer. Um exame detalhado da reao a um incidente est alm do escopo deste guia, contudo, seguir as seis etapas descritas abaixo pode ajudlo a responder a incidentes de segurana e gerenci -los com mais rapidez e eficincia: 1. Proteger a vida e garantir a segurana das pessoas . Essa dever ser sempre a sua principal prioridade. Por exemplo, se entre os computadores afetados estiverem sistemas de suporte vida, deslig-los no ser uma opo. Talvez voc possa isolar logicamente esses sistemas na rede, reconfigurando roteadores e comutadores, sem prejudicar sua capacidade de ajudar os pacientes. 2. Conter os danos. A conteno dos estragos causados pelo ataque pode ajudar a limitar danos adicionais. Proteger dados, software e hardware importantes. Reduzir o impacto sobre recursos de computao uma medida importante, porm manter os sistemas em execuo durante um ataque pode, a longo prazo, resultar em problemas maiores e mais graves. Por exemplo, se um worm penetrar em seu ambiente, voc poder tentar limitar os danos desconectando os servidores da rede. Contudo, desconectar servidores pode, s vezes, se mostrar mais um problema do que uma soluo. Use o seu bom senso e conhecimento que tem sobre a rede e os sistemas antes de
tomar essa deciso. Se voc determinar que no haver efeitos adversos, ou que eles seriam reduzidos se comparados aos benefcios dessa deciso, a conteno dever ser iniciada assim que possvel durante o incidente de segurana, a comear pela desconexo dos sistemas afetados da rede. Se voc no puder conter os danos isolando os servidores, assegure -se de que possa monitorar as aes do agressor a fim de reparar os estragos assim que possvel. Em qualquer circunstncia, garanta que todos os arquivos de log tenham sido salvos antes de desligar um servidor, para que possa preservar as informaes registradas como provas caso voc (ou seus advogados) necessitem delas posteriormente. 3. Avaliar os danos . Assim que puder, faa uma cpia dos discos rgidos nos servidores que tenham sido atacados, e guarde-os para a percia posterior. Em seguida, avalie os danos. Voc deve comear a determinar a extenso dos danos causados pelo ataque assim que possvel, imediatamente aps conter a situao e duplicar os discos rgidos. Essa uma etapa importante para que voc possa restaurar as operaes da organizao o mais rpido possvel, bem como preservar uma cpia dos discos rgidos para fins de investigao. Caso no seja possvel avaliar os danos naquele momento, voc dever implementar um plano de contingncia para que possa dar continuidade s operaes comerciais normais e produtividade. nesse momento que as organizaes deveriam informar as autoridades legais sobre o incidente. Entretanto, voc dever estabelecer e manter relacionamentos de trabalho com os rgos legais responsveis pela regulamentao dos seus negcios antes da ocorrncia de um incidente, de forma que saiba quem contatar e como agir aps a ocorrncia de um problema srio. Alm disso, o departamento legal da empresa dever ser notificado imediatamente, para que ele possa determinar se aes legais podero resultar do incidente. 4. Determinar a causa dos danos. A fim de determinar a origem do ataque, necessrio saber que recursos foram alvos do ataque e que vulnerabilidades foram exploradas para obter acesso ou interromper os servios. Analise a configurao do sistema, nvel de patches, logs de auditoria e trilhas de auditoria nos sistemas que foram afetados diretamente e nos dispositivos da rede que encaminham o trfego at eles. Em geral, essas anlises ajudam a descobrir a origem do ataque no sistema e que recursos adicionais foram afetados. Essa atividade deve ser conduzida nos sistemas de computadores afetados, e no nas cpias de unidades feitas na etapa 3. Essas
unidades devem ser preservadas intactas para a percia, de modo que as autoridades legais ou seus advogados possam utiliz-las para encontrar e indiciar os responsveis pelo ataque. Se voc precisar criar uma cpia de backup para testar e tentar determinar a causa do dano, crie um segundo backup a partir do sistema original, e deixe intactas as unidades criadas na etapa 3. 5. Corrigir os danos . Na maioria dos casos, muito importante que os danos sejam corrigidos o mais rpido possvel a fim de restaurar as operaes de negcios normais e os dados que tenham sido perdidos durante o ataque. Os planos e procedimentos de continuidade dos negcios da organizao devem abranger a estratgia de restaurao. A equipe de resposta a incidentes tambm deve estar disponvel para lidar com o processo de restaurao e recuperao ou para fornecer orientaes sobre o processo equipe responsvel. Durante a recuperao, os procedimentos de contingncia so realizados para isolar e limitar a disseminao dos danos. Antes de colocar novamente em servio os sistemas corrigidos, garanta que eles no sejam reinfectados imediatamente, verificando se todas as vulnerabilidades foram exploradas durante o incidente. 6. Analisar a resposta e atualizar as diretivas. Uma vez concludas as fases de documentao e recuperao, voc deve revisar o processo inteiro. Determine com a equipe que etapas foram bem -sucedidas e quais foram os erros cometidos. Em quase todos os casos, voc descobrir que alguns processos precisam ser modificados de forma a lidar melhor com incidentes futuros. mais do que provvel que encontrar falhas em seu plano de resposta a incidentes. O objetivo desse exerccio aps o ocorrido encontrar oportunidades de aprimorar o processo. Quaisquer falhas encontradas devem suscitar uma reviso completa do processo de resposta a incidentes, de modo que voc possa lidar mais facilmente com incidentes futuros. Esse mtodo ilustrado no diagrama a seguir:
Figura 2.1 Processo de resposta a incidentes
A abordagem proativa
O gerenciamento de riscos de segurana proativo apresenta diversas vantagens em relao abordagem reativ a. Em vez de esperar que eventos prejudiciais aconteam para ento agir, reduza a possibilidade de ocorrncia de tais eventos. Isso envolve fazer planos para proteger os ativos importantes da sua organizao, implementando controles capazes de reduzir o risco de explorao de vulnerabilidades por cdigo malicioso, agressores ou uso acidental. Uma analogia pode ajudar a ilustrar esse conceito. A gripe "influenza" uma doena respiratria fatal que infecta milhes de pessoas nos Estados Unidos todos os anos. Dentre elas, mais de 100 mil tm de ser tratadas em hospitais, e cerca de 36 mil morrem. Voc pode optar por lidar com a ameaa da doena esperando que ela o infecte para ento recorrer aos medicamentos e tratar os sintomas caso fique doente. Ou ento, vo c pode optar por ser vacinado antes que o inverno chegue e a gripe se espalhe. Obviamente, as organizaes no podem abandonar o plano de
resposta a incidentes. Uma abordagem proativa eficaz pode ajudar as organizaes a reduzir significativamente o nmero de incidentes de segurana futuros, contudo, improvvel que tais incidentes nunca mais ocorram. Sendo assim, essas organizaes devem continuar a aprimorar seus processos de resposta a incidentes, ao mesmo tempo que desenvolvem abordagens proativas de longo prazo. Sees mais adiantes neste captulo, e os captulos subseqentes deste guia, examinaro em detalhes o gerenciamento de riscos de segurana proativo. Todos os mtodos de gerenciamento de riscos de segurana compartilham alguns procedimentos gerais comuns: 1. 2. 3. 4. Identificar os ativos da empresa. Determinar os danos causados organizao resultantes de um ataque contra um ativo. Identificar as vulnerabilidades de segurana que poderiam ser exploradas em um ataque. Determinar como minim izar o risco de ataque ao implementar controles apropriados. Incio da pgina
Abordagens priorizao de riscos

Os termos gerenciamento de risco e avaliao de risco so usados com freqncia neste guia e, embora estejam relacionados, eles no tm o mesmo significado. O processo de gerenciamento de riscos de segurana da Microsoft define o gerenciamento de risco como o esforo geral que visa gerenciar os riscos para reduzi-los a um nvel aceitvel pela empresa. A avaliao de risco definida como o processo de identificao e priorizao dos riscos aos negcios. H diversos mtodos para priorizar ou avaliar os riscos, porm a maioria deles baseia -se em uma dessas duas abordagens, ou em uma combinao das duas: gerenciamento de riscos quantitativo e gerenciamento de riscos qualitativo. Consulte a lista de recursos na seo "Mais informaes" no fim do Captulo 1, "Introduo ao Guia de Gerenciamento de Riscos de Segurana", para obter links a outros documentos descrevendo mtodos de avaliao de riscos. As prximas sees deste captulo resumem e comparam a avaliao de risco quantitativa e a avaliao de risco qualitativa. A isso segue-se uma breve descrio do processo de gerenciamento de riscos de segurana da Microsoft, de forma que voc possa entender como combinar aspectos das duas abordagens.
Avaliao de risco quantitativa

O objetivo das avaliaes de risco quantitativas tentar calcular valores numricos objetivos para cada um do s componentes coletados durante as fases de anlise de custo/benefcio e de avaliao de risco. Por exemplo, voc pode estimar o valor real de cada ativo de negcios em termos do custo de substituio, do custo associado perda de
produtividade, do custo representado pela reputao da marca e outros valores comerciais diretos ou indiretos. Voc dever usar a mesma objetividade ao calcular o custo de exposio do ativo, o custo dos controles e todos os outros valores identificados durante o processo de gere nciamento de riscos. Observao : Esta seo destina-se a apresentar uma viso geral de algumas das etapas associadas s avaliaes de risco quantitativas; ela no pretende ser um guia prescritivo para o uso dessa abordagem em projetos de gerenciamento de riscos de segurana. H alguns pontos fracos inerentes a essa abordagem que podem ser difceis de corrigir. Em primeiro lugar, no h um mtodo formal e rigoroso de calcular efetivamente o valor de ativos e controles. Em outras palavras, embora aparentemente ele fornea mais detalhes, os valores financeiros encobrem o fato de que os nmeros so baseados em estimativas. De que forma possvel calcular com preciso o impacto que um incidente de segurana amplamente divulgado pode causar em sua marca comercia l? Nesse caso, possvel examinar dados histricos, porm esses nem sempre esto disponveis. Em segundo lugar, as organizaes que tentaram empregar formalmente todos os aspectos do gerenciamento de riscos quantitativo descobriram que o processo pode ser extremamente caro. Em geral, tais projetos levam um perodo demasiadamente longo para concluir o primeiro ciclo e, com freqncia, envolvem diversos funcionrios discutindo sobre detalhes do clculo de valores fiscais especficos. Em terceiro lugar, o custo de exposio para organizaes com ativos valiosos pode se mostrar to alto que seria necessrio gastar uma fortuna para atenuar quaisquer riscos aos quais elas possam estar expostas. Essa situao no realstica, j que uma organizao no gastaria seu oramento inteiro para proteger um nico ativo, nem mesmo os seus cinco principais ativos.
Detalhes da abordagem quantitativa

Nesse ponto, pode ser til conhecer em termos gerais as vantagens e desvantagens das avaliaes de risco quantitativas. O resto desta seo analisa os mesmos fatores e valores geralmente avaliados durante uma avaliao de risco quantitativa, como a avaliao de ativos, clculo do custo de controles, determinao do retorno do investimento em segurana, bem como o clculo de valores de Expectativa de perda nica (EPU), Taxa de ocorrncia anual (TOA) e Expectativa de perda anual (EPA). Essa no uma descrio exaustiva de todos os aspectos da avaliao de risco quantitativa, apenas um breve exame de alguns detalhes dessa abordagem a fim de demonstrar que os valores que constituem a base de todos os clculos so eles prprios subjetivos. Avaliando ativos
Determinar o valor monetrio de um ativo uma parte importante do gerenciamento de riscos de segurana. Com freqncia, os gerente s de negcios levam em conta o valor de um ativo para ajud -los a determinar quanto dinheiro e tempo devem gastar para proteg-lo. Diversas organizaes mantm uma lista de valores de ativos como parte de seus planos de continuidade dos negcios. Observe o modo como os nmeros calculados so, na verdade, estimativas subjetivas: no h ferramentas nem mtodos objetivos para determinar o valor de um ativo. Para atribuir um valor a um ativo, calcule estes trs valores principais: O valor geral do ativo para a organizao . Calcule ou estime o valor do ativo em termos financeiros diretos. Leve em conta um exemplo simplificado do impacto de um perodo temporrio de inatividade de um site de comrcio eletrnico que, em geral, funcione 24 horas por dia, sete dias por semana, e gere uma receita mdia de US$ 2.000 por hora em pedidos de clientes. possvel afirmar que o valor anual do site em termos de receita de vendas US$ 17.520.000. O impacto financeiro imediato da perda do ativo . Se simplificarmos o exemplo deliberadamente e presumirmos que o site gere uma taxa constante por hora, e esse mesmo site fique indisponvel durante seis horas, a exposio calculada ser de 0,000685 por ano. Se multiplicarmos essa porcentagem de exposio pelo valor anual do ativo, possvel prever que as perdas diretamente relacionadas neste caso seriam de US$ 12.000. Na realidade, na maioria dos sites de comrcio eletrnico, a gerao de receita amplamente varivel, dependendo da hora do dia, dia da semana, estao do ano, campanhas de marketing e outros fatores. Alm disso, alguns clientes podem encontrar um site alternativo que prefiram ao site original, portanto o site pode perder clientes permanentemente. O clculo da perda de receita se mostrar extremamente complexo se voc desejar faz-lo com preciso e levar em conta todos os tipos de perda possveis. O impacto indireto nos negcios causado pela perda do ativo. Neste exemplo, a empresa estima que gastaria US$ 10.000 em publicidade para contrabalanar a publicidade negativa de tal incidente. Alm disso, a empresa estima tambm a perda de 0,01 de 1 por cento das vendas anuais, ou US$ 17.520. Ao combinar as despesas extras de publicidade e a perda anual da receita de vendas, possvel prever um total de US$ 27.520 em perdas indiretas. Determinando a EPU Expectativa de perda nica (EPU) a quantidade total de receita perdida em uma nica ocorrncia do risco. A EPU um valor atribudo a um nico evento que representa o possvel valor de perda da
empresa caso uma ameaa especfica explore uma vulnerabilidade. (A EPU semelhante ao impacto de uma anlise de riscos qualitativa). Determine a EPU multiplicando o valor do ativo pelo fator de exposio. O fator de exposio representa a porcentagem de perda que uma ameaa concretizada pode ter em um determinado ativo. Se uma Web farm tiver um valor patrimonial igual a US$ 150.000, e um incndio resultar em danos estimados em 25% do valor, a EPU ser de US$ 37.500. Este exemplo , contudo, uma simplificao; possvel que existam outras despesas relacionadas. Determinando a TOA A taxa de ocorrncia anual (TOA) o nmero de vezes que voc espera que o risco ocorra durante o ano. O clculo dessa estimativa extremamente difcil; h poucos dados estatsticos disponveis. Os dados coletados at o momento so, aparentemente, informaes privadas mantidas por poucas empresas de seguro imobilirio. Para estimar a TOA, baseie-se em sua experincia e consulte especialistas em gerenciamento de riscos de segurana, assim como consultores de segurana e de negcios. A TOA similar probabilidade de uma anlise de risco qualitativa, e varia de 0 por cento (nunca) a 100 por cento (sempre). Determinando a EPA A expectativa de perda anual (EPA) a quantidade total de dinheiro que a organizao perder em um ano se nada for feito para atenuar o risco. Calcule esse valor multiplicando a EPU pela TOA. A EPA semelhante classificao relativa de uma anlise de riscos qualitativa. Por exemplo, se um incndio na Web farm dessa mesma empresa resultar em danos de US$ 37.500, e a probabilidade, ou TOA, da ocorrncia de um incndio for 0,1 (indicando uma vez a cada dez anos), o valor da EPA ser de US$ 3.750 (US$ 37.500 x 0,1 = US$ 3.750). A EPA fornece um valor com o qual a organizao pode trabalhar para orar o custo do estabelecimento de controles ou salvaguardas para impedir esse tipo de dano neste caso, US$ 3.750 ou menos por ano e fornecer um nvel adequado de proteo. importante quantificar a possibilidade real de um risco e quantos danos, em termos monetrios, a ameaa poder causar para saber quanto pode ser gasto para proteger contra as possveis conseqncias da ameaa. Determinando o custo dos controles A determinao do custo dos controles requer a estimativa precisa dos custos associados aquisio, teste, implementao, operao e manuteno de cada controle. Tais custos incluem a compra ou o desenvolvimento da soluo de controle; a implementao e configurao da soluo de controle; a manuteno dessa soluo; a comunicao aos usurios de novas diretivas ou procedimentos relacionados aos novos controles; o treinamento de usurios e equipe
de TI quanto ao uso e suporte do controle; a monitorao do controle; e as medidas adotadas para lidar com a inconvenincia e a perda de produtividade causadas pelo controle. Por exemplo, a fim de reduzir o risco de incndio, essa organizao fictcia pode considerar a implementao de um sistema automtico de combate a incndios. Ela precisaria contratar um especialista para projetar e instalar o sistema e, em seguida, deveria monitorar esse sistema de modo contnuo. Alm disso, seria necessrio verificar o sistema periodicamente e, ocasionalmente, recarreg-lo com as substncias qumicas que utilize. Retorno do investimento em segurana Estime o custo dos controles usando a seguinte equao: EPA antes do controle) (EPA aps o controle) (custo anual do controle) = Retorno do investimento em segurana Por exemplo, a EPA associada ao risco de um agressor tirar do ar um servidor da Web de US$ 12.000. Aps a salvaguarda sugerida ter sido implementada, a EPA avaliada em US$ 3.000. O custo anual de manuteno e operao da salvaguarda de US$ 650; portanto, o retorno do investimento em segurana de US$ 8.350 por ano, conforme expresso pela seguinte equao: US$ 12.000 - US$ 3.000 US$ 650 = US$ 8.350. Resultados da anlise de risco quantitativa As informaes da anlise de risco quantitativa fornecem objetivos e resultados claramente definidos. Os itens a seguir definem o que geralmente obtido dos resultados das etapas anteriores: Valores monetrios atribudos aos ativos Uma lista abrangente de ameaas significativas A probabilidade de ocorrncia de cada ameaa A possvel perda para a empresa com base em cada ameaa ao longo de doze meses Salvaguardas, controles e aes recomendados
Voc pde perceber de que modo esses clculos so baseados em estimativas subjetivas. Os principais valores que servem de base para os resultados no resultam de equaes objetivas ou conjuntos de dados estatsticos bem definidos, e sim de opinies dos responsveis pela avaliao. O valor do ativo, a EPU, a TOA e o custo dos controles so valores inseridos pelos prprios participantes (geralmente aps muita discusso e concesso).
Avaliao de risco qualitativa

A diferena entre a avaliao de risco qualitativa e a avaliao de risco quantitativa que, na avaliao qualitativa, voc no tenta atribuir valores financeiros fixos aos ativos, s perdas esperadas e ao custo de controles. Em vez disso, voc tenta calcular valores relativos. A anlise de risco geralmente conduzida utilizando uma combinao de questionrios e workshops colaborativos envolvendo pessoas de
diversos grupos na organizao, como especialistas em segurana da informao, equipes e gerentes de tecnologia da informao, proprietrios e usurios de ativos de negcios e gerentes seniores. Se utilizados, os questionrios devem ser distribudos alguns dias ou semanas antes do primeiro workshop. Os questionrios so projetados para descobrir que ativos e controles j esto implementados, e a informao coletada poder ser til durante o workshop subseqente. Nos workshops, os participantes identificam os ativos e estimam seus valores relativos. Em seguida, tentam reconhecer as ameaas enfrentadas por cada ativo, e tentam imaginar quais tipos de vulnerabilidades poderiam ser explorados por tais ameaas no futuro. Em geral, os especialistas em segurana da informao e os administradores de sistema sugerem controles para atenuar os riscos a serem considerados pelo grupo, bem como o custo de cada controle. Por fim, os resultados so apresentados gerncia para serem levados em conta durante a anlise de custo/benefcio. Como voc pode perceber, os processos bsicos da avaliao qualitativa semelhante aos empregados na abordagem quantitativa. A diferena entre os dois est nos detalhes. As comparaes entre o valor de um ativo e outro so relativas, e os participantes no dedicam muito tempo tentando calcular valores financeiros precisos para avaliao do ativo. O mesmo se aplica ao clculo do possvel impacto de um risco sendo constatado e ao custo de implementao de controles. Os benefcios de uma abordagem qualitativa residem no fato de que ela no depende do clculo de nmeros precisos quanto ao valor do ativo, custo do controle e assim por diante, e o processo envolvido exige menos dos funcionrios. Os projetos de gerenciamento de risco qualitativo podem comear a mostrar resultados significativos em poucas semanas, enquanto que as orga nizaes que escolhem uma abordagem quantitativa esperam meses, at mesmo anos, para usufruir dos benefcios de seu esforo. A desvantagem da abordagem qualitativa que os nmeros resultantes so vagos; alguns dos responsveis pela tomada de decises de negcios, especialmente aqueles envolvidos em finanas ou contabilidade, podem no confiar nos valores relativos determinados durante um projeto de avaliao de risco qualitativa.
Comparando as duas abordagens

Ambas as abordagem qualitativa e quantitativa ao gerenciamento de riscos de segurana mostram vantagens e desvantagens. Determinadas situaes podem exigir que as organizaes adotem a abordagem quantitativa. Por outro lado, organizaes de pequeno porte podem concluir que a abordagem qualitativa mais adequada sua situao. A tabela a seguir resume os benefcios e as desvantagens
de cada abordagem: Tabela 2.1: Benefcios e desvantagens de cada abordagem de gerenciamento de riscos Quantitativa Benefcios Os riscos so priorizados de acordo com o impacto financeiro; os ativos so priorizados de acordo com valores financeiros. Os resultados facilitam o gerenciamento de riscos graas ao retorno do investimento em segurana. Os resultados podem ser expressos usando uma terminologia de gerenciamento (por exemplo, valores monetrios e probabilidade expressos como uma porcentagem especfica). A preciso tende a aumentar com o passar do tempo medida que a organizao coleta registros histricos dos dados e ganha experincia. Desvantagens Os valores do impacto atribudo ao risco so baseados na opinio subjetiva dos participantes. Riscos graves podem no ser diferenciados o suficiente. Dificuldade de justificar o investimento na Qualitativa Permite a visibilidade e a compreenso da classificao de riscos. Maior facilidade de chegar a um consenso. No necessrio quantificar a freqncia da ameaa. No necessrio determinar os valores financeiros dos ativos. Maior facilidade de envolver pesso as que no sejam especialistas em segurana ou computadores.
O processo para atingir resultados confiveis e um consenso demorado. Os clculos podem ser complexos e demorados. Os resultados so apresentados em termos monetrios e podem ser difceis de serem interpretados por pessoas sem conhecimento tcnico. O processo exige experincia e conhecimento, portanto pode ser difcil explic-lo aos participantes.
implementao de controles, pois no h valores bsicos para realizar a anlise de custo/benefcio. Os resultados dependem da qualidade da Equipe de gerenciamento de riscos formada.
No passado, a abordagem quantitativa parecia dominar o gerenciamento de riscos de segurana; contudo, isso est mudando, uma vez que um nmero crescente de profissionais tem admitido que utilizar somente processos de gerenciamento de riscos quantitativo geralmente resulta em projetos difceis e demorados com poucos benefcios tangveis. Como voc ver nos captulos seguintes, o processo de gerenciamento de riscos de segurana da Microsoft combina o melhor de ambas as abordagens em um mtodo hbrido exclusivo. Incio da pgina
O processo de gerenciamento de riscos de segurana da Microsoft

O processo de gerenciamento de riscos de segurana da Microsoft um mtodo hbrido que combina os melhores elementos das duas abordagens tradicionais. Como voc ver nos captulos seguintes, este guia apresenta uma abordagem exclusiva ao gerenciamento de riscos de segurana que significativamente mais rpida do que o mtodo quantitativo tradicional. Alm disso, esse mtodo proporciona resultados mais detalhados e fceis de serem apresentados aos executivos da empresa do que o mtodo qualitativo. Ao combinar a simplicidade e a elegncia da abordagem qualitativa com um pouco do
rigor da abordagem quantitativa, este guia oferece um processo exclusivo de gerenciamento de riscos de segurana que eficaz e prtico. O objetivo do processo que os interessados sejam capazes de compreender todas as etapas da avaliao. Essa abordagem, muito mais simples do que o gerenciamento de riscos quantitativo tradicional, reduz a resistncia aos resultados das fases de anlise de riscos e de suporte a decises, permitindo chegar mais rapidamente a um consenso capaz de ser mantido durante o processo. O processo de gerenciamento de riscos de segurana da Microsoft dividido em quatro fases. A primeira fase, Avaliando os riscos, combina aspectos dos mtodos de avaliao de risco quantitativa e qualitativa. Uma abordagem quali tativa usada para filtrar rapidamente a lista completa de riscos de segurana. Os riscos mais graves so identificados durante essa filtragem e, em seguida, so examinados em detalhes usando uma abordagem quantitativa. O resultado uma lista relativamente curta contendo os riscos mais importantes que foram examinados em detalhes. Essa lista curta usada durante a fase seguinte, Oferecendo suporte a decises, em que possveis solues de controle so propostas e examinadas, e as melhores delas so aprese ntadas ao Comit de orientao de segurana da organizao como recomendaes para a atenuao dos principais riscos. Durante a terceira fase, Implementando controles, os Proprietrios da atenuao implantam as solues de controle escolhidas. A quarta fase, Analisando a eficiccia do programa, serve para verificar se os controles oferecem de fato o grau de proteo esperado e para monitorar as alteraes no ambiente, como a instalao de novos aplicativos de negcios ou ferramentas de ataque que possam alt erar o perfil de risco da organizao. Como o processo de gerenciamento de riscos de segurana da Microsoft um processo contnuo, o ciclo reiniciado com cada nova avaliao de risco. A freqncia com que o ciclo reiniciado varia de acordo com a organizao: diversas empresas acreditam que uma recorrncia anual suficiente, desde que a organizao esteja monitorando de forma proativa as novas vulnerabilidades, ameaas e ativos.
Figura 2.2 Fases do processo de gerenciamento de riscos de segurana da Microsoft A Figura 2.2 acima ilustra as quatro fases do processo de gerenciamento de riscos de segurana da Microsoft. O captulo seguinte, Captulo 3, "Viso geral do gerenciamento de riscos de segurana", apresenta uma descrio mais completa desse processo. O captulo subseqente a ele explica em detalhes as etapas e tarefas associadas a cada uma das quatro fases. Incio da pgina
3 de 12

Publicado em: 15 de Outubro de 2004 Este captulo o primeiro neste guia a fornecer um resumo completo do processo de gerenciamento de riscos de segurana da Microsoft. Aps essa viso geral, o captulo abordar diversos tpicos que podem ajudar os leitores na implementao do processo. Esses tpicos auxiliam na descrio dos fundamentos de um programa de gerenciamento de riscos de segurana bem-sucedido. Eles incluem: Distino entre o gerenciamento de riscos e a avaliao de riscos. Comunicao eficiente de informaes sobre o risco. Avaliao da matur idade das prticas atuais do gerenciamento de riscos. Definio de funes e responsabilidades. Neste artigo Viso geral
Captulo 1: Int Guia de Gerenc Riscos de Segu
Captulo 2: An prticas de ger de riscos de se
importante notar que o gerenciamento de riscos apenas uma parte de um programa de governana maior projetado para que os lderes corporativos monitorem os negcios e tomem decises informadas. Embora programas de governana variem imensamente, todos eles exigem um componente estruturado de gerenciamento de riscos de segurana a fim de priorizar e atenuar os riscos de segurana. Os conceitos do processo de gerenciamento de riscos de segurana da Microsoft podem ser aplicados a qualquer programa de governana para ajudar a definir e gerenciar os riscos e reduzi-los a um nvel aceitvel. Nesta pgina As quatro fases do processo de gerenciamento de riscos de segurana da Microsoft
Captulo 3: Vis gerenciamento segurana Captulo 4: A riscos
Captulo 5: Ofe suporte s dec
Captulo 6: Im controles e ana eficcia do prog
Resumo
Apndice A: Av riscos ad hoc
As quatro fases do processo de gerenciamento de riscos de segurana da Microsoft

O Captulo 2, "Anlise das prticas de gerenciamento de riscos de segurana" apresentou o processo de gerenciamento de riscos de segurana da Microsoft e definiu o gerenciamento de riscos como um processo contnuo com quatro fases principais: 1. 2. 3. 4. Avaliando os riscos Identificao e priorizao de riscos aos negcios. Oferecendo suporte as decises Identificao e avaliao das solues de controle de acordo com um processo definido de anlise de custo/benefcio. Implementando controle s Implementao e operao de solues de controle para reduzir os riscos aos negcios. Analisando a eficcia do programa Anlise do processo de gerenciamento de riscos quanto sua eficcia, e verificao dos controles quanto ao grau de proteo e sperado. Esse ciclo de gerenciamento de riscos de quatro fases resume o processo de gerenciamento de riscos de segurana da Microsoft e usado tambm para organizar a apresentao do contedo deste guia. Contudo, antes de definir prticas especficas do processo de gerenciamento de riscos de segurana da Microsoft, importante compreender melhor o prprio processo de gerenciamento de riscos e seus componentes. Cada fase do ciclo contm diversas etapas detalhadas. A lista a seguir resume cada etapa para ajud-lo a entender a importncia de cada uma delas no guia como um todo: Fase de avaliao de riscos
Apndice B: At de sistemas de
Apndice C: Am comuns
Apndice D: Vulnerabilidade
Agradecimento
Fase de suporte s decises
Planejar a coleta de dados Discuta os fundamentos do sucesso e a orientao da preparao. Coletar dados sobre riscos Estruture o processo de c oleta e anlise de dados. Priorizar os riscos Estruture as etapas necessrias para qualificar e quantificar os riscos.
Definir os requisitos funcionais Defina os requisitos funcionais para atenuar os riscos. Selecionar solues de controle possveis Estruture a abordagem para identificar as solues de atenuao. Rever a soluo Avalie os controles propostos em relao aos requisitos. Estimar a reduo de riscos Tente compreender a reduo na exposio ou probabilidade de riscos. Estimar o custo da soluo Avalie os custos diretos e indiretos associados s solues de atenuao. Selecionar a estratgia de atenuao Faa a anlise de custo/benefcio para identificar a soluo de atenuao mais econmica. Buscar uma abordagem holstica Incorpore pessoas, processos e tecnologia na soluo de atenuao. Organizar por defesa em profundidade Organize solues de atenuao para a empresa toda. Desenvolver o carto de pontuao de riscos Entenda a postura e o progresso do gerenciamento de riscos. Analisar a eficcia do programa Avalie o programa de gerenciamento de riscos para determinar oportunidades de melhoria.
Fase de implementao de controles
Fase de anlise da eficcia do programa
A figura seguinte ilustra cada fase e suas etapas associadas.
Figura 3.1O processo de gerenciamento de riscos de segurana da Microsoft Ver imagem em tamanho normal Os captulos seguintes neste guia descrevem, em seqncia, cada fase do processo de gerenciamento de riscos de segurana da Microsoft. Contudo, h diversos aspectos preliminares a serem levados em conta antes de executar o processo.
Nvel de esforo
Se o gerenciamento de riscos for um conceito relativamente novo em sua organizao, poder ser til determinar que etapas do processo de gerenciamento de riscos de segurana da Microsoft exigiro um esforo maior da Equipe de gerenciamento de riscos de segurana. A figura a seguir mostra graus relativos de esforo durante o processo, com base nas ativida des de gerenciamento de riscos conduzidas pela equipe de TI da Microsoft. Essa perspectiva pode ser til ao descrever o processo geral e os requisitos de tempo a organizaes iniciantes no gerenciamento de riscos. Os nveis relativos de esforo tambm podem servir como um guia para evitar de perder muito tempo em um ponto do processo geral. A fim de resumir o nvel de esforo durante o processo, a figura mostra um nvel moderado de esforo na coleta de dados e um nvel reduzido de esforo para realizar a an lise resumida, seguido de nveis mais altos de esforo para criar listas detalhadas de riscos e realizar o processo de suporte a decises. Para obter uma viso adicional das tarefas e esforos a elas associado, consulte o exemplo de agendamento de projeto na pasta Ferramentas: FerramentaGGRS4 -Exemplo de Agendamento de Projeto.xls. Os captulos remanescentes deste guia descrevem em detalhes as etapas mostradas abaixo.
Figura 3.2 Nvel de esforo relativo no processo de gerenciamento de riscos de segurana da Microsoft Ver imagem em tamanho normal
Estabelecendo os fundamentos do processo de gerenciamento de riscos de segurana da Microsoft

Antes de iniciar um esforo de gerenciamento de riscos de segurana, importante ter um conhecimento slido dos componentes e tarefas fundame ntais do processo de gerenciamento de riscos de segurana da Microsoft, que incluem: A distino entre o gerenciamento de riscos e a avaliao de riscos. A comunicao eficiente de informaes sobre o risco. A determinao da maturidade do gerencia mento de riscos em sua organizao. A definio de funes e responsabilidades no processo.
Gerenciamento de riscos versus avaliao de riscos

Conforme discutido no Captulo 2, os termos gerenciamento de riscos e avaliao de riscos no so
sinnimos. O processo de gerenciamento de riscos de segurana da Microsoft define o gerenciamento de riscos como o esforo geral que visa gerenciar os riscos para reduzi-los a um nvel aceitvel pela empresa. A avaliao de riscos definida como o processo de identificao e priorizao de riscos aos negcios. Conforme ilustrado no diagrama anterior, o gerenciamento de riscos divide-se em quatro fases principais: Avaliando os riscos, Oferecendo suporte s decises, Implementando controles e Analisando a eficcia do programa. No contexto do processo de gerenciamento de riscos de segurana da Microsoft, a avaliao de riscos est associada somente fase Avaliando os riscos do ciclo geral de gerenciamento. Outra distino entre o gerenciamento de riscos e a avaliao de riscos a freqncia com que cada processo iniciado. O gerenciamento de riscos definido como um ciclo contnuo, porm geralmente reiniciado em intervalos regulares, a fim de atualizar os dados em cada etapa do processo de gerenciamento. O processo de gerenciamento de riscos geralmente sincronizado com o ciclo de contabilidade fiscal da organizao, a fim de alinhar as solicitaes de fundos para adquirir controles aos processos de negcios normais. Em geral, um intervalo anual adotado no processo de gerenciamento de riscos para alinhar novas solues de controle ao ciclo do oramento anual. Embora a avaliao de riscos seja uma etapa essencial do processo de gerenciamento de riscos, o Grupo de segurana de informaes pode conduzir diversas avaliaes de riscos, independentemente da fase do gerenciamento de riscos atual ou do ciclo do oramento. O Grupo de segurana de informaes pode efetuar uma avaliao sempre que uma possvel alterao relacionada segurana ocorra na empresa, como a introduo de novas prticas de negcios, a descoberta de vulnerabilidades ou alteraes infra-estrutura. Essas avaliaes de riscos freqentes so geralmente chamadas de avaliaes de risco ad hoc, ou avaliaes de risco de escopo limitado, e devem ser vistas como etapas complementares ao processo de gerenciamento de riscos formal. Em geral, as avaliaes ad hoc levam em conta uma nica rea de risco aos negcios, e no exigem a mesma quantidade de recursos usada pelo processo completo de gerenciamento de riscos. O Apndice A, "Avaliaes ad hoc", descreve e proporciona um modelo de exemplo de uma avaliao ad hoc. Tabela 3.1: Gerenciamento de riscos versus avaliao de riscos Gerenciamento de riscos Objetivo Gerenciar os riscos aos negcios para reduzi-los a um nvel aceitvel Ciclo Todas as quatro fases do programa Agendamento Sincronizao Contnuo Sincronizado com os ciclos do oramento Fase nica do programa de gerenciamento de riscos Conforme necessrio N/D Avaliao de riscos Identificar e priorizar os riscos
Comunicando as informaes sobre os riscos

Com freqncia, as diversas pessoas envolvidas com o processo de gerenciamento de riscos definem o termo risco de maneiras diferentes. A fim de assegurar a consistncia em todas as etapas do ciclo de gerenciamento de riscos, o processo de gerenciamento de riscos de segurana da Microsoft requer que todos nele envolvidos compreendam e concordem sobre uma nica definio do termo risco. Conforme
definido no Captulo 1, "Introduo ao Guia de Gerenciamento de Riscos de Segurana", risco a probabilidade de ocorrncia de um evento que afete os negcios. Essa definio requer a incluso de uma declarao de impacto e a previso de quando ele pode ocorrer ou, em outras palavras, a probabilidade do impacto. Quando ambos os elementos do risco (probabilidade e impacto) tiverem sido includos em uma declarao de risco, o processo chamar isso de declarao de risco bem estruturada. Use o termo para ajudar a assegurar uma compreenso consistente da natureza dupla do risco. O diagrama a seguir demonstra o nvel mais bsico do risco.
Figura 3.3 Declarao de risco bem estruturada Ver imagem em tamanho normal importante que todos os participantes do processo de gerenciamento de riscos compreendam a complexidade de cada elemento da def inio de risco. A empresa depender de uma compreenso profunda do risco a fim de poder tomar medidas especficas ao gerenci-lo. Por exemplo, a definio do impacto nos negcios requer informaes sobre que ativos seriam afetados, que tipos de danos ocorreriam e qual seria a extenso dos danos ao ativo. Em seguida, para determinar a probabilidade de ocorrncia de um impacto, seria necessrio compreender de que modo o impacto ocorreria e com que eficincia o ambiente de controle atual poderia reduzir a probabilidade do risco. Usando os termos definidos no Captulo 1, "Introduo ao Guia de Gerenciamento de Riscos de Segurana", a declarao de risco a seguir oferece uma orientao ao demonstrar tanto o impacto como a probabilidade do impacto: Risco a probabilidade de uma vulnerabilidade ser explorada no ambiente atual, resultando em um determinado grau de perda de confidencialidade, integridade ou disponibilidade de um ativo. O processo de gerenciamento de riscos de segurana da Microsoft fornece as ferramentas necessrias para comunicar e analisar de modo consistente a probabilidade e o grau de perda associados a cada risco. Os captulos neste guia orientam sobre cada etapa do processo a fim de estabelecer os componentes da declarao de risco bem estruturada e priorizar os riscos que podem afetar os negcios. O diagrama a seguir foi criado a partir da declarao de risco bsica abordada anteriormente com o objetivo de mostrar o relacionamento entre cada elemento do risco.
Figura 3.4 Componentes da declarao de risco bem estruturada Ver imagem em tamanho normal Para auxiliar na comunicao da extenso do impacto e a sua probabilidade atravs da declarao de risco, o processo de gerenciamento de riscos de segurana da Microsoft comea por priorizar os riscos usando termos rela tivos, como alto, moderado e baixo. Embora essa terminologia bsica simplifique a seleo de nveis de risco, ela no fornece detalhes suficientes ao conduzir uma anlise de custo/benefcio voltada seleo da opo de atenuao mais econmica. Para sanar esse problema da abordagem qualitativa bsica, o processo fornece ferramentas para gerar uma comparao detalhada dos riscos. O processo incorpora tambm atributos quantitativos para auxiliar ainda mais na anlise de custo/benefcio da seleo de controles. Um problema comum dos mtodos de gerenciamento de riscos que, em geral, eles deixam de fora as definies de alto, moderado e baixo associadas aos riscos aos negcios. Diversos riscos sero identificados em seu programa de gerenciamento de riscos de segurana. Embora o processo de gerenciamento de riscos de segurana da Microsoft fornea orientaes sobre como utilizar consistentemente as estimativas de risco qualitativas e quantitativas, a Equipe de gerenciamento de riscos de segurana responsvel por determinar em termos especficos aos negcios o significado de cada valor. Por exemplo, uma vulnerabilidade capaz de ocorrer no perodo de um ano, resultando na perda de integridade da propriedade intelectual mais importante da sua organizao, pode se r classificada como um alto risco aos seus negcios. A Equipe de gerenciamento de riscos de segurana deve atribuir definies a cada elemento da declarao de risco bem estruturada. O prximo captulo ir orient-lo sobre a definio de nveis de risco. Ele poder ser til ao definir os nveis de risco especficos sua empresa. O processo facilita a realizao dessa etapa e pode ajud -lo a alcanar consistncia e a obter melhor visibilidade durante o processo.
Determinando a maturidade do gerenciamento de riscos em sua organizao

Antes que a organizao tente implementar o processo de gerenciamento de riscos de segurana da
Microsoft, importante que ela examine seu nvel de maturidade em relao ao gerenciamento de riscos de segurana. Uma organizao sem diretivas nem processos formais relacionados ao gerenciamento de riscos de segurana encontrar diversas dificuldades ao tentar implementar de uma s vez todos os aspectos do processo. Mesmo as organizaes com algumas diretivas e diretrizes formais j adotadas pela maioria dos funcionrios podem julgar esse processo desafiador. Por essa razo, importante fazer uma estimativa do nvel de maturidade de sua organizao. Se concluir que a sua organizao relativamente imatura, convm introduzir o processo em etapas incrementais durante vrios meses, implementando um programa piloto em uma nica unidade de negcios at que o ciclo tenha sido realizado diversas vezes. Aps demonstrar a eficcia do processo de gerenciamento de riscos de segurana da Microsoft atravs do programa piloto, a Equipe de gerenciamento de riscos de segurana poderia implement -lo lentamente em outras unidades de negcios at que a organizao inteira passasse a utiliz -lo. Como determinar o nvel de maturidade de uma organizao? O ITGI (IT Governance Institute) inclui um Modelo de maturidade de governana de TI como parte do CobiT (Control Objectives for Information and Related Technology). recomendvel que voc adquira e analise o CobiT para obter um mtodo detalhado de determinao do nvel de maturidade da sua organizao. O processo de gerenciamento de riscos de segurana da Microsoft resume os elementos usados no CobiT e apresenta uma abordagem simplificada com base em modelos desenvolvidos pelos Servios da Microsoft. As definies de nvel de maturidade aqui apresentadas so baseadas no ISO 17799, conhecido como Information technology Code of practice for information security management. Voc pode estimar o nvel de maturidade da sua organizao comparando-o s definies descritas na tabela a seguir. Tabela 3.2: Nveis de maturidade do gerenciamento de riscos Nvel 0 Estado No existente Definio Diretivas (ou processos) no foram documentadas e, at este momento, a organizao no tinha conscincia do risco aos negcios associado a esse gerenciamento de riscos. Sendo assim, essa questo ainda no foi abordada na organizao. 1 Ad hoc aparente que alguns membros da organizao j esto convencidos do valor do gerenciamento de riscos. Contudo, os esforos de gerenciamento de riscos tm sido realizados de maneira inconsistente. No h processos nem diretivas documentados, e o processo no pode ser completamente reproduzido. Em geral, os projetos de gerenciamento de riscos parecem caticos e isolados, e os resultados no so medidos nem analisados. 2 Reproduzvel A organizao inteira tm conscincia do gerenciamento de riscos. O processo de gerenciamento de riscos reproduzvel, porm imaturo. O processo no est totalmente documentado; contudo, atividades relacionadas ocorrem regularmente, e a organizao tem trabalhado para estabelecer um processo de gerenciamento de riscos abrangente que conte com o apoio da gerncia snior. No h treinamento nem comunicao formal sobre o gerenciamento de riscos; a responsabilidade da implementao recai sobre funcionrios individuais.
Processo definido
A organizao tomou uma deciso formal de adotar inteiramente o gerenciamento de riscos a fim de direcionar o seu programa de segurana de informaes. Um processo bsico foi desenvolvido, com metas claramente definidas e processos documentados a fim de alcanar e medir o seu xito. Alm disso, um treinamento geral em gerenciamento de riscos est disponvel aos funcionrios. Por fim, a organizao est implementando de forma proativa seus processos de gerenciamento de riscos documentados.
Gerenciado
H uma compreenso profunda do gerenciamento de riscos em todos os nveis da organizao. Procedimentos de gerenciamento de riscos foram implementados, o processo est bem definido, a conscientizao geral, um treinamento rigoroso est disponvel e alguns mtodos iniciais de avaliao so usados para determinar a eficcia. Recursos suficientes foram designados ao programa de gerenciamento de riscos, diversas partes da organizao esto usufruindo dos benefcios do programa e a Equipe de gerenciamento de riscos de segurana capaz de melhorar continuamente os processos e as ferramentas. Ferramentas tecnolgicas esto sendo usadas para auxiliar no gerenciamento de riscos, porm vrios, se no todos, os procedimentos de avaliao de riscos, identificao de controles e anlise de custo/benefcio so manuais.
Otimizado
A organizao dedicou recursos significativos ao gerenciamento de riscos de segurana, e os funcionrios se esforam para prever possveis problemas futuros e suas solues. O processo de gerenciamento de riscos bem compreendido e amplamente automatizado atravs do uso de ferramentas (desenvolvidas na organizao ou adquiridas de fornecedores de software independente s). A principal causa de todos os problemas de segurana foi identificada e medidas adequadas foram tomadas para reduzir o risco de recorrncia. O treinamento para todos os nveis de conhecimento est disponvel aos funcionrios.
Auto-avaliando o nvel de maturidade do gerenciamento de riscos da organizao

A lista de questes a seguir oferece um mtodo mais rigoroso de avaliar o nvel de maturidade de sua organizao. Essas questes permitem respostas subjetivas, porm ao respond-las da maneira mais honesta possvel, voc dever ser capaz de determinar o grau de preparao de sua organizao para a implementao do processo de gerenciamento de riscos de segurana da Microsoft. Atribua pontos sua organizao usando uma escala de 0 a 5 e se guiando pelas definies de nvel de maturidade descritas anteriormente. 1. 2. 3. As diretivas e procedimentos de segurana de informaes so claros, concisos, bem documentados e completos. Todos os funcionrios em cargos com responsabilidades que envolvam a segurana de informaes compreendem inteiramente suas funes e responsabilidades. As diretivas e procedimentos de segurana relacionados ao acesso de terceiros aos dados de
negcios esto bem documentados. Por exemplo, fornecedores remotos que realizam o desenvolvimento de aplicativos para uma ferramenta comercial interna tm acesso suficiente aos recursos da rede para colaborar efetivamente e conduzir o seu trabalho, porm contam com o mnimo de acesso necessrio. 4. 5. 6. 7. 8. H um inventrio minucioso e atualizado dos ativos de informtica (TI), como hardware, software e repositrios de dados. Controles apropriados foram implementados para proteger os dados de negcios contra o acesso no autorizado externo ou interno. Foram criados programas eficazes de conscientizao do usurio, como treinamentos e boletins informativos sobre diretivas e prticas de segurana. O acesso fsico rede de computadores e outros ativos de informtica restrito atravs do uso de controles eficazes. Novos sistemas de computador so configurados de acordo com padres de segurana corporativa, de forma consistente e usando ferramentas automticas, como a criao de imagem de disco ou scripts de implementao. 9. H um sistema eficaz de gerenciamento de patches capaz de distribuir automaticamente as atualizaes de software da maioria dos fornecedores a quase todos os computadores na organizao. 10. Uma equipe de resposta a incidentes foi criada e j desenvolveu e documentou processos eficazes para lidar e registrar incidente s de segurana. Todos os incidentes so investigados at que a sua principal causa seja identificada e todos os problemas sejam resolvidos. 11. A organizao apresenta um programa antivrus avanado que inclui diversas camadas de defesa, treinamento de co nscientizao do usurio e processos eficientes de resposta a uma epidemia de vrus. 12. Os processos de configurao do usurio so bem documentados e ao menos parcialmente automatizados, de modo que novos funcionrios, fornecedores e parceiros possam re ceber o nvel apropriado de acesso aos sistemas de informao da organizao de forma conveniente. Esses processos devem ser capazes tambm de desabilitar e excluir contas de usurios assim que elas no forem mais necessrias. 13. O acesso ao computador e rede controlado atravs da autenticao e autorizao de usurio, das listas de controle de acesso restrito aos dados e do monitoramento proativo quanto a violaes de diretivas. 14. 15. Os desenvolvedores de aplicativos so treinados e tm conscincia dos padres de segurana voltados criao de software e aos testes de qualidade do cdigo. Programas de continuidade dos negcios e a prpria continuidade dos negcios esto claramente definidos e bem documentados, sendo periodicamente testados atrav s de simulaes e treinamento. 16. 17. Os programas j esto em uso e se mostram eficazes ao assegurar que todos os funcionrios realizem seu trabalho em conformidade com as regulamentaes legais. Revises e auditorias so conduzidas por terceiros regularmente para verificar a conformidade com as prticas padro de segurana de ativos de negcios. Calcule a pontuao da sua organizao somando os pontos de todos os itens anteriores. Teoricamente, a pontuao varia de 0 a 85; contudo, poucas organizaes alcanaro esses valores extremos. Uma pontuao de 51 ou acima sugere que a organizao est bem preparada para a introduo e uso do processo completo de gerenciamento de riscos de segurana da Microsoft. Uma pontuao de 34 a
50 indica que a organizao j tomou medidas significativas para controlar os riscos de segurana e est pronta para a introduo gradual do processo. Organizaes nesse nvel devem considerar a implementao do processo em algumas unidades de negcios durante poucos meses antes de apresent-lo organizao inteira. Organizaes com pontuao inferior a 34 deveriam iniciar lentamente a implementao do processo de gerenciamento de riscos de segurana da Microsoft ao criar uma Equipe de gerenciamento de riscos de segurana e introduzir o processo em uma nica unidade de negcios durante os primeiros meses. Aps demonstrarem o valor do processo ao utiliz-lo com xito para reduzir os riscos naquela unidade de negcios, elas deveriam expandi-lo a duas ou trs unidades de negcios assim que possvel. essencial continuar essa implementao de forma lenta, uma vez que as mudanas introduzidas pelo processo podem ser dramticas. No convm causar mudanas na organizao de tal forma que interfiram em sua capacidade de conduzir suas ativ idades de negcios. Nesse cenrio, use o bom senso e o seu conhecimento prprio dos sistemas e lembre-se de que cada sistema que deixar desprotegido representar um risco de segurana potencial. Se concluir que essa uma necessidade urgente, no leve em conta a sugesto de implementar lentamente e aja rapidamente. Voc dever determinar cuidadosamente que unidade de negcios utilizar nos programas pilotos. Leve em conta questes como a importncia da segurana naquela unidade de negcios, definindo a segurana em termos de disponibilidade, integridade e confidencialidade de informaes e servios. Alguns exemplos seriam: O nvel de maturidade do gerenciamento de riscos de segurana daquela unidade de negcios est acima da mdia dentro da organizao? O proprietrio da empresa oferecer o seu apoio ao programa? A unidade comercial apresenta um alto nvel de visibilidade na organizao? Os benefcios do processo de gerenciamento de riscos de segurana da Microsoft sero comunicados ao resto da organizao caso esse processo obtenha xito?
Voc dever considerar essas mesmas questes ao selecionar unidades comerciais para a expanso do programa. Observao: O NIST (National Institute for Standards and Technology) norte-americano fornece outro exemplo (em ingls) de uma auto -avaliao de TI que poder ser til ao determinar o nvel de maturidade da organizao; consulte http://csrc.nist.gov/, publicao especial 800-26.
Definindo funes e responsabilidades

Estabelecer claramente as funes e responsabilidades um fator-chave para o sucesso de qualquer programa de gerenciamento de riscos devido aos requisitos de interao entre os grupos e de responsabilidades especficas. A tabela a seguir demonstra as principais funes e responsabilidades necessrias durante o processo de gerenciamento de riscos de segurana da Microsoft. Tabela 3.3: Principais funes e responsabilidades no processo de gerenciamento de riscos de segurana da Microsoft Funo Patrocinador executivo Principal responsabilidade Patrocina todas as atividades associadas ao gerenciamento de riscos aos negcios, como por exemplo, o desenvolvimento, a atribuio de fundos e de autoridade e o suporte Equipe de gerenciamento de riscos de segurana. Essa funo geralmente atribuda a um executivo, como o diretor de
segurana ou o diretor de informtica. Ela representa tambm a autoridade mxima em determinar se um risco aceitvel aos negcios. Proprietrio da empresa responsvel pelos ativos tangveis e intangveis da empresa. Os proprietrios de empresa so responsveis tambm por priorizar os ativos de negcios e por definir os nveis de impacto a que esses ativos esto sujeitos. Em geral, eles devem definir os nveis de risco aceitveis; contudo, o Patrocinador executivo toma a deciso final, levando em conta as sugestes do Grupo de segurana de informaes. Grupo de segurana de informaes o responsvel geral pelo processo de gerenciamento de riscos, incluindo as fases de avaliao de riscos e da anlise de eficcia do programa . Alm disso, ele define os requisitos de segurana funcionais e avalia os controles de TI e a eficcia geral do programa de gerenciamento de riscos de segurana. Grupo de tecnologia da informao Ele inclui a arquitetura, engenharia e operaes de tecnologia da informao. Equipe de gerenciamento de riscos de segurana responsvel por conduzir todo o programa de gerenciamento de riscos. Alm disso, responsabiliza-se pelas fases de avaliao de riscos e de priorizao de riscos aos negcios. A equipe formada por, no mnimo, um facilitador e um secretrio. Facilitador de avaliao de riscos Funo lder na Equipe de gerenciamento de riscos de segurana, o facilitador conduz as discusses de coleta de dados. Essa funo pode representar tambm o princi pal lder do processo de gerenciamento de riscos. Secretrio de avaliao de riscos Registra em detalhes as informaes sobre riscos durante as discusses de coleta de dados. Proprietrios da atenuao responsvel pela implementao e manuteno das solues de controle para a reduo de riscos a um nvel aceitvel. Inclui o Grupo de TI e, em alguns casos, os Proprietrios de empresa. Comit de orientao de segurana Esse comit inclui a Equipe de gerenciamento de riscos de segurana, representantes do Grupo de TI e Proprietrios de empresa especficos. Em geral, ele liderado pelo Patrocinador executivo. responsvel pela seleo das estratgias de atenuao e definio do nvel de risco aceitvel aos negcios.
Interessado
Termo geral usado para de finir participantes diretos e indiretos em um determinado processo ou programa; amplamente usado no processo de gerenciamento de riscos de segurana da Microsoft. Entre os interessados podem estar grupos no relacionados tecnologia da informao, como financeiro, de relaes pblicas ou de recursos humanos.
A Equipe de gerenciamento de riscos de segurana encontrar participantes inexperientes quanto ao processo de gerenciamento de riscos que talvez no compreendam inteiramente suas funes. Aproveite a oportunidade para apresentar uma viso geral do processo e seus participantes. O objetivo atingir um consenso e destacar o fato de que todos os participantes so responsveis pelo gerenciamento de riscos. O diagrama a seguir mostra resumidamente os princ ipais interessados e o relacionamento que tm entre si, e pode ser til para apresentar as funes e responsabilidade descritas anteriormente e oferecer uma viso geral do programa de gerenciamento de riscos. Em suma, o Patrocinador executivo o principal responsvel pela definio de riscos aceitveis e deve orientar a Equipe de gerenciamento de riscos de segurana na classificao dos riscos aos negcios. A Equipe de gerenciamento de riscos de segurana responsvel pela avaliao de riscos e a definio de requisitos funcionais para atenuar os riscos e reduzi-los a um nvel aceitvel. Em seguida, a Equipe de gerenciamento de riscos de segurana colabora com os grupos de TI responsveis pela seleo, implementao e operaes de controles de atenuao. O relacionamento final definido abaixo envolve a funo de superviso da Equipe de gerenciamento de riscos de segurana da anlise de eficcia do controle. Geralmente, isso feito atravs de relatrios de auditoria, os quais so encaminhados ao Patrocinador executivo.
Figura 3.5 Viso geral das funes e responsabilidades no processo de gerenciamento de riscos de segurana da Microsoft Ver imagem em tamanho normal
Criando a Equipe de gerenciamento de riscos de segurana

Antes de iniciar o processo de gerenciamento de riscos de segurana, no subestime a necessidade de definir claramente as funes internas da Equipe de gerenciamento de riscos de segurana. Uma vez que o escopo do gerenciamento de riscos inclui a empresa inteira, aqueles que no sejam membros do Grupo de segurana de informaes podem desejar participar da equipe. Se isso ocorrer, defina claramente as funes de cada membro e as associe com as funes e responsabilidades definidas no programa de gerenciamento de riscos geral descrito acima. Definir as funes reduz a confuso e facilita a tomada de decises durante o processo. Todos os membros da equipe devem compreender que o Grupo de segurana de informaes o principal responsvel pelo processo. essencial definir as responsabilidades, uma vez que o Grupo de segurana de informaes o nico grupo que participa de todas as fases do processo, inclusive da comunicao ao Patrocinador executivo. Funes e responsabilidades da Equipe de gerenciamento de riscos de segurana Aps criar a Equipe de gerenciamento de riscos de segurana, importante definir funes especficas e mant -las durante o processo inteiro. As principais funes, Facilitador de avaliao de riscos e Secretrio da avaliao de riscos, so descritas abaixo. O Facilitador de avaliao de riscos deve possuir um conhecimento extenso do processo de gerenciamento de riscos inteiro e uma compreenso total dos negcios, bem como dos riscos de segurana tcnicos associados s funes comerciais. Ele ou ela deve ser capaz de descobrir os riscos tcnicos relacionados aos cenrios de negcios ao conduzir as discusses sobre riscos. Por exemplo, o Facilitador de avaliao de riscos deve compreender as ameaas tcnicas e as vulnerabilidades associadas aos funcionrios mveis, bem como ter em mente o valor comercial desses mesmos funcionrios. Para ilustrar isso, digamos que pagamentos de clientes no seriam processados se um funcionrio mvel no pudesse acessar a rede corporativa. O Facilitador de avaliao de riscos deve compreender cenrios como esse e ser capaz de identificar os riscos tcnicos e os requisitos de controles potenciais, como a configurao de dispositivo mvel e a necessidade de autenticao. Se possvel, selecione um Facilitador de avaliao de riscos que tenha realizado avaliaes de riscos anteriormente e que compreenda as prioridades gerais dos negcios. Se no contar com um facilitador de avaliao de riscos experiente, obtenha a assistncia de um parceiro ou consultor qualificado. Contudo, certifique-se de incluir um membro do Grupo de segurana de informaes que compreenda os negcios e os interessados envolvidos. Observao: Terceirizar a funo de facilitador de avaliao de riscos pode parecer uma soluo fcil, porm significa perder o relacionamento estabelecido com os interessa dos e o conhecimento de segurana e dos negcios assim que o consultor partir. No subestime o valor que o processo de gerenciamento de riscos apresenta aos interessados, bem como ao Grupo de segurana de informaes. O Secretrio de avaliao de riscos responsvel por anotar e documentar as atividades de planejamento e coleta de dados. Essa responsabilidade pode parecer uma funo informal demais, porm, a capacidade de registrar tudo se mostra significativamente vantajosa nas fases de priorizao e tomada de decises do processo. Um dos principais aspectos do gerenciamento de riscos a comunicao sobre os riscos de forma que os interessados os compreendam e utilizem essas informaes em suas atividades. Um secretrio dedicado pode facilitar esse processo ao fornecer a documentao escrita sempre que ela for necessria. Incio da pgina
Resumo
Os captulos 1 a 3 fornecem uma viso geral do gerenciamento de riscos e definem os objetivos e a
abordagem para a criao dos fundamentos de uma implementao bem-sucedida do processo de gerenciamento de riscos de segurana da Microsoft. O captulo subseqente aborda em detalhes a primeira fase, Avaliando os riscos. Os captulos seguintes descrevem as fases restantes do processo de gerenciamento de riscos: Oferecendo suporte s decises, Implementando controles e Analisando a eficcia do programa. Incio da pgina
4 de 12

Publicado em: 15 de Outubro de 2004 Nesta pgina Viso geral
Neste ar
Viso g Planejamento
Captulo Guia de Riscos d
Coleta de dados facilitada
Priorizao de risco
Captulo prticas de risco
Resumo
Captulo gerenci seguran
Viso geral
O processo de gerenciamento de riscos compreende no total quatro fases principais: Avaliando os riscos, Oferecendo suporte s decises, Implementando controles e Analisando a eficcia do programa. O processo de gerenciamento de riscos de segurana mostra como um programa formal oferece uma trajetria consistente para a organizao de recursos limitados com o objetivo de reduzir os riscos dentro de uma organizao. Seus benefcios oferecem um ambiente de controle econmico capaz de conduzir e nivelar o risco at um nvel aceitvel. A fase de avaliao de riscos representa um processo formal de identificao e priorizao de riscos dentro da organizao. O processo de gerenciamento de riscos de segurana da Microsoft oferece um direcionamento detalhado sobre a realizao de avaliaes de risco e divide o processo da fase de avaliao de riscos nas trs etapas a seguir: 1. 2. 3. Planejamento construindo a base para uma avaliao de riscos bem sucedida. Coleta de dados facilitada coletando as informaes de risco atravs de discusses facilitadas sobre riscos. Priorizao de risco s classificao de riscos identificados atravs de um processo consistente e reproduzvel. O resultado da fase de avaliao de riscos uma lista priorizada de riscos que fornece os dados iniciais para a fase de suporte s decises, abordada em detalhes no captulo 5, "Oferecendo suporte s decises". O diagrama a seg uir apresenta uma reviso geral do processo de gerenciamento de riscos e mostra a funo da avaliao de riscos no programa como um todo. As trs etapas da fase de avaliao de riscos tambm esto destacadas.
Captulo riscos
Captulo suporte
Captulo controle eficcia
Apndic riscos a
Apndic de siste
Apndic comuns
Apndic Vulnera
Agradec
Figura 4.1 O processo de gerenciamento de riscos de segurana da Microsoft Ver imagem em tamanho normal Esta seo oferece uma breve viso geral das trs etapas da fase de avaliao de riscos: planejamento, coleta de dados facilitada e priorizao de risco. As sees subseqentes contm tarefas especficas para oferecer uma avaliao de riscos real no seu ambiente.
Planejamento
Um planejamento adequado de avaliao de riscos fundamental para o sucesso de todo o programa de gerenciamento de riscos. A falha no alinhamento, na definio de escopo ou na obteno de aceita o da fase de avaliao de riscos reduz a eficcia das outras fases do programa completo. A realizao da avaliao de riscos pode ser um processo complicado que exige um investimento significativo para ser concludo. As tarefas e orientaes essenciais par a a etapa de planejamento so abordadas na prxima seo deste captulo.

Aps o planejamento, a prxima etapa a coleta de dados relacionados ao risco a partir de todos os interessados dentro da organizao. Essas informaes ta mbm sero usadas na fase de suporte s decises. Os primeiros dados coletados durante a etapa de coleta de dados facilitada so: Ativos organizacionais tudo que for de valor para a empresa. Descrio do ativo breve descrio de cada ativo, sua im portncia e propriedade para facilitar o entendimento geral durante a fase de avaliao de riscos. Ameaas de segurana motivos ou eventos que podem afetar de modo negativo um ativo, caracterizado por perda de confidencialidade, integridade ou disponibilidade do ativo. Vulnerabilidades fraquezas ou ausncia de controles que podem ser exploradas para afetar um ativo. Ambiente de controle atual descrio dos controles atuais e sua eficcia na organizao.
Controles propostos idias iniciais para reduzir o risco.
A etapa de coleta de dados facilitada representa a maior parte da colaborao e interao entre os grupos durante a fase de avaliao de riscos. A terceira seo deste captulo trata das tarefas de coleta de dados e orientao em detalhes.
Priorizao de risco
Durante a etapa de coleta de dados facilitada, a Equipe de gerenciamento de riscos de segurana comea a organizar a quantidade enorme de informaes coletadas para priorizar riscos. A etapa de priorizao de risco a primeir a desta fase que envolve um elemento subjetivo. A priorizao tem natureza subjetiva, pois afinal envolve uma previso do futuro. Como o resultado da avaliao de riscos orienta os investimentos em TI, muito importante estabelecer um processo transparente com funes e responsabilidades bem definidas para obter a aceitao dos resultados e motivar a ao para a atenuao de riscos. O processo de gerenciamento de riscos de segurana da Microsoft oferece orientao para identificar e priorizar riscos de modo consistente e reproduzvel. Uma abordagem aberta e reproduzvel ajuda a Equipe de gerenciamento de riscos de segurana a alcanar um consenso rapidamente, minimizando os possveis atrasos devido natureza subjetiva da priorizao de risco. A quarta se o deste captulo trata das tarefas e orientaes de priorizao em detalhe.
Dados iniciais necessrios para a fase de avaliao de riscos

Cada etapa da fase de avaliao de riscos contm uma lista especfica de tarefas prescritivas e dados iniciais associa dos. A fase em si exige uma base slida em oposio aos dados iniciais especficos. Conforme descrito no captulo 1, a fase de avaliao de riscos exige liderana em segurana, na forma de suporte executivo, aceitao dos interessados e funes e responsabilidades definidas. As sees a seguir abordam essas reas em detalhes.
Participantes da fase de avaliao de riscos

A avaliao de riscos exige interao entre os grupos e diviso de responsabilidades por tarefas entre os diferentes interessados durante o processo. A melhor prtica para reduzir a confuso de tarefas durante o processo comunicar as inspees inerentes s funes e responsabilidades de gerenciamento de riscos. Durante o processo de avaliao, comunique aos interessados suas funes e asseg ure-os de que a Equipe de gerenciamento de riscos de segurana respeitar esses limites. A tabela a seguir resume as funes e as principais responsabilidades de cada interessado durante esta fase do processo de gerenciamento de riscos de segurana. Tabela 4.1: Funes e responsabilidades no programa de gerenciamento de risco Funo Proprietrio da empresa Grupo de segurana de informaes Responsabilidade Determina o valor dos ativos comerciais Determina a probabilidade de impacto aos ativos comerciais Tecnologia da informao Engenharia Projeta solues tcnicas e estima os custos de engenharia Tecnologia da informao Operaes Projeta os componentes operacionais da soluo e estima os custos operacionais As inspees tcnicas internas sero aparentes durante as prximas sees que analisam mais de perto as
etapas de planejamento, coleta de dados facilitada e priorizao de riscos da fase de avaliao de riscos.
Ferramentas fornecidas para a fase de avaliao de riscos

Durante este processo de av aliao de riscos, voc ir coletar dados sobre os riscos e ento usar esses dados para priorizar os riscos. Trs ferramentas foram includas para ajud-lo nesta fase. Voc pode encontr-las na pasta Ferramentas e modelos criada quando voc descompactou o arquivo contendo este guia e os demais arquivos relacionados. Modelo de coleta de dados (FerramentaGGRS1-Ferramenta de coleta de dados.doc). Um modelo para auxiliar as discusses para coleta de dados de risco. Lista de valor de ativo (SRAPPB.doc). Um a lista com alguns dos ativos mais comuns geralmente encontrados em uma organizao. Modelos de priorizao de risco (FerramentaGGRS2-Nvel de risco resumido.xls e FerramentaGGRS3 Priorizao de risco de nvel detalhado.xls). Modelos em Microsoft Excel para auxiliar na priorizao de risco. Exemplo de agenda (FerramentaGGRS4-Exemplo de agenda de projeto.xls). Esta agenda pode auxili -lo no planejamento das atividades desta fase.
Resultados necessrios da fase de avaliao de riscos

O resultado da fa se de avaliao de riscos uma lista priorizada de riscos, incluindo a classificao qualitativa e as estimativas quantitativas usadas na fase de suporte s decises descrita no prximo captulo. Incio da pgina
Planejamento
A etapa de planejamento possivelmente a mais importante para garantir a aceitao e o suporte por parte dos interessados durante o processo de avaliao de riscos. A aceitao por parte dos interessados muito importante, pois a Equipe de gerenciamento de riscos de segurana exige a participao ativa de outros interessados. O suporte tambm muito importante, pois os resultados da avaliao podem influenciar as atividades oramentrias dos interessados se forem necessrios outros controles para reduo de risco. As principais tarefas na etapa de planejamento so alinhar de modo adequado a fase de avaliao de riscos aos processos comerciais, definir cuidadosamente o escopo da avaliao e obter a aceitao dos interessados. A prxima seo examina essas trs tarefas em mais detalhes e trata dos fatores de sucesso relacionados a essas tarefas.
Alinhamento
O melhor comear a fase de avaliao de riscos antes do processo oramentrio da sua organizao. O alinhamento facilita o suporte executivo e aumenta a visibilidade dentro da organizao e dos grupos de TI, ao mesmo tempo em que desenvolvem oramentos para o prximo ano fiscal. Um cronograma adequado tambm ajuda a obter um consenso durante a avaliao, pois permite que os interessados desempenhem funes ativas no processo de planejamento. O Grupo de segurana das informaes geralmente visto como uma equipe reativa que atrapalha as atividades da organizao e surpreende as unidades comerciais com novidades sobre falhas nos controles ou paralisaes no trabalho. Um cronograma sensato da avaliao importantssimo para obter suporte e ajudar a organizao a entender que a segurana responsabilidade de todos e parte integrante da organizao. Outro benefcio de realizar uma avaliao de riscos demonstrar que o Grupo de segurana das informaes pode ser visto como um parceiro proativo, em vez de um simples aplicador de diretivas durante as emergncias. Este guia oferece um exemplo de cronograma de projeto para ajudar no alinhamento do processo de avaliao de riscos da sua organizao. Obviamente, a Equipe de gerenciamento
de riscos de segurana no deve reter informaes de risco enquanto aguarda o ciclo oramentrio. O alinhamento do cronograma de avaliao simplesmente a melhor prtica descoberta durante as avaliaes da equipe de TI da Microsoft. Observao: o alinhamento adequado do processo de gerenciamento de riscos de segurana ao ciclo de planejamento oramentrio pode beneficiar tambm as atividades de auditoria internas e externas. Entretanto, a coordenao e a definio do escopo das atividades de auditoria esto fora do escopo deste guia.
Escopo
Durante as atividades de planejamento, articule com clareza o escopo da avaliao de riscos. Para gerenciar riscos de modo eficaz em toda a organizao, o escopo da avaliao de riscos deve documentar todas as funes da organizao includas na avaliao de riscos. Se o tamanho da sua organizao no permitir uma avaliao de riscos global, articule claramente que parte da organizao constar do escopo e defina quem sero os interessados associados. Conforme discutido no captulo 2, se a sua organizao nova no programa de gerenciamento de riscos, talvez seja uma boa idia iniciar a prtica do processo de avaliao de riscos por unidades comerciais bem definidas. Por exemplo, a seleo de um aplicativo de recursos humanos especfico ou servio de TI, como acesso remoto, pode ajudar a demonstrar a importncia do processo e ajudar a criar a motivao adequada para uma avaliao de riscos em toda a organizao. Observao: as organizaes geralmente no conseguem definir o escopo da avaliao de riscos com preciso. Defina com clareza as reas da organizao a serem avaliadas e obtenha aprovao executiva antes de prosseguir. O escopo deve ser discutido com freqncia e compreendido em todas as reunies de interessados durante o processo. Na etapa de planejamento tambm necessrio definir o escopo da avaliao de riscos. O setor de segurana das informaes usa o termo avaliao de vrias maneiras, o que pode confundir os interessados no tcnicos. Por exemplo, as avaliaes de vulnerabilidade so realizadas para identificar configuraes especificamente tecnolgicas ou falhas operacionais. O termo avalia o de conformidade pode ser usado para comunicar uma auditoria ou medidas de controles atuais contra uma diretiva formal. O processo de gerenciamento de riscos de segurana da Microsoft define a avaliao de riscos como o processo para identificar e priorizar os riscos de segurana de TI empresariais organizao. Voc pode ajustar esta definio conforme for apropriado para a sua organizao. Por exemplo, algumas equipes de gerenciamento de riscos de segurana podem incluir tambm funcionrios de segurana no escopo de sua avaliao de riscos.
Aceitao do interessado
A avaliao de riscos exige participao ativa do interessado. Como melhor prtica, trabalhe com os interessados de modo informal e desde o incio do processo, de forma a assegurar que entendam a importncia da avaliao, suas funes e o comprometimento de tempo necessrio. Qualquer Facilitador de avaliao de riscos experiente pode confirmar que existe uma diferena entre a aprovao do projeto pelo interessado e a aceitao do cronograma e da prioridade do projeto pelo interessado. A melhor prtica para obter o suporte do interessado vender antecipadamente o conceito e as atividades da avaliao de riscos. Vender antecipadamente pode significar uma reunio informal com os interessados antes que um comprometimento formal seja solicitado. Enfatize os motivos pelos quais uma avaliao proativa ajuda o interessado a longo prazo identificando os controles que podem evitar interrupes de eventos de segurana no futuro. Uma maneira eficaz de recordar aos interessados os possveis impactos que podem afetar a organizao consiste em mencionar os incidentes de segurana passados como exemplos na discusso. Observao: para ajudar os interessados a entender o processo, prepare um breve resumo comunicando a justificao e a importncia da avaliao. Compartilhe o resumo o mximo possvel. Voc saber se foi eficaz
quando ouvir os interessados descrevendo a avaliao um ao outro. O sumrio executivo deste guia oferece um bom incio para comunicar a importncia do processo de avaliao de riscos.
Preparando-se para o sucesso: definindo expectativas

A definio adequada das expectativas extremamente importante. A definio de expectativas razoveis essencial para uma avaliao de riscos bem-sucedida, p ois o processo exige contribuies significativas de diferentes grupos que possivelmente representam toda a organizao. Alm disso, os participantes precisam concordar e entender os fatores de sucesso para suas funes e para o processo como um todo. Se apenas um desses grupos no entender ou participar ativamente do processo, a eficcia de todo o programa pode ser comprometida. Quando estiver criando um consenso durante a etapa de planejamento, defina as expectativas levando em considerao as funes, responsabilidades e nveis de participao exigidos de outros interessados. Voc tambm deve compartilhar os desafios apresentados pela avaliao. Por exemplo, descreva claramente os processos de identificao e priorizao de risco para evitar possveis mal-entendidos.
Adotando a subjetividade
Os Proprietrios da empresa algumas vezes ficam nervosos quando um grupo externo (neste caso, o Grupo de segurana das informaes) prev uma possibilidade de riscos de segurana que podem afetar as prioridades financeiras. Voc pode reduzir essa tenso natural estabelecendo expectativas sobre os objetivos do processo de avaliao de riscos e garantindo aos interessados que as funes e responsabilidades sero respeitadas durante todo o processo. Especificamente, o Grupo de segurana das informaes deve reconhecer que a definio do valor dos ativos comerciais cabe aos Proprietrios da empresa. Isso tambm significa que os interessados devem contar com a experincia do Grupo de segurana das informaes para estimar a probabilidade das ameaas afetarem a organizao. Prever o futuro naturalmente subjetivo. Os Proprietrios da empresa devem aceitar e apoiar o fato que o Grupo de segurana das informaes usar a sua experincia para estimar probabilidades de riscos. Esclarea esses relacionamentos logo no incio, apresentando as credenciais, experincia e objetivos em comum do Grupo de segurana das informaes e dos Proprietrios da empresa. Aps concluir a etapa de planejamento, articular as funes e responsabilidade s e definir as expectativas de modo adequado, voc est pronto para iniciar as etapas de trabalho de campo do processo de avaliao de riscos: a coleta de dados facilitada e a priorizao de risco. As prximas duas sees analisam em detalhes essas etapas antes de discutir a fase de suporte s decises no captulo 5. Incio da pgina

A seo de viso geral deste captulo oferece uma introduo ao processo de avaliao de riscos, tratando das trs primeiras etapas: planejamento, coleta de dados facilitada e priorizao de risco. Aps concluir as atividades de planejamento, voc ir coletar dados sobre risco dos interessados em toda a organizao. Essas informaes so importantes para ajudar a identificar e priorizar riscos. Esta seo est organizada em trs partes. A primeira descreve o processo de coleta de dados em detalhes e concentra-se nos fatores de sucesso ao coletar informaes de risco. A segunda parte explica as etapas detalhadas da coleta de dados de risco atravs de reunies facilitadas com interessados tcnicos e no tcnicos. A terceira parte descreve as etapas para consolidar essa compilao de dados em um conjunto de declaraes de impacto, conforme descrito no captulo 3. Para concluir o processo de avaliao de riscos, essa lista de declaraes de impacto oferece os dados iniciais do processo de priorizao, apresentado em detalhes na prxima seo.
Chaves para o sucesso da coleta de dados

Voc pode questionar o benefcio de fazer perguntas detalhadas sobre riscos relacionados tecnologia da informao a pessoas sem experincia profissional em segurana. A experincia na realizao de avaliaes de riscos da equipe de TI da Microsoft mostra que extremamente importante fazer perguntas aos interessados tanto tcnicos como no tcnicos sobre suas opinies a respeito dos riscos aos ativos organizacionais por eles gerenciados. Os profissionais de segurana de informaes tambm devem tomar conhecim ento detalhado das preocupaes dos interessados a fim de traduzir as informaes sobre seus ambientes em riscos priorizados. As reunies colaborativas com os interessados ajudam a entender o risco de um modo que possam compreender e avaliar. Alm disso, os interessados controlam ou influenciam os gastos em TI. Se eles no entenderem as possibilidades de impacto organizao, o processo de alocao de recursos torna-se muito mais difcil. Os Proprietrios da empresa tambm orientam a cultura da organizao e influenciam o comportamento do usurio. Isso, por si s, pode ser uma poderosa ferramenta para o gerenciamento de risco. Quando os riscos so descobertos, o Grupo de segurana das informaes solicita suporte ao interessado em termos de alocao de recursos e criao de consenso sobre a definio e a priorizao do risco. Alguns Grupos de segurana das informaes sem um programa proativo de gerenciamento de riscos pode usar de medo para motivar a organizao. Essa estratgia funciona apenas a curto prazo. O Grupo de segurana das informaes deve aprender a buscar o suporte da organizao para que o programa de gerenciamento de riscos seja duradouro. A primeira etapa para obter esse suporte encontrar-se pessoalmente com os interessados.
Obtendo suporte
Os Proprietrios da empresa possuem funes explcitas no processo de avaliao de riscos. So responsveis por identificar seus ativos organizacionais e estimar os custos dos possveis impactos a esses ativos. Formalizando essa responsabilidade, o Grupo de segurana das informaes e os Proprietrios da empresa compartilham igualmente o sucesso do gerenciamento de risco. A maioria dos profissionais de segurana das informaes e os interessados tcnicos e no tcnicos no percebem essa conexo automaticam ente. Assim como os especialistas em gerenciamento de risco, os profissionais de segurana das informaes precisam tomar a iniciativa para preencher as brechas de conhecimento durante as discusses sobre riscos. Conforme mencionado do captulo anterior, o envolvimento de um patrocinador executivo que compreenda a organizao facilita muito a criao deste relacionamento.
Discusso versus indagao

Vrios mtodos de gerenciamento de riscos de segurana exigem que o Grupo de segurana das informaes faa p erguntas explcitas aos interessados e catalogue suas respostas. Exemplos desse tipo de perguntas so "Poderia descrever suas diretivas para garantir uma segmentao de tarefas adequada?" e "Que processo utiliza para rever diretivas e procedimentos?" Tome cuidado com o tom e o direcionamento da reunio. Uma boa regra a ser lembrada concentrar-se em perguntas abertas para ajudar a facilitar discusses bidirecionais. Isso tambm permite aos interessados comunicar o verdadeiro esprito de suas respostas, em vez de simplesmente relatar ao Facilitador de avaliao de riscos o que eles desejam ouvir. O objetivo da discusso sobre riscos compreender a organizao e os riscos de segurana que a envolvem, no realizar uma auditoria de diretivas documentadas. Embo ra os dados fornecidos pelo interessado no tcnico sejam vlidos, geralmente eles no so abrangentes. A Equipe de gerenciamento de riscos de segurana independententemente do Proprietrio da empresa ainda precisa pesquisar, investigar e considerar to dos os riscos de cada ativo.
Criando boa vontade

A segurana das informaes uma funo comercial bastante difcil, pois a tarefa de reduo de riscos geralmente vista como reduo da utilidade ou da produtividade do funcionrio. Use as discusses facilitadas como uma ferramenta para formar uma aliana com os interessados. Fatores como legislao, preocupaes com a privacidade, presso da concorrncia e maior conscincia dos consumidores levaram os executivos e os responsveis pelas decises comerciais a reconhecer que a segurana um componente comercial de grande importncia. Ajude os interessados a entender a importncia do gerenciamento de riscos, assim como suas funes no programa como um todo. Algumas vezes construir um relacionamento entre o Grupo de segurana das informaes e os interessados produz resultados melhores que a coleta de dados em si durante a reunio. Essa uma vitria pequena, porm importante no esforo geral de gerenciamento de riscos.
Preparao para a discusso sobre riscos

Antes de iniciar a discusso sobre riscos, a Equipe de gerenciamento de riscos de segurana deve investir tempo para pesquisar e compreender com clareza cada elemento a ser discutido. As informaes a seguir tratam das melhores prticas e definem mais a fundo cada elemento na declarao de risco bem estruturada, como preparao para facilitar as discusses com os interessados.
Identificando os dados iniciais da avaliao de riscos

A equipe de avaliao de riscos deve estar bem preparada antes de encontrar-se com os interessados. A equipe mais eficaz e as discusses so mais produtivas quando possui uma compreenso clara da organizao, seu ambiente tcnico e atividades de avaliao passadas. Use a lista a seguir para ajudar a coletar o material a ser usado como dados iniciais no processo de avaliao de riscos: Novas orientaes comerciais renove sua compreenso das prioridades da organizao ou quaisquer outras alteraes que possam ter ocorrido desde a ltima avaliao. D particular ateno a quaisquer atividades relacionadas a fuses ou aquisies. Avaliao de riscos anterior analise as avaliaes passadas para obter uma perspectiva. A equipe de avaliao de riscos pode ter de reconciliar a nova avaliao com o trabalho anterior. Auditorias colete quaisquer relatrios de auditoria relevantes para o escopo da avaliao de riscos. Os resultados de auditoria devem ser considerados na avaliao e na seleo de novas solues de controle. Incidentes de segurana use os incidentes passados para identificar os principais ativos, entender o valor dos ativos, identificar as vulnerabilidades predominantes e destacar as deficincias do controle. Eventos do setor identifique as novas tendncias na organizao e as influncias externas. Normas governamentais, leis e atividades internacionais podem afetar de forma significativa a sua postura em relao ao risco. A identificao de novas tendncias pode exigir bastante em termos de pesquisa e avaliao da sua organizao. Pode ser uma boa idia designar funcionrios a essa anlise durante todo o ano. Boletins analise as questes conhecidas de segurana identificadas na Web, em newsgroups e diretamente dos fornecedores de software. Orientao de segurana das informaes realize uma pesquisa para determinar se existem novas tendncias, ferramentas ou abordagens de gerenciamento de riscos disponveis. Os padres do setor podem ser reforados para aprimorar ou ajudar a justificar o processo de avaliao de riscos ou ajudar a identificar novas estratgias de controle. Os padres internacionais constituem outro importante dado inicial. Este guia inclui conceitos de vrios padres, como os da Organizao Internacional de Normas (ISO) 17799. A
avaliao e aplicao cuidadosa dos padres permite que voc use o trabalho de outros profissionais e oferea uma maior credibilidade em relao aos interessados da organizao. Pode ser til mencionar diretamente os padres durante a discusso sobre riscos para garantir que a avaliao trate de todas as reas aplicveis de segurana das informaes.
Identificando e classificando os ativos

O escopo da avaliao de riscos define as reas da organizao a serem analisadas durante as discusses para coleta de dados. Os ativos comerciais dentro deste escopo devem ser identificados para orientar a discusso sobre riscos. Os ativos so definidos como qualquer coisa que possua valor para a organizao. Isso inclui ativos intangveis, como a reputao da empresa e as informaes digitais, e ativos tangveis, como a infraestrutura fsica. A abordagem mais eficaz ser o mais especfico possvel na definio dos ativos comerciais como, por exemplo, informaes de conta em um aplicativo de gerenciamento de clientes. Voc no deve discutir as declaraes de impacto durante a definio de ativos. As declaraes de impacto definem o potencial de perda ou dano para a organizao. Um exemplo de declarao de impacto seria a disponibilidade de dados de conta em um aplicativo de gerenciamento de clientes. As declaraes de impacto so abordadas em detalhes mais adiante na discusso sobre riscos. Observe que cada ativo pode apresentar vrios impactos durante a discusso. Quando estiver identificando os ativos, identifique ou confirme tambm quem o proprietrio do ativo. Geralmente mais difcil identificar a pessoa ou grupo responsvel por um ativo do que parece. Documente os proprietrios especficos dos ativos durante a discusso facilitada sobre riscos. Essas informaes podem ser teis durante o processo de priorizao para confirmar as informaes e comunicar os riscos diretamente aos proprietrios do ativo. Para ajudar a categorizar os ativos, pode ser til agrup -los em cenrios comerciais como, por exemplo, transaes bancrias online ou desenvolvimento de cdigo fon te. Ao trabalhar com interessados no tcnicos, inicie a discusso sobre ativos com cenrios comerciais. Em seguida documente os ativos especficos dentro de cada cenrio. Aps a identificao dos ativos, a segunda responsabilidade do Proprietrio da empr esa classificar cada ativo em termos de impacto potencial organizao. A classificao dos ativos um componente essencial da equao geral de riscos. A seo abaixo ajuda nesse processo.
Ativos
Os ativos comerciais podem ser tangveis ou intangveis. necessrio definir o tipo de ativo com a maior preciso possvel para que os Proprietrios da empresa possam articular o valor do ativo para a organizao. Ambas as categorias de ativos exigem que o interessado fornea estimativas em forma de perda monetria direta e impacto financeiro indireto. Os ativos tangveis incluem a infra -estrutura fsica, como centros de dados, servidores e propriedade. Os ativos intangveis incluem dados ou outras informaes digitais de valor para a organizao como, por exemplo, transaes bancrias, clculos de juros, alm de planos e especificaes de desenvolvimento de produto. Conforme apropriado para a sua organizao, uma terceira definio de ativo de servio de TI pode ser til. O servio de TI uma combinao de ativos tangveis e intangveis. Por exemplo, um servio de TI de email corporativo contm servidores fsicos e utiliza a rede fsica. Entretanto, o servio pode conter dados digitais confidenciais. Voc tambm deve incluir o servio de TI como um ativo, pois geralmente possui proprietrios diferentes para ativos de dados e fsicos. Por exemplo, o proprietrio do servio de email responsvel pela disponibilidade do acesso e do envio de emails. Entretanto, o servio de email pode no ser responsvel pela confidencialidade dos dados financeiros contidos em um email ou pelos controles fsicos que envolvem os
servidores de email. Outros exemplos de servios de TI incluem compartilhamento de arquivos, armazenamento, rede, acesso remoto e telefonia.
Classes de ativo
Os ativos dentro do escopo da avaliao devem ser atribudos a um grupo ou classe qualitativa. As classes facilitam a definio do impacto geral de riscos de segurana. Tambm ajudam a organizao a concentrar -se nos ativos mais importantes primeiro. Existem diferentes modelos de avaliao de riscos para definir as vrias classes de ativo. O processo de gerenciamento de riscos de segurana da Microsoft usa trs classes de ativo para ajudar a medir o valor do ativo para uma organizao. Por que apenas trs classes? Esses trs grupos permitem um distino adequada e reduzem o tempo gasto em debates para selecionar uma classe adequada. O processo de gerenciamento de riscos de segurana da Microsoft utiliza as trs classes de ativo qualitativas a seguir: impacto comercial alto (ICA), impacto comercial moderado (ICM) e impacto comercial baixo (ICB). Durante a etapa de priorizao de risco, o processo tambm oferece orientao para quantificar os ativos. Conforme apropriado para a sua organizao, voc pode escolher quantificar os ativos durante a discusso facilitada sobre riscos. Nesse caso, tome cuidado com o tempo necessrio para alcanar um consenso sobre a quantificao de valores monetrios durante a discusso sobre riscos. O processo recomenda aguardar at que todos os riscos tenham sido identificados e priorizados para reduzir o nmero de riscos que precisam de anlise mais detalhada. Observao: para obter informaes adicionais sobre a definio e a categorizao de informaes e sistemas de informaes, consulte os workshops 800-60 de publicao especial do National Institute of Standards and Technology (NIST), "Mapping Types of Information and Information Systems to Security Categories" e a publicao 199 do Federal Information Processing Standards (FIPS), "Security Categorization of Federal Information and Information Systems". Impacto comercial alto O impacto na confidencialidade, integridade ou disponibilidade desses ativos causa perdas graves ou catastrficas para a organizao. O impacto pode ser expresso em termos financeiros bsicos ou podem refletir a perda indireta ou o roubo de instrumentos financeiros, produtividade da organizao, danos reputao ou responsabilidades legais ou normativas significativas. A lista a seguir oferece alguns exem plos dentro da classe ICA: Credenciais de autenticao como senhas, chaves criptogrficas privadas e tokens de hardware. Material comercial altamente confidencial como dados financeiros e propriedade intelectual. Ativos sujeitos a exigncias no rmativas especficas como GLBA, HIPAA, CA SB1386 e a diretiva europia de proteo a dados. Informaes de identificao pessoal (IIP) qualquer informao que poderia permitir que um invasor identificasse seus clientes ou funcionrios ou tomasse conhecimento de suas caractersticas pessoais. Dados de autorizao de transao financeira como nmeros de carto de crdito e datas de validade. Perfis financeiros como relatrios de crdito do consumidor ou declaraes de imposto de renda pessoais. Perfis mdicos como nmeros de registro mdico ou identificadores biomtricos.
Para proteger a confidencialidade dos ativos dessa classe, seu acesso restringe -se ao uso estritamente organizacional conforme necessidade de uso. O nmero de pessoas com acesso a esses dados deve ser explicitamente gerenciado pelo proprietrio do ativo. Igual tratamento deve ser dado integridade e disponibilidade dos ativos dessa classe.
Impacto comercial moderado O impacto na confidencialidade, integridade ou disponibilidade desses ativos causa perdas moderadas organizao. A perda moderada no constitui um impacto grave ou catastrfico, mas interrompe as funes organizacionais normais de uma forma que so necessrios controles proativos para minimizar o impacto aos ativos dessa classe. O impacto moderado pode ser expresso em termos financeiros bsicos ou podem incluir perda indireta ou o roubo de instrumentos financeiros, produtividade comercial, danos reputao ou responsabilidades legais ou normativas significativas. Esses ativos so destinados ao uso de grupos especficos de funcionrios ou pessoal externo aprovado com uma necessidade comercial legtima. A seguir encontram -se exemplos da classe ICM: Informaes comerciais internas diretrios de funcionrios, dados de ordens de compra, projetos de infra-estrutura de rede, informaes em sites internos e dados em compartilhamento de arquivos internos para uso comercial estritamente interno. Impacto comercial baixo Os ativos que no se enquadram nas classes ICA ou ICM, so classificados como ICB e no possuem requisitos formais de proteo ou controles adicionais alm das melhores prticas padro para segurana de infraestrutura. Esses ativos geralmente so destinados a informaes de publicao ampla, cuja divulgao no autorizada no resultaria em grandes perdas financeiras, problemas legais ou normativos, interrupes operacionais ou desvantagens comerciais com a concorrncia. Alguns exemplos de ativos ICB incluem, sem limitao: Estrutura organizacional de alto nvel. Informaes bsicas sobre a plataforma operacional de TI. Acesso de leitura a pginas de acesso pblico. Chaves criptogrficas pblicas. Comunicados imprensa publicados, folhetos de produtos, white papers e documentos includos com produtos lanados. Informaes comerciais obsoletas ou ativos tangveis.
Organizando as informaes de risco

O risco envolve vrios componentes, entre ativos, ameaas, vulnerabilidades e controles. O Facilitador de avaliao de riscos deve ser capaz de determinar que componente do risco est sendo discutido sem interferir no fluxo da conversao. Para ajudar a organizar a discusso, use o modelo de discusso sobre riscos (FerramentaGGRS1-Ferramenta de coleta de dados.doc) includa na seo Ferramentas para ajudar os participantes a entender os componentes de um risco. O modelo tambm auxilia o Secretrio de avaliao de riscos a coletar informaes de risco de modo consistente em todas as reunies. O modelo pode ser reproduzido em qualquer seqncia. Entretanto, a experincia mostra que observar a seqncia das perguntas a seguir ajuda os participantes a entender os componentes de risco e a descobrir mais informaes: Que ativo voc est protegendo? Qual o valor do ativo para a organizao? O que voc est tentando evitar que ocorra ao ativo (tanto ameaas conhecidas como potenciais)? Como pode ocorrer a perda ou exposio? Qual a extenso da possibilidade de exposio do ativo? O que voc est fazendo hoje para reduzir a probabilidade ou a extenso de dano ao ativo?
Quais so as aes que podemos tomar para reduzir a probabilidade no futuro?
Para o profissional de segurana das informaes, essas perguntas so traduzidas em terminologia especfica de avaliao de riscos e categorias usadas para priorizar riscos. Entretanto, o interessado pode no estar familiarizado com esses termos e no responsvel pela priorizao de risco. A experincia mostra que evitando a terminologia especfica de segurana das informaes, como ameaas, vulnerabilidades e contramedidas, melhora a qualidade da discusso e ajuda a no intimidar os participantes no tcnicos. Outro benefcio de usar termos funcionais na discusso sobre riscos reduzir a possibilidade de outros tecnlogos debaterem as sutilezas de determinados termos. Nesse estgio do processo, muito mais importante entender as maiores reas de risco do que debater definies concorrentes de ameaa e vulnerabilidade. O Facilitador de avaliao de riscos deve esperar at o final da discusso para solucionar questes sobre definies e terminologia de risco.
Organizando as camadas de defesa em profundidade

O Secretrio e o Facilitador de avaliao de riscos iro coletar uma quantidade enorme de informaes. Use o modelo de defesa em profundidade para ajudar a organizar a discusso relativa a todos os elementos de risco. Essa organizao ajuda a fornecer uma estrutura e auxilia a Equipe de gerenciamento de riscos de segurana na coleta de informaes de risco em toda a organizao. Um exemplo das camadas de defesa em profundidade foi includo no modelo de discusso sobre riscos e exibido na figura 4.2 abaixo. A seo intitulada "Organizando as solues de controle" no captulo 6, "Implementando controles e analisando a eficcia do programa", inclui uma descrio mais detalhada do modelo de defesa em profundidade.
Figura 4.2 Modelo de defesa em profundidade Outra ferramenta impo rtante para complementar o modelo de defesa em profundidade a referncia ao padro ISO 17799 para organizar as perguntas e respostas relacionadas a risco. Mencionar um padro abrangente como o ISO 17799 tambm ajuda a facilitar a discusso sobre riscos que envolvem outras reas como, por exemplo, jurdica, de diretivas, de processos, de pessoal e de desenvolvimento de aplicativos.
Definindo ameaas e vulnerabilidades

As informaes sobre ameaas e vulnerabilidades oferecem a evidncia tcnica usada para priorizar riscos em toda a organizao. Como muitos interessados no tcnicos podem no estar familiarizados com as exposies detalhadas afetando seus negcios, o Facilitador de avaliao de riscos pode precisar fornecer exemplos para
ajudar a iniciar a discusso. Esta uma rea em que a pesquisa anterior muito vlida para ajudar os Proprietrios da empresa a descobrir e entender os riscos em seus prprios ambientes. Como referncia, o ISO 17799 define as ameaas como a causa de possvel impacto organizao. O NIST define ameaa como um evento ou entidade com potencial para prejudicar o sistema. O impacto resultante de uma ameaa geralmente definido atravs de conceitos como confidencialidade, integridade e disponibilidade. Usar os padres do setor como referncia especialmente til na pesquisa sobre ameaas e vulnerabilidades. Para facilitar a discusso sobre riscos, pode ser til traduzir as ameaas e vulnerabilidades em termos familiares aos interessados no tcnicos. Por exemplo, o que voc est tentando evitar, ou o que voc teme que acontea ao ativo? A maior parte dos impactos aos negcios pode ser categorizada em termos de confidencialidade do ativo, integridade ou disponibilidade do ativo na realizao de negcios. Tente usar essa abordagem caso os interessados apresentem dificuldades em entender o significado das ameaas aos ativos organizacionais. Um exemplo comum de ameaa organizao uma violao de integridade de dados financeiros. Aps articular o que est tentando evitar, a prxima tarefa determinar como as ameaas podem ocorrer na sua organizao. A vulnerabilidade a fraqueza de um ativo ou grupo de ativos que uma ameaa pode explorar. Simplificando, as vulnerabilidades oferecem o mecanismo ou o modo como as ameaas podem ocorrer. Como referncia adicional, o NIST define vulnerabilidade como uma condio ou fraqueza (ou ausncia de) de procedimentos de segurana, controles tcnicos, controles fsicos ou outros controles que podem ser explorados por uma ameaa. Como exemplo, uma vulnerabilidade comum para hosts a ausncia de atualizaes de segurana. A incorporao de exemplos de ameaas e vulnerabilidades apresentadas produzem a seguinte declarao: "Hosts sem patches podem levar violao da integridade das informaes financeiras existentes nesses hosts". Uma armadilha comum na realizao da avaliao de riscos concentrar -se nas vulnerabilidades tecnolgicas. A experincia mostra que as vulnerabilidades mais significativas ocorrem geralmente devido falta de um processo de finido ou responsabilidade inadequada pelas informaes de segurana. No menospreze os aspectos organizacionais e de liderana da segurana durante o processo de coleta de dados. Por exemplo, aumentando a vulnerabilidade de atualizao de segurana acima, a incapacidade de aplicar atualizaes em sistemas gerenciados pode levar a uma violao da integridade das informaes financeiras contidas nesses sistemas. A clareza na responsabilidade e na aplicao das diretivas de segurana das informaes geralmente uma questo organizacional em muitas empresas. Observao: durante todo o processo de coleta de dados, voc deve reconhecer os grupos comuns de ameaas e vulnerabilidades. Acompanhe esses grupos para determinar se os controles semelhantes podem reduzir a probabilidade de mltiplos riscos.
Estimando a exposio de ativos

Aps o Facilitador de avaliao de riscos ter conduzido a discusso sobre identificao de ativo, ameaa e vulnerabilidade, a prxima tarefa coletar as estimativas dos interessados sobre a extenso de possibilidade de dano ao ativo, independentemente da definio de classe do ativo. A extenso de possibilidade de dano definida como exposio de ativo. Conforme discutido anteriormente, o Proprietrio da empresa responsvel tanto po r identificar os ativos como por estimar o potencial de perda para o ativo ou para a organizao. Revisando, a classe do ativo, a exposio e a combinao de ameaa e vulnerabilidade definem o impacto geral para a organizao. O impacto, por sua vez, combinado com a probabilidade para completar a declarao de riscos bemestruturada, conforme definido no captulo 3. O Facilitador de avaliao de riscos inicia uma discusso usando os exemplos a seguir de categorias
qualitativas de exposio potencial a cada combinao de ameaa e vulnerabilidade associada a um ativo:
Vantagem competitiva Legal/normativo Disponibilidade operacional Reputao no mercado
Para cada categoria, auxilie os interessados nas estimativas para os trs grupos a seguir: Exposio alta perda grave ou total do ativo Exposio moderada perda limitada ou moderada Exposio baixa perda mnima ou inexistente
A seo de priorizao deste captulo oferece orientao sobre como detalhar as categorias de exposio acima. Assim como na tarefa de quantificao dos ativos, o processo de gerenciamento de riscos de segurana da Microsoft recomenda aguardar a etapa de priorizao de risco para definir mais a fundo os nveis de exposio. Observao: se os interessados apresentarem dificuldades em selecionar os nveis de exposio durante as discusses facilitadas, estenda-se um pouco mais nos detalhes sobre ameaa e vulnerabilidade para ajudar a comunicar de maneira mais clara o nvel de dano ou perda em potencial ao ativo. Outr a ferramenta til so os exemplos pblicos de violaes de segurana. Caso precise de uma ajuda extra, apresente os nveis mais detalhados de exposio, conforme descrito na seo de priorizao mais adiante neste captulo.
Estimando a probabilidade de ameaas

Aps os interessados terem criado as estimativas de impacto potencial aos ativos organizacionais, o Facilitador de avaliao de riscos coleta as opinies dos interessados sobre a probabilidade de ocorrncia dos impactos. Isso encerra a discusso sobre riscos e ajuda os interessados a entender a linha de pensamento da identificao de riscos de segurana. Lembre -se de que o Grupo de segurana das informaes possui a propriedade da deciso final sobre a estimativa de probabilidade de ocorrncia de impacto na organizao. Essa discusso pode ser vista como uma cortesia e um ato de boa vontade por parte do interessado. Use as orientaes a seguir para estimar a probabilidade de cada ameaa e vulnerabilidade identificada na discusso: Alta muito prov vel, um ou mais impactos previstos em um ano Mdia provvel, impacto previsto em dois ou trs anos Baixa improvvel, impacto no previsto em trs anos
Isso geralmente inclui a reviso de incidentes que ocorreram recentemente. Conforme apropriado, discuta -os a fim de ajudar os interessados a compreender a importncia da segurana e do processo geral de gerenciamento de riscos. O processo de gerenciamento de riscos de segurana da Microsoft associa o perodo de um ano categoria de alta probabilidade, pois os controles de segurana das informaes geralmente precisam de um longo perodo para serem implantados. A seleo de uma probabilidade dentro de um ano chama a ateno para o risco e encoraja a tomada de uma deciso de atenuao dentro do prximo ciclo oramentrio. Uma probabilidade alta, em combinao com um impacto alto, fora uma discusso sobre riscos entre os interessados e a Equipe de gerenciamento de riscos de segurana. O Grupo de segurana das informaes deve estar ciente desta respon sabilidade quando estimar a probabilidade de impactos. A prxima tarefa coletar as opinies dos interessados sobre os possveis controles que possam reduzir a probabilidade dos impactos identificados. Trate essa discusso como um debate informal e no critique ou
descarte nenhuma idia. Mais uma vez, o objetivo principal da discusso apresentar todos os componentes do risco para facilitar a compreenso. A seleo da atenuao de fato ocorre na fase de suporte s decises. Para cada controle possvel identificado, consulte novamente a discusso sobre probabilidade para estimar o nvel de reduo de ocorrncia usando as mesmas categorias qualitativas descritas anteriormente. Enfatize aos interessados o fato de que o conceito de reduo de probabilidade de risco a principal varivel para o gerenciamento do risco at um nvel aceitvel.
Facilitando a discusso sobre riscos

Esta seo descreve em linhas gerais as preparaes necessrias para as reunies de discusso sobre riscos e define as cinco tarefas dentro da discusso para coleta de dados (determinando os ativos e cenrios organizacionais, identificando as ameaas, identificando as vulnerabilidades, estimando a exposio de ativos, identificando os controles existentes e a probabilidade de explorao).
Preparaes para a reunio

Um fator de sucesso sutil, mas de extrema importncia, a ordem seguida na discusso sobre riscos. A experincia da Microsoft mostra que quanto mais informaes a Equipe de gerenciamento de riscos de segurana levar para uma reunio, mais produtivo ser o seu resultado. Uma estratgia criar uma base de conhecimentos de riscos em toda a organizao para reforar a experincia das equipes de segurana das informaes e TI. Encontre-se com o Grupo de segurana das informaes ante s e logo aps com as equipes de TI para atualizar o seu conhecimento sobre o ambiente. Isso permite que a Equipe de gerenciamento de riscos de segurana tenha uma compreenso mais ampla da rea de cada interessado dentro da organizao. Isso tambm permite que a Equipe de gerenciamento de riscos de segurana compartilhe o progresso da avaliao de riscos com os interessados, conforme apropriado. Seguindo essa melhor prtica, realize todas as discusses sobre riscos de gerenciamento executivo at o final do processo de coleta de dados. Os executivos geralmente querem uma previso sobre a direo que est sendo tomada na avaliao de riscos. No confunda isso com patrocnio executivo e suporte. A participao executiva necessria no incio e durante todo o processo de avaliao de riscos. Invista tempo na criao da lista de convidados para cada discusso sobre riscos. A melhor prtica realizar as reunies com grupos de interessados que possuem responsabilidades e conhecimento tcnico semelhantes. O objetivo fazer com que os participantes sintam-se vontade com o nvel tcnico da discusso. Embora um conjunto diversificado de interessados possa se beneficiar ouvindo vises diferentes sobre os riscos da organizao, o processo de avaliao de riscos deve manter o foco na coleta de todos os dados relevantes dentro do perodo de tempo alocado. Aps agendar a discusso sobre riscos, faa uma pesquisa na rea da organizao de cada interessado para familiarizar -se com os ativos, ameaas, vulnerabilidades e con troles. Conforme mencionado acima, essas informaes permitem que o Facilitador de avaliao de riscos mantenha a discusso dentro do programado e em um ritmo produtivo.
Facilitando discusses
A discusso facilitada deve ter um tom informal. Entretanto, o Facilitador de avaliao de riscos deve manter a discusso em andamento para abordar todos os pontos relevantes. A experincia mostra que a discusso geralmente desvia -se da pauta. As armadilhas mais comuns so quando os interessados iniciam discusses tcnicas sobre novas vulnerabilidades ou possuem solues de controle preconcebidas. O Facilitador de avaliao de riscos deve usar a pesquisa pr-reunio e sua prpria experincia para criar um resumo da
discusso tcnica e manter o ritmo da reunio. Com a d evida preparao, uma reunio com quatro a seis interessados deve durar cerca de 60 minutos. Dedique alguns minutos iniciais para apresentar a pauta e destacar as funes e responsabilidades dentro do programa de gerenciamento de riscos. Os interessados devem entender com clareza suas funes e as contribuies esperadas. Outra melhor prtica consiste em fornecer a todos os interessados uma planilha de exemplo de discusso sobre riscos para anotaes pessoais. Isso tambm oferece uma referncia a ser usada enquanto o Facilitador de avaliao de riscos conduz a discusso sobre riscos. Outra melhor prtica consiste em chegar mais cedo e traar um esboo de modelo de risco no quadro de apresentao para anotar os dados durante a reunio. Para uma reunio de 60 minutos, o cronograma da reunio deve ser semelhante ao apresentado abaixo: Apresentaes e viso geral de gerenciamento de riscos 5 minutos Funes e responsabilidades 5 minutos Discusso sobre riscos 50 minutos
A discusso sobre riscos d ividida na seguintes sees: Determinando os ativos e cenrios organizacionais Identificando as ameaas Identificando as vulnerabilidades Estimando a exposio de ativos Estimando a probabilidade de ameaas Discusses sobre os control es propostos Resumo da reunio e prximas etapas
O fluxo real da reunio varia conforme o grupo de participantes, o nmero de riscos discutidos e a experincia do Facilitador de avaliao de riscos. Use esse exemplo como orientao em termos de tempo relativo necessrio para cada tarefa de avaliao. Alm disso, considere enviar o modelo de coleta de dados aos interessados antes da reunio se esses possurem experincia anterior com o processo de avaliao de riscos. Observao: as demais sees deste captulo incluem informaes de exemplo para ajudar a demonstrar o uso das ferramentas mencionadas na fase de avaliao de riscos. A empresa do exemplo fictcia e o contedo de risco mencionado representa apenas uma frao dos dados necessrios para uma avaliao de riscos completa. O objetivo do exemplo simplesmente demonstrar como as informaes podem ser coletadas e analisadas atravs das ferramentas fornecidas com este guia. Uma demonstrao completa de todos os aspectos do processo de gerenciament o de riscos de segurana da Microsoft produz uma quantidade significativa de dados e est fora do escopo deste guia. A empresa fictcia um banco de varejo chamado Woodgrove Bank. Os contedos relacionados ao exemplo podem ser identificados pela ttulo "Exemplo do Woodgrove" que precede cada tpico de exemplo.
Tarefa 1: determinando ativos e cenrios organizacionais

A primeira tarefa coletar as definies de ativos organizacionais do interessado dentro do escopo da avaliao de riscos. Use o modelo de coleta de dados, mostrado abaixo, para preencher os ativos tangveis, intangveis ou de servio de TI, conforme apropriado. (A FerramentaGGRS1-Ferramenta de coleta de dados.doc tambm faz parte das ferramentas includas neste guia). Ajude os interessados a selecionar uma classe de ativo para cada ativo e anot -la no modelo. Conforme apropriado, anote tambm o proprietrio do ativo. Se os interessados apresentarem dificuldade em selecionar uma classe de ativo, verifique se o ativo est definido detalhadamente para facilitar a discusso. Se os interessados continuarem a ter dificuldade, pule essa tarefa e
aguarde as discusses sobre ameaas e vulnerabilidades. A experincia mostra que os interessados classificam os ativos com maior facilidade se entendem as ameaas potenciais ao ativo e ao negcio como um todo. A discusso sobre ativos organizacionais pode ser limitada a algumas perguntas simples. Por exemplo, o ativo importante para o sucesso da empresa? o ativo pode causar um grande impacto linha de base da organizao? Se a resposta for sim, o ativo possui potencial para causar um alto impacto organizao.
Figura 4.3 Instantneo do modelo de coleta de dados (FerramentaGGRS1) Ver imagem em tamanho normal Exemplo do Woodgrove: o Woodgrove Bank possui muitos ativos de alto valor, entre sistemas de clculo de juros e IIP de clientes a dados financeiros de clientes e a sua prpria reputao como instituio confivel. Este exemplo concentra-se em um desses ativos os dados financeiros de clientes a fim de demonstrar o uso das ferramentas que acompanham este guia. Aps discutir a propriedade do ativo na reunio para discusso sobre riscos, a Equipe de gerenciamento de riscos de segurana identificou o Vice-presidente de assistncia ao consumidor como proprietrio do ativo. Se for identificado um risco controverso ou uma estratgia de atenuao dispendiosa, esse Proprietrio da empresa ser o principal interessado na deciso sobre o risco aceitvel para o Woodgrove Bank. Ao conversar com representantes do departamento de Assistncia ao consumidor, a Equipe de gerenciamento de riscos de segurana confirmou que os dados financeiros de clientes constituem um ativo de alto valor comercial.
Tarefa 2: identificando as ameaas

Use terminologia comum para facilitar a discusso sobre ameaas como, por exemplo, o que os interessados querem evitar que acontea a vrios ativos? Concentre as discusses em o que pode acontecer versus como isso pode acontecer. Formule as perguntas em termos de confidencialidade, integridade ou disponibilidade do ativo e anote tudo no modelo de coleta de dados. Exemplo do Woodgrove: usando os ativos discutidos anteriormente, muitas ameaas podem ser identificadas. Para ser breve, esse exemplo concentra-se apenas na ameaa de perda de integridade dos dados financeiros de clientes. Tambm podem existir outras ameaas relacionadas disponibilidade e confidencialidade dos dados do consumidor, mas essas esto fora do escopo desse exemplo bsico.
Tarefa 3: identificando as vulnerabilidades

Para cada ameaa identificada, discutam as vulnerabilidades como, por exemplo, como a ameaa pode ocorrer. Encoraje os interessados a fornecer exemplos tcnicos especficos ao documentar as vulnerabilidades. Cada ameaa pode apresentar vrias vulnerabilidades. Isso esperado e auxilia nas etapas posteriores de identificao de controles na fase de suporte s decises do processo de gerenciamento de riscos de
segurana. Exemplo do Woodgrove: considerando a ameaa de perda de integridade dos dados financeiros de clientes, a Equipe de gerenciamento de riscos de segurana concentrou as informaes coletadas durante a discusso sobre riscos nas trs vulnerabilidades a seguir: 1. 2. 3. Roubo de credenciais de supervisor financeiro por abuso de funcionrio confivel atravs de ataques no tcnicos, como engenharia social ou bisbilhotagem. Roubo de credenciais de supervisor financeiro de hosts de rede local (LAN) atravs de configuraes de segurana desatualizadas. Roubo de credenciais de supervisor financeiro de hosts remotos ou mveis como re sultado de uma configurao de segurana desatualizada. Observe que podem existir vrias outras vulnerabilidades neste cenrio. O objetivo demonstrar como as vulnerabilidades so designadas a determinadas ameaas. Observe tambm que os interessados podem no articular as vulnerabilidades em termos tcnicos. A Equipe de gerenciamento de riscos de segurana deve aprimorar as declaraes de ameaa e vulnerabilidade conforme necessrio.
Tarefa 4: estimando a exposio de ativos

O Facilitador de avaliao de riscos conduz uma discusso para estimar a exposio a cada combinao de ameaa e vulnerabilidade. Pea aos interessados para selecionar um nvel de exposio alto, moderado ou baixo e anotar no modelo. Para ativos e sistemas digitais, uma orientao til classificar a exposio como alta se a vulnerabilidade permite um nvel administrativo ou bsico de controle do ativo. Exemplo do Woodgrove: aps a identificao das ameaas e vulnerabilidades, o Facilitador de avaliao de riscos conduz a discusso pa ra coletar informaes sobre o nvel de dano em potencial que as combinaes de ameaa e vulnerabilidade discutidas anteriormente possam ter em relao aos negcios. Aps alguma discusso, o grupo determina o seguinte: Uma violao de integridade atravs de abuso de funcionrio confivel pode estar causando danos aos negcios, embora no de maneira grave. A extenso do dano limitada neste cenrio, pois cada supervisor financeiro pode acessar apenas os dados do cliente que gerencia. Assim, o grupo de discusso reconhece que um nmero menor de credenciais roubadas causaria menos dano que um nmero maior. Uma violao de integridade atravs de roubo de credenciais em hosts de LAN poderia causar um dano de nvel grave, ou Alto. Essa constatao especia lmente verdadeira em relao a um ataque automatizado que coletaria vrias credenciais de supervisores financeiros em um curto perodo de tempo. Uma violao de integridade atravs de roubo de credenciais em hosts mveis tambm poderia causar um dano de nvel grave, ou Alto. O grupo de discusso observa que as configuraes de segurana nos hosts remotos geralmente sofrem um atraso nos sistemas de LAN.
Tarefa 5: identificando os controles existentes e a probabilidade de explorao

Use a discusso sobre riscos para entender melhor a viso dos interessados sobre o ambiente de controle atual, suas opinies sobre a probabilidade de uma explorao e suas sugestes de controles propostos. As perspectivas do interessado podem variar em relao sua implementa o de fato, mas oferecem uma valiosa referncia para o Grupo de segurana das informaes. Use esse ponto em uma discusso para lembrar aos interessados suas funes e responsabilidades no programa de gerenciamento de riscos. Anote os resultados no modelo. Exemplo do Woodgrove: aps a discusso sobre as possveis exposies da empresa com as ameaas e vulnerabilidades identificadas, os interessados no tcnicos no possuem experincia suficiente para comentar
sobre a probabilidade de um host ser comprometido em vez de outro. Entretanto, eles concordam que seus hosts remotos ou mveis no recebem o mesmo nvel de gerenciamento que os na LAN. realizada uma discusso para solicitar aos supervisores financeiros que revejam periodicamente seus relatrios de atividade em busca de comportamento no autorizado. Esse feedback coletado e ser considerado pela Equipe de gerenciamento de riscos de segurana durante a fase de suporte s decises.
Resumindo a discusso sobre riscos

Ao final da discusso sobre riscos, resuma brevemente os riscos identificados e ajude a encerrar a reunio. Alm disso, lembre aos interessados sobre o cronograma e o processo geral de gerenciamento de riscos. As informaes coletadas na discusso sobre riscos d aos interessados uma funo ativa no processo de gerenciamento de riscos de segurana e oferece uma compreenso valiosa Equipe de gerenciamento de riscos de segurana. Exemplo do Woodgrove: o Facilitador de avaliao de riscos resume a discusso e destaca os ativos, ameaas e vulnerabilidades discutidas. Tambm descreve o processo de gerenciamento de riscos como um todo e informa ao grupo de discusso que a Equipe de gerenciamento de riscos de segurana ir incorporar suas informaes e as informaes de outros quando estimar a probabilidade de cada ameaa e vulnerabilidade.
Definindo as declaraes de impacto

A ltima tarefa da etapa de coleta de dados facilitada analisar a possvel quantidade enorme de informaes coletadas durante a discusso sobre riscos. O resultado dessa anlise uma lista de declaraes descrevendo o ativo e a possibilidade de exposio de uma ameaa e vulnerabilidade. Conforme definido no captulo 3, essas declaraes so chamadas declaraes de impacto . O impacto determinado pela combinao da classe de ativo com o nvel de possibilidade de exposio ao ativo. Lembre-se de que o impacto representa a metade da declarao de risco geral. O impacto combinado probabilidade de ocorrncia para completar a declarao de risco. A Equipe de gerenciamento de riscos de segurana cria as declaraes de impacto consolidando as informaes coletadas na discusso sobre riscos, incorporando quaisquer impactos anteriormente identificados e incluindo os dados sobre impacto de suas prprias observaes. A Equipe de gerenciamento de riscos de segurana responsvel por essa tarefa, mas deve solicitar informaes adicionais dos interessados, conforme necessrio. A declarao de impacto contm o ativo, a classificao do ativo, a camada de defesa em profundidade, a descrio da ameaa, a descrio da vulnerabilidade e classificao da exposio. Use as informaes coletadas no modelo de coleta de dados para definir as declaraes de impacto para todas as discusses facilitadas. A figura 4.4 mostra os ttulos das colunas aplicveis no modelo de Risco de nvel resumido para coletar dados especficos de impacto.
Figura 4.4 Planilha de nvel de risco resumido: colunas Ativo e Exposio (FerramentaGGRS2) Ver imagem em tamanho normal
Exemplo do Woodgrove: o exemplo de informaes coletadas durante a discusso sobre riscos pode ser organizado desenvolvendo-se declaraes de impacto. A Equipe de gerenciamento de riscos de segurana pode documentar as declaraes de impacto em formato de frases como, por exemplo, "A integridade dos dados confidenciais de clientes pode ser comprometida atravs de roubo de credenciais de hosts gerenciados remotamente". Embora essa abordagem seja precisa, a composio de frases no se aplica a uma grande quantidade de riscos em razo das inconsistncias na escrita, entendimento e dados mal organizados (classificao ou consulta de riscos). Uma abordagem mais eficiente preencher os dados de impacto na tabela Nvel resumido, conforme mostrado abaixo.
Figura 4.5 Exemplo do Woodgrove: Informaes coletadas durante o processo de coleta de dados (FerramentaGGRS2) Ver imagem em tamanho normal Observao: a prxima seo, intitulada "Priorizao de risco", oferece orientao adicional sobre como selecionar e documentar a classificao de impacto usada no processo de risco de nvel resumido.
Resumo de coleta de dados

Ao consolidar as informaes coletadas nas discusses para coleta de dados em declaraes de impacto individuais, a Equipe de gerenciamento de riscos de segurana concluiu as tarefas na etapa de coleta de dados facilitada da fase de avaliao de riscos. A prxima seo, "Priorizao de risco", analisa em detalhes as tarefas envolvidas na priorizao de risco. Durante a priorizao, a Equipe de gerenciamento de riscos de segurana responsvel por estimar a probabilidade para cada declarao de impacto. Em seguida, a Equipe de
gerenciamento de riscos de segurana combina as declaraes de impacto com as suas estimativas de probabilidade de ocorrncia. O resultado uma lista abrangente de riscos priorizados, concluindo assim a fase de avaliao de riscos. Ao analisar riscos, identifique os riscos que dependem de outro para ocorrer. Por exemplo, se um ativo de impacto comercial baixo receber um aumento de privilgios, um ativo de impacto comercial alto pode ser exposto como conseqncia. Esse um exerccio vlido, entretanto, as dependncias de risco podem ser dados extremamente complexos de coletar, acompanhar e gerenciar. O processo de gerenciamento de riscos de segurana da Microsoft recomenda destacar as dependncias conforme seja vivel, mas geralmente gerenciar todas as dependncias de risco no muito eficaz em termos econmicos. O objetivo geral identificar e gerenciar os riscos de maior prioridade para a empresa. Incio da pgina
Priorizao de risco
Conforme discutido na seo anterior, a etapa de coleta de dados facilitada define as tarefas para produzir uma lista de declaraes de impacto para identificar ativos organizacionais e seus possveis impactos. Esta se o aborda a prxima etapa na fase de avaliao de riscos: priorizao de risco. O processo de priorizao adiciona o elemento de probabilidade declarao de impacto. Lembre -se de que uma declarao de riscos bem estruturada precisa tanto do impacto organizao como da probabilidade desse impacto ocorrer. O processo de priorizao pode ser caracterizado como a ltima etapa na "definio de quais so os riscos mais importantes para a organizao". Seu resultado final uma lista priorizada de riscos que ser usada como dado inicial no processo de suporte s decises discutido no captulo 5, "Oferecendo suporte s decises". O Grupo de segurana das informaes o nico proprietrio do processo de priorizao. A equipe pode consultar os interessados tcnicos e no tcnicos, mas sua responsabilidade determinar a probabilidade de impacto potencial organizao. Ao aplicar o processo de gerenciamento de riscos de segurana da Microsoft, o nvel de probabilidade tem capacidade de aumentar a conscincia sobre riscos nos mais altos escales da organizao, ou pode reduzir tanto essa conscincia que o risco pode ser aceito sem maiores discusses. Para estimar a probabilidade de risco, a Equipe de gerenciamento de riscos de segurana precisa investir tempo para avaliar completamente cada prioridade de combinao de ameaa e vulnerabilidade. Cada combinao avaliada em relao aos controles atuais para considerar a eficcia desses controles que influenciam na probabilidade de impacto organizao. Esse processo pode ser avassalador para organizaes de grande porte e pode contestar a deciso inicial de investir em um programa formal de gerenciamento de riscos. Para reduzir a quantidade de tempo investida na priorizao de riscos, voc pode considerar dividir o processo em duas tarefas: um processo de nvel resumido e um processo de nvel detalhado. O processo de nvel resumido produz rapidamente uma lista de riscos priorizados, similar aos procedimentos de triagem realizados nas salas de emergncia dos hospitais para garantir atendimento prioritrio aos pacientes com maior necessidade. Entretanto, a desvantagem que produz uma lista contendo apenas comparaes de alto nvel entre os riscos. Uma longa lista de riscos de nvel resumido na qual cada risco categorizado como alto no fornece orientao suficiente Equipe de gerenciamento de riscos de segurana nem permite que a equipe priorize estratgias de atenuao. No entanto, permite que as equipes selecionem rapidamente os riscos para separ-los entre altos e moderados. Desta forma, a Equipe de gerenciamento de riscos de segurana pode concentrar seus esforos apenas nos riscos considerados mais importantes. O processo de nvel detalhado produz uma lista mais detalhada, distinguindo com maior facilidade um risc o do outro. A viso de risco detalhado permite a classificao de riscos em pilhas, alm de incluir uma viso mais detalhada do impacto financeiro potencial do risco. Esse elemento quantitativo facilita as discusses sobre o custo dos controles no processo de suporte s decises, abordado em mais detalhes no prximo captulo.
Algumas organizaes podem simplesmente decidir por no produzir uma lista de risco de nvel resumido. primeira vista pode parecer que essa estratgia economizaria tempo, mas na verdade esse no o caso. A minimizao do nmero de riscos na lista de nvel detalhado no final das contas torna o processo de avaliao de riscos mais eficiente. O objetivo principal do processo de gerenciamento de riscos de segurana da Microsoft simplificar o processo de avaliao de riscos, estabelecendo um equilbrio entre a granularidade adicionada para anlise de risco e a quantidade de esforo necessria para calcular o risco. Ao mesmo tempo, esfora -se em promover e preservar a clareza em relao lgica envolvida, de forma que os interessados entendam claramente os riscos organizao. Alguns riscos podem possuir a mesma classificao tanto na lista resumida como na lista detalhada, entretanto, as classificaes ainda fornecem detalhes suficien tes para determinar se o risco importante para a organizao e se deve ser encaminhado ao processo de suporte s decises. Observao: o objetivo final da fase de avaliao de riscos definir quais so os riscos mais importantes para a organizao. O objetivo da fase de suporte s decises determinar de que modo eles devem ser abordados. As equipes geralmente ficam presas nesse estgio enquanto os interessados debatem a importncia de vrios riscos. Para minimizar possveis atrasos, aplique as seguintes tarefas, conforme apropriado para a sua organizao: 1. 2. 3. Defina, em termos no tcnicos, os nveis de risco alto e mdio para a sua organizao antes de iniciar o processo de priorizao. Concentre sua ateno nos riscos que esto na fronteira entre mdio e alto. Evite discutir como abordar os riscos antes de decidir se o risco importante. Tome cuidado com os interessados que possam ter em mente solues preconcebidas e esto buscando nas descobertas sobre riscos justificativas para o seu projeto. O restante desta seo discute os fatores de sucesso e as tarefas para a criao de classificaes de risco de nvel resumido e detalhado. As tarefas a seguir e a figura 4.6 abaixo fornecem uma viso geral da seo e os produtos principais do processo de priorizao de risco.
Tarefas e produtos principais
Tarefa 1 crie a lista de nvel resumido usando categorias amplas para estimar a probabilidade de impacto organizao. Resultado lista de nvel resumido para identificar rapidamente os riscos de prioridade para a organizao.
Tarefa 2 reveja a lista de nvel resumido com os interessados para iniciar a criar um consenso sobre os riscos de prioridade e para selecionar os riscos para a lista de nvel detalhado. Tarefa 3 crie a lista de nvel detalhado examinando os atributos detalhados do risco no atual ambiente comercial. Isso inclui orientao para determinar uma estimativa quantitativa para cada risco. Resultado lista de nvel detalhado oferecendo uma viso de perto dos principais riscos organizao.
Figura 4.6 Tarefas de priorizao de risco Ver imagem em tamanho normal Observao: o resultado do risco de nvel detalhado ser revisado com os interessados no processo de suporte s decises discutido no captulo 5.
Preparando para o sucesso

Priorizar os riscos para a organizao no uma proposta simples. A Equipe de gerenciamento de riscos de segurana deve tentar prever o futuro estimando quando e como os impactos potenciais podem afetar a organizao e deve ento justificar essas previses aos interessados. Uma armadilha comum para muitas equipes "esconder" as tarefas envolvidas na determinao de probabilidade e usar clculos para representar a probabilidade em percentuais ou outros nmeros bsicos aos quais supem que os Proprietrios da empresa respondero mais rapidamente. Mas a experincia no desenvolvimento do processo de gerenciamento de riscos de segurana da Microsoft provou que mais provvel que os interessados aceitem as anlises da Equipe de gerenciamento de riscos de segurana se a lgica for clara durante o processo de priorizao. O processo mantm o foco na compreenso do interessado durante todo o processo. Voc deve manter a lgica da priorizao o mais simples possvel para atingir um consenso rapidamente, ao mesmo tempo em que minimiza mal-entendidos. A experincia na realizao de avaliaes de risco na equipe de TI da Microsoft e de outras organizaes mostra que as melhores prticas a seguir tambm ajudam a Equipe de gerenciamento de riscos de segurana durante o proc esso de priorizao: Analise os riscos durante o processo de coleta de dados. Como a priorizao de risco pode levar algum tempo, tente antecipar os riscos controversos e inicie o processo de priorizao o mais rpido possvel. Esse atalho possvel porque a Equipe de gerenciamento de riscos de segurana a nica proprietria do processo de priorizao. Realize pesquisas para dar credibilidade estimativa de probabilidade. Use relatrios de auditoria passados e considere as tendncias do setor e os incidentes de segurana internos, conforme apropriado. Encontre-se novamente com os interessados, conforme necessrio, para conhecer melhor os controles atuais e a conscincia em relao a riscos especficos em seus ambientes. Reserve tempo suficiente no projeto para realizar a pesquisa e a anlise da eficcia e das capacidades do ambiente de controle atual. Lembre aos interessados que a Equipe de gerenciamento de riscos de segurana responsvel por determinar a probabilidade. O patrocinador executivo tambm deve reconhecer sua funo e oferecer
suporte anlise da Equipe de gerenciamento de riscos de segurana.
Comunique o risco em termos comerciais. Evite a tendncia de usar linguagem relacionada a medo ou jargo tcnico na anlise de prioriza o. A Equipe de gerenciamento de riscos de segurana deve comunicar o risco de forma que a organizao compreenda, ao mesmo tempo em que deve resistir a qualquer tentao de exagerar no grau de perigo. Reconcilie os riscos novos com os antigos. Ao cria r a lista de nvel resumido, inclua os riscos das avaliaes anteriores. Isso permite que a Equipe de gerenciamento de riscos de segurana acompanhe os riscos em vrias avaliaes e oferece a oportunidade de atualizar os elementos de risco anteriores, conforme necessrio. Por exemplo, se um risco anterior no foi atenuado em razo dos altos custos de atenuao, reavalie a probabilidade de ocorrncia do risco e reveja e reconsidere quaisquer alteraes em relao aos custos ou soluo de atenuao.
Priorizando riscos de segurana

A seo a seguir explica o processo de desenvolvimento das listas de risco resumido e detalhado. Pode ser til imprimir os modelos de suporte para cada processo localizada na seo de ferramentas.
Realizando a priorizao de risco de nvel resumido

A lista de nvel resumido usa a declarao de impacto produzida durante o processo de coleta de dados. A declarao de impacto o primeiro dos dois dados iniciais da viso resumida. O segundo a estimativa de probabilidade determinada pela Equipe de gerenciamento de riscos de segurana. As trs tarefas a seguir fornecem uma viso geral do processo de priorizao de nvel resumido: Tarefa 1 determine o valor do impacto a partir das declaraes de impacto coletadas no processo de coleta de dados. Tarefa 2 estime a probabilidade de impacto para a lista de nvel resumido. Tarefa 3 complete a lista de nvel resumido combinando os valores de impacto e de probabilidade para cada declarao de risco.
Tarefa 1: determine o nvel do impacto As informaes de classe de ativo e exposio de ativo coletadas no processo de coleta de dados deve ser resumida em um nico valor para determinar o impacto. Lembre-se de que impacto a combinao da classe do ativo com a extenso de exposio ao ativo. Use a figura a seguir para selecionar o nvel de impacto para cada declarao de impacto.
Figura 4.7 Planilha de anlise de risco: Classe de ativo e Nvel de exposio (FerramentaGGRS2) Ver imagem em tamanho normal Exemplo do Woodgrove: lembre-se de que o exemplo do Woodgrove possui trs declaraes de impacto. A lista a seguir resume essas declaraes combinando a classe de ativo com o nvel de exposio: 1. Impacto de roubo por funcionrio confivel: classe de ativo ICA e Exposio baixa. Usando a figura acima, obtemos um impacto moderado.
2. 3.
Impacto de comprometimento de host de LAN: classe de ativo ICA e exposio alta levam a um impacto alto. Impacto de comprometimento de host remoto: classe de ativo ICA e exposio alta levam a um impacto alto.
Tarefa 2: estimar a probabilidade de nvel resumido Use as mesmas categorias de probabilidade discutidas no processo de coleta de dados. As categorias de probabilidade esto includas abaixo para referncia: Alta muito provvel, um ou mais impactos previstos em um ano Mdia provvel, impacto previsto ao menos uma vez em dois ou trs anos Baixa improvvel, impacto no previsto em trs anos
Exemplo do Woodgrove: a priorizao de risco de nvel resumido a primeira documentao formal da estimativa da Equipe de gerenciamento de riscos de segurana sobre a probabilidade de risco. A Equipe de gerenciamento de riscos de segurana deve estar preparada para fornecer evidncias ou relatos justificando estimativas como, por exemplo, narrando incidentes passados ou mencionando a eficcia do controle atual. A lista a seguir resume os nveis de probabilidade para o exemplo do Woodgrove: 1. Probabilidade de roubo por funcionrio confivel: Baixa. O Woodgrove National Bank orgulha-se de contratar funcionrios confiveis. A gerncia garante essa confiana atravs de anlises de histrico profissional e pessoal e realiza auditorias aleatrias sobre as atividades dos supervisores financeiros. No houve nenhum caso de abuso por parte de funcionrios at o momento. 2. Probabilidade de comprometimento de host de LAN: Mdia. O departamento de TI formalizou seu processo de patch e configurao na LAN em conseqncia das inconsistncias nos anos anteriores. Devido natureza descentralizada do banco, os sistemas foram identificados nessa ocasio como sem conformidade; entretanto, no foram relatados incidentes nos ltimos meses. 3. Probabilidade de comprometimento de host remoto: Alta. Os hosts remotos geralmente permanecem sem conformidade por um longo perodo de tempo. Os incide ntes recentes relacionados a infeces por vrus e worms nos hosts remotos foram identificados. Tarefa 3: complete a lista de risco de nvel resumido Aps a Equipe de gerenciamento de riscos de segurana estimar a probabilidade, use a figura a seguir para selecionar a classificao de risco de nvel resumido.
Figura 4.8 Planilha de anlise de risco: Impacto e Probabilidade (FerramentaGGRS2) Ver imagem em tamanho normal Observao: conforme apropriado para a sua organizao, o nvel de risco de um impacto mdio combinado com uma probabilidade mdia pode ser definido como um risco alto. A definio dos nveis de risco independentemente do processo de avaliao de riscos oferece a orientao necessria para tomar essa deciso. Lembre-se de que o GGRS uma ferramenta para facilitar o desenvolvimento de um programa de gerenciamento de riscos abrangente e consistente. Cada organizao deve definir o significado de risco para a sua prpria empresa. Exemplo do Woodgrove: combinando os resultados das classificaes de impacto e de proba bilidade nas
seguintes classificaes de risco: 1. 2. 3. Risco de roubo por funcionrio confivel: baixo (impacto mdio, probabilidade baixa) Risco de comprometimento de host de LAN: alto (impacto alto, probabilidade mdia) Comprometimento de host remoto : alto (impacto alto, probabilidade alta)
Para revisar, a figura a seguir representa todas as colunas na lista de nvel resumido, que tambm est includa em FerramentaGGRS2-Nvel de risco resumido.xls
Figura 4.9 Planilha de anlise de risco: Lista de nvel resumido (FerramentaGGRS2) Ver imagem em tamanho normal Conforme apropriado para a sua organizao, adicione colunas extras para incluir informaes adicionais como, por exemplo, uma coluna "Data da identificao" para distinguir os riscos identificados nas avaliaes anteriores. Voc tambm pode adicionar colunas para atualizar as descries de risco ou destacar quaisquer alteraes ao risco desde a ltima avaliao. Voc deve personalizar o processo de gerenciamento de riscos de segurana da Microsoft, incluindo as ferrame ntas, para atender s suas necessidades individuais. Exemplo do Woodgrove: a figura a seguir completa o exemplo da lista de risco de nvel resumido do Woodgrove Bank. Observe que as colunas de "Probabilidade" e "Nvel de risco resumido" foram adicionadas s informaes da declarao de impacto para completar os elementos de uma declarao de riscos bem estruturada.
Figura 4.10 Exemplo de lista de risco de nvel resumido do Woodgrove Bank (FerramentaGGRS2) Ver imagem em tamanho normal Analisando com os interessados A prxima tarefa no processo de priorizao analisar os resultados resumidos com os interessados. Os objetivos so atualizar os interessados sobre o processo de avaliao de riscos e solicitar seus dados para ajudar a selecionar os riscos que devem ser analisados em um nvel mais detalhado. Use os critrios a seguir ao selecionar os riscos a serem includos no processo de priorizao de nvel detalhado: Riscos de nvel alto cada risco classificado como alto deve ser includo na lista detalhada. Cada risco alto deve ter uma resoluo aps o processo de suporte s decises como, por exemplo, aceitar o risco ou desenvolver uma soluo de atenuao. Riscos na linha divisria crie uma anlise de priorizao detalhada para os riscos moderados que exigem uma resoluo. Em algumas organizaes, possvel que todos os riscos moderados sejam includos na lista detalhada. Riscos controversos se um risco for novo, no compreendido ou visto de modo diverso pelos interessados, crie uma anlise detalhada para ajudar os interessados a compreend-lo melhor.
Exemplo do Woodgrove: observe que o risco de "roubo por funcionrio confivel" est classificado como Baixo na lista de risco de nvel resumido. Nesse estgio do processo de priorizao, esse risco j bem compreendido pelos interessados. No exemplo do Woodgrove, esse risco serve como exemplo de um risco que no precisa ser qualificado para a etapa de priorizao de risco de nvel detalhado. Para o restante do exemplo do Woodgrove, apenas os riscos de comprometimento de host de LAN e remoto sero priorizados.
Realizando a priorizao de risco de nvel detalhado

A ltima tarefa no processo de avaliao de riscos a criao da lista de risco de nvel detalhado. A lista detalhada tambm uma das tarefas mais importante s, pois permite que a organizao entenda o raciocnio por trs dos mais importantes riscos empresa. Aps completar o processo de avaliao de riscos, muitas
vezes basta somente comunicar um risco bem documentado aos interessados para desencadear uma ao. Para organizaes sem um programa formal de gerenciamento de riscos, o processo de gerenciamento de riscos de segurana da Microsoft pode ser uma experincia reveladora. Observao: se um risco for bem compreendido por todos os interessados, o detalhame nto de nvel resumido pode ser suficiente para determinar a soluo de atenuao apropriada. A lista de risco detalhado refora muitos dos dados iniciais usados na lista de nvel resumido; entretanto, a viso detalhada exige que a Equipe de gerenciamento de riscos de segurana seja mais especfica nas suas descries de impacto e probabilidade. Para cada risco de nvel resumido, verifique se cada combinao de ameaa e vulnerabilidade nica para todos os riscos. Muitas vezes os riscos de nvel resumido podem no ser descritos com detalhes o suficiente para serem associados com controles especficos no ambiente. Se isso acontecer, pode no ser possvel estimar com preciso a probabilidade de ocorrncia. Por exemplo, voc pode aprimorar a descrio da ameaa na declarao de risco de nvel resumido a seguir para descrever dois riscos distintos: Declarao de risco de nvel resumido: Dentro de um ano, os servidores de grande importncia podem sofrer impacto moderado a partir de um worm em conseqncia de configuraes sem patches. Declarao de nvel detalhado 1: Dentro de um ano, os servidores de grande importncia podem ficar indisponveis por trs dias em conseqncia da propagao de worms causada por configuraes sem patches. Declarao de nvel detalhado 2: Dentro de um ano, os servidores de grande importncia podem ser comprometidos, afetando a integridade de dados em conseqncia da propagao de worms causada por configuraes sem patches. Observao: como melhor prtica, familiarize-se com a anlise de risco detalhado antes do processo de coleta de dados. Isso ajuda a Equipe de gerenciamento de riscos de segurana a fazer perguntas especficas durante as discusses iniciais para coleta de dados com os interessados e minimiza a necessidade de reunies de acompanhamento. A lista de risco de nvel detalhado tambm exige declaraes especficas sobre a eficcia do ambiente de controle atual. Aps a Equipe de gerenciamento de riscos de segurana ter compreendido detalhadamente as ameaas e vulnerabilidades que afetam a organizao, o momento de compreender os detalhes dos controles atuais. O ambiente de controle atual determina a probabilidade dos riscos potenciais organizao. Se o ambiente de controle for suficiente, ento a probabilidade de um risco organizao baixa. Se o ambiente de controle no for suficiente, ser necessrio definir uma estratgia de risco por exemplo, aceitar o risco ou desenvolver uma soluo de atenuao. Como uma melhor prtica, os riscos devem ser acompanhados independentemente do nvel de risco final. Por exemplo, se o risco for considerado aceitvel, guarde essa informao para as avaliaes futuras. O ltimo elemento da lista de risco de nvel detalhado uma estimativa de cada risco em termos quantificveis, monetrios. A seleo de um valor monetrio para o risco no ser necessria at que seja iniciado o trabalho na lista de nvel detalhado, em virtude do tempo necessrio para criar um consenso entre os interessados. A Equipe de gerenciamento de riscos de segurana pode precisar encontrar -se novamente com os interessados para coletar dados adicionais. As quatro tarefas a seguir descrevem em linhas gerais o processo para criar uma lista de nvel detalhado de riscos. uma boa idia imprimir o modelo na seo de ferramentas intitulada "FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls". O resultado uma lista detalhada de riscos que afetam a organizao. A estimativa quantitativa determinada aps o valor do risco detalhado e descrita na prxima seo.
Tarefa 1 determine o impacto e a exposio. Tarefa 2 identifique os controles atuais. Tarefa 3 determine a probabilidade de impacto. Tarefa 4 determine o nvel de risco detalhado.
Tarefa 1: determine o impacto e a exposio Primeiro, insira a classe de ativo no modelo detalhado, a partir da tabela resumida. Em seguida, selecione a exposio do ativo. Note que a classificao de exposio no modelo detalhado contm granularidade adicional em comparao com o nvel resumido. A classificao de exposio no modelo detalhado consiste em um valor de 1 a 5. Lembre -se de que a classificao de exposio define a extenso de dano ao ativo. Use os modelos abaixo como guia para determinar a classificao de exposio apropriada sua organizao. Como cada valor nos nmeros atribudos exposio pode afetar o nvel de impacto ao ativo, insira o valor mais alto de todos aps preencher com os nmeros. O primeiro nmero de exposio ajuda a medir a extenso de impacto a partir de comprometimento de confidencialidade ou integridade dos ativos comerciais. O segundo nmero ajuda a medir o impacto na disponibilidade dos ativos.
Figura 4.11 Planilha de anlise de risco: Classificaes de exposio de confidencialidade ou integridade (FerramentaGGRS3) Ver imagem em tamanho normal Aps considerar a extenso de dano de impactos potenciais confidencialidade e integridade, use a figura a seguir para determinar o nvel de impacto de ausncia de disponibilidade ao ativo. Selecione os valores mais altos como nvel de exposio de ambas as tabelas.
Figura 4.12 Planilha de anlise de risco: Classificaes de exposio de disponibilidade (FerramentaGGRS3) Ver imagem em tamanho normal Use a figura como orientao para coletar as classificaes de exposio para cada impacto potencial. Se as discusses para cole ta de dados no forneceram detalhes suficientes sobre os nveis de exposio possveis, pode ser necessrio revis -los com o proprietrio do ativo especfico. Conforme mencionado na seo de coleta de dados, mencione as descries de exposio acima durant e a discusso sobre riscos, conforme necessrio. Exemplo do Woodgrove: a lista a seguir resume as classificaes de exposio para os dois riscos restantes:
1.
Classificao de exposio de comprometimento de host de LAN: 4. O impacto comercial pode ser srio e visvel externamente, mas no deve danificar completamente todos os dados financeiros de clientes. Assim, selecionada a classificao 4.
2.
Classificao de exposio de comprometimento de host remoto: 4 (o mesmo que acima).
Aps identificar a classificao de exposio, voc est pronto para determinar o valor de impacto preenchendo as colunas apropriadas em FerramentaGGRS3 -Priorizao de nvel de risco detalhado.xls e calculando o valor. No processo de risco de nvel detalhado, o impacto o produto do valor de classe do impacto e o fator de exposio. Cada classificao de exposio recebe um valor percentual que reflete a extenso de dano ao ativo. Esse percentual chama -se fator de exposio. O processo de gerenciamento de riscos de segurana da Microsoft recomenda uma escala linear de exposio de 100% a 20%. Ajuste-o de acordo com a sua organizao. Cada valor de impacto tambm est associado ao valor qualitativo de alto, mdio ou baixo. Essa classificao til para comunicar o nvel de impacto e acompanhar os elementos de risco durante os clculos de risco detalhado. Como auxlio, a figura a seguir tambm mostra os valores de impacto possveis para cada classe de impacto.
Figura 4.13 Planilha de anlise de risco: Determinando os valores de impacto (FerramentaGGRS3) Ver imagem em tamanho normal Exemplo do Woodgrove: a figura a seguir mostra como os valores de classe do impacto, a classificao de exposio e a classificao geral de impacto so determinados usando o exemplo do Woodgrove.
Figura 4.14 Exemplo do Woodgrove mostrando os valores detalhados de classe de impacto, classificao
de exposio e valor de impacto (FerramentaGGRS3) Ver imagem em tamanho normal Tarefa 2: identifique os controles atuais A planilha FerramentaGGRS3 -Priorizao de nvel de risco detalhado.xls descreve os controles atuais na organizao que reduzem atualmente a probabilidade de ameaa e vulnerabilidade definida na declarao de impacto. Os clculos detalhados de probabilidade tambm oferecem uma avaliao da classificao de eficcia do controle, entretanto, documentar os controles aplicveis tambm ajuda na comunicao dos elementos de risco. Pode ser til organizar as descries de controle de acordo com as bem conhecidas categorias de grupos de controle gerenciais, operacionais ou tcnicos. Essas informaes tambm so teis no processo de suporte s decises descrito no captulo 5. Exemplo do Woodgrove: a seguir encontra -se um exemplo de lista de controles primrios para o "risco de comprometimento de host de LAN". Consulte a planilha FerramentaGGRS 3-Priorizao de nvel de risco detalhado.xls para obter descries adicionais de controle. Observe que as descries de controle tambm podem ser usadas para ajudar a justificar as classificaes de exposio: Os supervisores financeiros s podem acessar as suas prprias contas, portanto, a exposio inferior a 100%. So enviados informativos via email sobre patches e atualizaes a todos os usurios como preveno. O status do antivrus e das atualizaes de segurana so calculados e aplicados LAN em intervalos de poucas horas. Esse controle reduz a janela de tempo em que os hosts de LAN esto vulnerveis a uma ataque. Tarefa 3: determine a probabilidade de impacto A classificao de probabilidade consiste de dois valores. O primeiro valor determina a probabilidade da vulnerabilidade existir dentro do ambiente com base nos atributos de vulnerabilidade e possibilidade de explorao. O segundo valor determina a probabilidade da vulnerabilidade existir com base na eficcia dos controles atuais. Cada valor representado por um intervalo de 1 a 5. Use as figuras a seguir como guias para determinar a probabilidade de cada impacto organizao. A classificao de probabilidade ser ento multiplicada pela classificao de impacto para determinar a classificao de risco relativa. Observao: as figuras 4.15 e 4.17 foram usadas para ajudar a equipe de TI da Microsoft a compreender as probabilidades dos riscos ocorrerem em seus ambientes. Ajuste o contedo conforme apropriado para a sua organizao. O Grupo de segurana das informaes proprietrio do processo de priorizao e deve personalizar os atributos de priorizao conforme necessrio. Por exemplo, voc poderia modificar os nmeros para concentrar-se nas vulnerabilidades especficas do aplicativo em oposio s vulnerabilidades de infra -estrutura da empresa, caso o escopo da avaliao estivesse centrado no desenvolvimento do aplicativo. O objetivo obter um conjunto consistente de critrios para avaliar os riscos no seu ambiente. A figura a seguir inclui esses atributos de vulnerabilidade: Populao de invasores a probabilidade de explorao normalmente aumenta conforme a populao aumenta em tamanho e nvel de habilidade. Acesso remoto versus Acesso local a probabilidade normalmente aumenta se a vulnerabilidade pode ser explorada remotamente. Visibilidade da explorao a probabilidade normalmente aumenta se uma explorao bastante conhecida e disponvel publicamente. Automao da explorao a probabilidade normalmente aumenta se uma explorao pode ser programada para buscar vulnerabilidades automaticamente em ambientes de grande porte.
Lembre-se de que a estimativa da probabilidade de uma explorao possui natureza subjetiva. Use os atributos
acima como um guia para determinar e justificar as estimativas de probabilidade. A Equipe de gerenciamento de riscos de segurana deve confiar e promover sua experincia na seleo e justificao de previses.
Figura 4.15 Planilha de anlise de risco: Avaliando a vulnerabilidade (FerramentaGGRS3) Ver imagem em tamanho normal Selecione a classificao apropriada na figura a seguir.
Figura 4.16 Planilha de anlise de risco: Avaliando o valor de probabilidade (FerramentaGGRS3) Ver imagem em tamanho normal Exemplo do Woodgrove: para os hosts de LAN e remotos, possvel que todos os atributos de vulnerabilidade na categoria Alta sejam vistos tanto dentro como fora do ambiente de LAN do Woodgrove em um futuro prximo. Assim, o valor de vulnerabilidade 5 para ambos os riscos. A prxima figura avalia a eficcia dos controles atuais. Esse valor de natureza subjetiva e depende da experincia da Equipe de gerenciamento de riscos de segurana em compreender o seu ambiente de controle. Responda a cada pergunta e calcule o valor final para determinar a classificao de controle final. Um valor mais baixo significa que os controles so eficazes e podem reduzir a probabilidade de ocorrncia de uma exposio.
Figura 4.17 Planilha de anlise de risco: Avaliando a eficcia do controle atual (FerramentaGGRS3) Ver imagem em tamanho normal Exemplo do Woodgrove: para mostrar como os valores de eficcia do controle podem ser usados, a tabela a seguir resume os valores apenas para o risco de comprometimento de host de LAN. Consulte a planilha FerramentaGGRS3-Priorizao de nvel de risco detalhado.xls para ver o exemp lo completo: Tabela 4.2. Exemplo do Woodgrove Valores de eficcia do controle Pergunta sobre a eficcia do controle As responsabilidades foram definidas e aplicadas de forma eficaz? A conscientizao foi comunicada e seguida de forma eficaz? 0 (sim) Valor 0 (sim) Description A criao de diretiva e a responsabilidade pe la conformidade do host foram bem definidas. So enviadas notificaes regulares aos usurios e realizadas campanhas de conscientizao geral. Os processos foram definidos e praticados de forma eficaz? A tecnologia ou os controles existentes reduzem a ameaa de forma eficaz? 1 (no) 0 (sim) As avaliaes e aplicaes de conformidade so documentadas e seguidas. Os controles existentes ainda permitem um intervalo de tempo entre a vulnerabilidade e a aplicao de patches. As prticas de auditoria atuais so suficientes para detectar abuso ou deficincias do controle? Soma de todos os atributos do controle: 1 0 (sim) As auditorias de avaliaes e aplicaes de conformidade so eficazes considerando as atuais ferramentas.
Em seguida, adicione o valor da figura de Vulnerabilidade (Figura 4.16) ao valor da figura de Controle atual (Figura 4.17) e insira-o no modelo de nvel detalhado. O modelo mostrado na figura a seguir para referncia.
Figura 4.18 Planilha de anlise de risco: Classificao de probabilidade com controle (FerramentaGGRS3) Ver imagem em tamanho normal Exemplo do Woodgrove: a classificao total de probabilidade para o exemplo de host de LAN 6 (valor de 5 para a vulnerabilidade, mais valor de 1 para a eficcia do controle). Tarefa 4: determine o nvel de risco detalhado A figura a seguir mostra o resumo de nvel detalhado para identificar o nvel de risco de cada risco identificado. Embora a avaliao de risco em nvel detalhado possa parecer complicada, a lgica por trs de cada tarefa na classificao de risco pode ser consultada usando as figuras anteriores. Essa capacidade de acompanhar cada tarefa na declarao de risco muito til para ajudar os interessados a compreender os detalhes bsicos do
processo de avaliao de riscos.
Figura 4.19 Planilha de anlise de risco: Estabelecendo o nvel de risco detalhado (FerramentaGGRS3) Ver imagem em tamanho normal Exemplo do Woodgrove: a figura a seguir mostra a Lista de risco detalhado de exemplo para o Woodgrove Bank. Esses dados encontram-se tambm em FerramentaGGRS3.
Figura 4.20 Exemplo do Woodgrove Bank de Lista de risco detalhado (FerramentaGGRS3) Ver imagem em tamanho normal A figura anterior mostra o contedo da classificao de risco e os elementos de seus dados. Conforme mencionado acima, a classificao de risco o produto da classificao de impacto (com valores entre 1 e 10) e a classificao de probabilidade (com valores entre 0 e 10). Isso produz um intervalo de valores de 0 a 100. Aplicando a mesma lgica usada na lista de risco de nvel resumido, o nvel de risco detalhado tambm pode ser comunicada nos temos qualitativos de alto, mdio ou baixo. Por exemplo, um impacto mdio e uma probabilidade alta produzem uma classificao de risco alta. Entretanto, a lista de nvel detalhado oferece especificao adicional para cada nvel de risco, conforme mostra a figura a seguir.
Figura 4.21 Planilha de anlise de risco: Estabelecendo a classificao qualitativa resumida (FerramentaGGRS3) Ver imagem em tamanho normal Use os nveis de risco detalhados apenas como um guia. Conforme discutido no captulo 3, a Equipe de gerenciamento de riscos de segurana deve ser capaz de comunicar organizao, por escrito, o significado de riscos altos, mdios e baixos. O processo de gerenciamento de riscos de segur ana da Microsoft apenas uma ferramenta para identificar e gerenciar riscos em toda a organizao de um modo consistente e reproduzvel.
Quantificando riscos
Conforme discutido no captulo 2, o processo de gerenciamento de riscos de segurana da Microsoft aplica primeiro a abordagem qualitativa para identificar e priorizar riscos de modo rpido e eficaz. Entretanto, quando voc seleciona a estratgia de atenuao de risco mais adequada, a sua estimativa sobre o custo monetrio potencial de um risco tambm deve ser levado em considerao. Assim, para riscos de alta prioridade ou controversos, o processo tambm oferece orientao para determinar estimativas quantitativas. As tarefas para quantificar riscos ocorre aps o processo de risco de nvel detalhado, devido ao longo perodo de tempo e esforos necessrios para obter um consenso sobre as estimativas monetrias. Voc pode gastar uma quantidade considervel de tempo para quantificar os riscos baixos se comear a quantificar riscos logo no incio do processo. Obviamente, uma estimativa monetria pode ser til para comparar os vrios custos das estratgias de atenuao de risco. Entretanto, devido natureza subjetiva da avaliao de ativos intangveis, no existe um algoritmo exato para quantificar riscos. O exerccio de estimar uma perda monetria exata pode na verdade atrasar a avaliao de riscos devido aos desentendimentos entre os interessados. A Equipe de gerenciamento de riscos de segurana deve deixar claro que a estimativa quantitativa apenas um dentre vrios valores para determinar a prioridade ou o custo potencial de um risco. Um benefcio de usar o modelo qualitativo para priorizar riscos primeiro a capacidade de reforar as descries qualitativas para ajudar a aplicar um algoritmo quantitativo de modo consistente. Por exemplo, a abordagem quantitativa descrita abaixo usa a classe de ativo e as classificaes de exposio identificadas na discusso facilitada sobre riscos documentada com os interessados na seo de coleta de dados facilitada deste
captulo. Semelhante abordagem qualitativa, a primeira tarefa do mtodo quantitativo determinar o valor total do ativo. A segunda tarefa determinar a extenso de dano ao ativo, seguida pela estimativa da probabilidade de ocorrncia. Para ajuda r a reduzir o grau de subjetividade na estimativa quantitativa, o processo de gerenciamento de riscos de segurana da Microsoft recomenda usar as classes de ativo para determinar o valor total de ativo e o fator de exposio para determinar o percentual de dano ao ativo. Essa abordagem limita o resultado quantitativo a trs classes de ativo e cinco fatores de exposio, ou 15 possveis valores quantitativos de ativo. Entretanto, o valor para a estimativa de probabilidade no restringido. Conforme apropria do para a sua organizao, voc pode decidir comunicar a probabilidade em termos de um intervalo de tempo, ou pode tentar estimar o custo do risco anualmente. O objetivo encontrar um equilbrio entre a facilidade de selecionar uma classificao relativa na abordagem qualitativa e a dificuldade de uma avaliao monetria e de uma estimativa de probabilidade na abordagem quantitativa. Use as cinco tarefas a seguir para determinar o valor quantitativo: Tarefa 1 atribua um valor monetrio a cada classe de ativo da sua organizao. Tarefa 2 insira o valor de ativo para cada risco. Tarefa 3 calcule o valor de expectativa de perda nica. Tarefa 4 determine a taxa de ocorrncia anual (TOA). Tarefa 5 determine a expectativa de perda anual (EPA).
Observao: as tarefas associadas quantificao de riscos de segurana so semelhantes s etapas usadas no setor de seguros para estimar o valor de ativo, o risco e a cobertura apropriada. No momento da redao deste guia, as aplices de seguros para riscos de segurana das informaes esto comeando a surgir. Conforme o setor de seguros adquire experincia na avaliao de riscos de segurana das informaes, ferramentas como as tabelas de aturia para a segurana das informaes sero referncia s importantes na quantificao de riscos.
Tarefa 1: atribua valores monetrios s classes de ativo

Usando as definies para classes de ativo descritas na seo de coleta de dados facilitada, comece a quantificar os ativos que se enquadram na descrio de classe de impacto comercial alto. Isso permite que a Equipe de gerenciamento de riscos de segurana se concentre primeiro nos ativos mais importantes para a organizao. Para cada ativo, atribua valores monetrios em relao importncia tangvel e intangvel para a organizao. Como referncia, use as categorias a seguir para ajudar a estimar o custo total do impacto para cada ativo: Custo de substituio Custo de suporte/manuteno Custo de redundncia/disponibilidade Reputao da organizao /mercado Produtividade da organizao Receita anual Vantagem competitiva Eficcia das operaes internas Responsabilidade legal/de conformidade
Observao: a pasta de trabalho FerramentaGGRS3-Priorizao de risco de nvel detalhado contm uma
planilha para ajudar nesse processo. Aps obter as estimativas monetrias para cada categoria, some os valores para determinar a estimativa para o ativo. Repita esse processo para todos os ativos representados na classe de impacto comercial alto. O resultado deve ser uma lista de prioridade de ativos e uma estimativa bsica da importncia monetria associada para a organizao. Repita esse processo para os ativos que se enquadram nas classes de impacto comercial moderado e baixo. Em cada classe de ativo, selecione um valor monetrio para representar a importncia da classe de ativo. Uma abordagem conservadora consiste em selecionar o valor de ativo mais baixo em cada classe. Esse valor ser usado para representar a importncia de um ativo com base na classe de ativo selecionada pelos interessados durante as discusses para coleta de dados facilitada. Essa abordagem simplifica a tarefa de atribuio de valores monetrios a cada ativo reforando as classes de ativo selecionadas nas discusses para coleta de dados. Observao: outra abordagem para atribuir valor aos ativos consiste em trabalhar com a equipe de gerenciamento de riscos financeiros que pode ter os dados de avaliao e cobertura de seguros para ativos especficos.
Orientao para o uso da relevncia

Se estiver tendo dificuldades em selecionar valores de classe de ativo com o mtodo acima, outra abordagem consiste em usar as orientaes associadas com a definio de relevncia nas demonstraes financeiras produzidas por empresas abertas norte -americanas. A compreenso das orientaes de relevncia para a sua organizao pode ser muito til na seleo do valor de ativo alto para a estimativa quantitativa. A Junta de Normas de Contabilidade Financeira norte -americana (Financial Accounting Standards Board, FASB) registra o seguinte em relao s demonstraes financeiras de empresas abertas, "As clusulas desta Declarao no precisam ser aplicadas aos itens irrelevantes". Para obter mais informaes, consulte www.sec.gov/interps/account/sab99.htm (site em ingls). Esta passagem importante pois a FASB no possui um algoritmo para determinar o que relevante e o que irrelevante e desaconselha o uso de mtodos estritamente quantitativos. Em vez disso, aconselha explicitamente o uso de todas as consideraes pertinentes: "A FASB rejeita o uso de uma abordagem por meio de frmulas para liberar-se da 'onerosa responsabilidade de tomar decises com base na relevncia' em favor de uma abordagem que leve em considerao todas as consideraes pertinentes". Embora no existam frmulas, a Comisso de Valores Mobilirios e Cmbio norte -americana, no Boletim do pessoal da contabilidade nmero 99, reconhece o uso de uma regra geral para referncia na contabilidade pblica para ajudar a determinar declaraes inexatas graves. Para obter mais informaes, consulte www.sec.gov/interps/account/sab99.htm (site em ingls). A regra geral de refernc ia mencionada de 5% para valores de demonstraes financeiras. Por exemplo, um modo de estimar a relevncia em uma receita lquida de US$ 8 bilhes seria analisar mais a fundo declaraes inexatas potenciais de US$ 400 milhes, ou um conjunto de declaraes inexatas que chegariam a um total de US$ 400 milhes. As orientaes sobre relevncia variam bastante de acordo com a organizao. Use as orientaes de definio de relevncia apenas como referncia. O processo de gerenciamento de riscos de segurana da Microsoft no pretende de nenhum modo representar a posio financeira de uma organizao. O uso das orientaes de relevncia pode ser til para estimar o valor de ativos de impacto comercial alto. Entretanto, as orientaes de relevncia podem no ser teis para selecionar estimativas moderadas e baixas. Entenda que o exerccio de estimativa de impacto possui natureza subjetiva. O objetivo selecionar valores que sejam significativos para a sua organizao. Um boa dica para determinar os valores moderados e baixos selecionar um valor monetrio que seja significativo em relao quantia gasta com tecnologia da informao
na sua organizao. Voc tambm pode decidir mencionar seus custos atuais com controles especficos de segurana para aplicar a cada classe de ativo. Como exemplo, para ativos da classe de impacto moderado, voc pode comparar o valor aos gastos monetrios atuais com controles de infra-estrutura de rede bsica. Por exemplo, qual o custo total estimado para software, hardware e recursos operacionais para oferecer servios de antivrus para a organizao? Isso oferece uma referncia para comparar ativos com uma quantia monetria conhecida pela sua organizao. Como outro exemplo, um valor de classe de impacto moderado pode ser to ou mais importante quanto os gastos atuais com firewalls de proteo aos ativos. Exemplo do Woodgrove: a Equipe de gerenciamento de riscos de segurana do Woodgrove trabalhou em conjunto com os principais interessados para atribuir valores monetrios a classes de ativo. Como o gerenciamento de riscos uma novidade no Woodgrove, a empresa decidiu usar as orientaes de relevncia para formar uma linha de base para avaliar ativos. Seu plano revisar as estimativas conforme adquire experincia. O Woodgrove gera uma receita lquida anual aproximada de US$ 200 milhes. Ao aplicar a orientao de relevncia de 5%, atribui -se um valor de US$ 10 milhes classe de ativo ICA. Com base nos gastos anteriores com TI no Woodgrove, os interessados selecionaram um valor de US$ 5 milhes para os ativos ICM e US$ 1 milho para os ativos ICB. Esses valores foram selecionados pois os grandes projetos de TI usados para oferecer suporte e segurana aos ativos digitais no Woodgrove no passado estavam dentro desse intervalo de valores. Esses valores tambm sero reavaliados durante o prximo ciclo anual de gerenciamento de riscos.
Tarefa 2: identificar o valor de ativo

Aps determinar os valores de classe de ativo da sua organizao, identifique e selecione o valor apropriado para cada risco. O valor da classe de ativo deve alinhar-se ao grupo de classe de ativo selecionado pelos interessados nas discusses para coleta de dados. Essa a mesma classe usada nas listas de risco de nvel resumido e detalhado. Essa abordagem reduz o debate sobre a importncia de um determinado ativo, pois o valor da classe de ativo j foi determinado. Lembre-se de que o processo de gerenciamento de riscos de segurana da Microsoft tenta estabelecer um equilbrio entre preciso e eficcia. Exemplo do Woodgrove: os dados financeiros de clientes foram identificados como ICA durante as discusses para coleta de dados. Entretanto, o valor de ativo US$ 10 milhes com base no valor ICA definido acima.
Tarefa 3: calcule o valor de expectativa de perda nica (EPU)

Agora voc vai determinar a extenso de dano ao ativo. Use a mesma classificao de exposio identificada nas discusses para coleta de dados para ajudar a determinar o percentual de dano ao ativo. Esse percentual chama -se fator de exposio. A mesma classificao nas listas de risco de nvel resumido e detalhado. Uma abordagem conservadora consiste em aplicar uma tabela varivel linear para cada valor de classificao de exposio. O processo de gerenciamento de riscos de segurana da Microsoft recomenda uma tabela varivel de 20% para cada valor de classificao de exposio. Isso pode ser modificado conforme apropriado para a sua organizao. A ltima tarefa consiste em multiplicar o valor de ativo pelo fator de exposio para calcular a estimativa quantitativa para o impacto. Nos modelos quantitativos clssicos, esse valor conhecido como o valor de expectativa de perda nica (EPU), ou seja, o valor de ativo multiplicado pelo fator de exposio. Como referncia, a figura a seguir oferece um exemplo de uma abordagem quantitativa simples. Observe que o exemplo abaixo simplesmente divide a classe de impacto comercial alto pela metade para determinar valores moderados e baixos. Esses valores podem exigir ajustes conforme voc adquire experincia no processo de
avaliao de riscos.
Figura 4.22 Planilha de anlise de risco: Quantificando a expectativa de perda nica (FerramentaGGRS3) Ver imagem em tamanho normal Exemplo do Woodgrove: a figura a seguir representa os valores para determinar a EPU para os dois riscos de exemplo.
Figura 4.23 Exemplo de EPU do Woodgrove Bank; Observao: valores em milhes de dlares Ver imagem em tamanho normal
Tarefa 4: determine a taxa de ocorrncia anual (TOA)

Aps calcular a expectativa de perda nica, necessrio incorporar a probabilidade para concluir a estimativa de risco monetrio. Uma abordagem comum consiste em estimar a freqncia de ocorrncia do risco no futuro. Essa estimativa ser ento convertida em uma estimativa anual. Por exemplo, se o Grupo de segurana das informaes acreditar que a risco pode ocorrer duas vezes por ano, a taxa de ocorrncia anual (TOA) ser dois. Se o risco pode ocorrer uma vez a cada trs anos, a TOA ser de um tero, ou seja, 33%, ou 0,33. Para ajudar na estimativa de probabilidade, use a anlise qualitativa acima no clculo de risco detalhado. Use a informao a seguir como um guia para ajudar a identificar e comunicar o valor quantitativo para determinar a TOA.
Figura 4.24 Quantificando a taxa de ocorrncia anual (FerramentaGGRS3) Ver imagem em tamanho normal Use a figura anterior apenas como orientao. O Grupo de segurana das informaes deve selecionar um valor para representar a TOA. Exemplo do Woodgrove: a Equipe de gerenciamento de riscos de segurana determina as seguintes TOAs para os riscos de exemplo: 1. TOA do host de LAN: reforando a avaliao qualitativa de probabilidade mdia, a Equipe de gerenciamento de riscos de segurana estima que o risco ocorra ao menos uma vez a cada dois anos, portanto, a estimativa de TOA 0,5.
2.
TOA do host remoto: mais uma vez, reforando a avaliao qualitativa de probabilidade alta, a Equipe de gerenciamento de riscos de segurana estima que o risco ocorra ao menos uma vez por ano, portanto, a estimativa de TOA 1.
Tarefa 5: determine a expectativa de perda anual (EPA)

Para completar a equao quantitativa, multiplique a taxa de ocorrncia anual pela expectativa de perda nica. O produto representado como expectativa de perda anual (EPA). Expectativa de perda anual (EPA) = EPU * TOA A EPA tenta representar o custo potencial do risco em termos anua is. Embora isso possa auxiliar os interessados com uma viso financeira nas suas estimativas de custo, a Equipe de gerenciamento de riscos de segurana precisa reiterar o fato de que o impacto organizao no se enquadra de modo adequado nos gastos anuais. Se o risco se concretizar, o impacto organizao pode ocorrer em sua totalidade. Aps determinar a estimativa quantitativa do risco, observe a planilha de risco detalhado, que possui uma coluna extra para documentar qualquer histrico ou explicao que voc deseje incluir na estimativa quantitativa. Use essa coluna para ajudar a justificar a estimativa quantitativa e a oferecer suporte s evidncias, conforme apropriado. Exemplo do Woodgrove: a tabela a seguir mostra os clculos bsicos para determinar a EPA para cada exemplo de risco. Observe como uma alterao de qualquer valor pode alterar significativamente o valor EPA. Use os dados qualitativos para ajudar a justificar e determinar a estimativa quantitativa.
Figura 4.25 Exemplo de EPA do Woodgrove Bank; Observao: valores em milhes de dlares (FerramentaGGRS3) Ver imagem em tamanho normal Incio da pgina
Resumo
A fase de avaliao de riscos do ciclo de gerenciamento de riscos necessria para gerenciar riscos em toda a organizao. Ao realizar as etapas de planejamento, coleta de dados facilitada e priorizao, lembre-se de que a inteno da fase de avaliao de riscos no apenas identificar e priorizar riscos, mas fazer isso de um modo rpido e eficaz. O processo de gerenciamento de riscos de segurana da Microsoft usa uma abordagem hbrida de anlise qualitativa para identificar e selecionar riscos, usando em seguida os atributos financeiros da anlise quantitativa para oferecer um a definio mais aprofundada dos riscos.
Facilitando o sucesso na fase de suporte s decises

Aps a Equipe de gerenciamento de riscos de segurana priorizar os riscos organizao, ela deve iniciar o processo para identificar as estratgias de atenuao de risco apropriadas. Para ajudar os interessados na identificao de possveis solues de atenuao de risco, a equipe deve criar requisitos funcionais para ajudar a determinar o escopo da estratgia de atenuao para o proprietrio de atenuao adequado. A tarefa de definio de requisitos funcionais discutida dentro do processo de suporte s decises mais amplo no prximo captulo, Captulo 5, "Oferecendo suporte s decises". Incio da pgina
5 de 12

Publicado em: 15 de Outubro de 2004 Nesta pgina Viso geral Neste artigo Viso geral Identificando e comparando controles
Captulo 1: Intr Guia de Gerenc Riscos de Segur
Resumo
Viso geral
A sua organizao j deve ter concludo a fase de avaliao de riscos e desenvolvido uma lista priorizada de riscos com seus ativos mais valiosos. Agora voc deve abordar os riscos mais significativos determinando as aes apropriadas para sua atenuao. Esta fase conhecida como Oferecendo suporte s decises. Durante a fase anterior, a Equipe de gerenciamento de riscos de segurana identificou os ativos, suas respectivas ameaas, as vulnerabilidades que essas ameaas poderiam explorar para afetar os ativos, bem como os controles j estabelecidos para ajudar a proteger os ativos. A partir desses dados, a Equipe de gerenciamento de riscos de segurana criou uma lista priorizada de riscos. O processo de suporte s decises inclui uma anlise formal de relao de custo/benefcio com funes e responsabilidades bem definidas em todos os setores da organizao. A anlise de relao de custo/benefcio oferece uma estrutura consistente e abrangente que ajuda a identificar, planejar e selecionar a soluo de atenuao mais eficaz e econmica para reduzir o risco a um nvel aceitvel. Assim como o processo de avaliao de riscos, a anlise de relao de custo/benefcio exige definies bastante precisas das funes para garantir a sua eficcia. Alm disso, antes de realizar a anlise de relao de custo/benefcio, a Equipe de gerenciamento de riscos de segurana deve garantir que todos os interessados, incluindo o Patrocinador executivo, estejam cientes e concordem com o processo. Durante a fase de suporte s decises, a Equipe de gerenciamento de riscos de segurana deve determinar como abordar os principais riscos do modo mais eficaz e econmico. O resultado final ser um rgido planejamento para controlar, aceitar, transferir ou evitar cada um dos principais riscos identificados na fase de avalia o de riscos. As seis etapas da fase de suporte s decises so: 1. 2. 3. 4. 5. 6. Definir os requisitos funcionais. Selecionar as solues de controle. Comparar solues com exigncias. Estimar o grau de reduo de risco oferecido por cada controle. Estimar os custos de cada soluo. Selecionar a estratgia de atenuao de riscos.
Captulo 2: An prticas de gere de riscos de seg
Captulo 3: Vis gerenciamento segurana
Captulo 4: Ava riscos
Captulo 5: Ofe suporte s deci
Captulo 6: Imp controles e ana eficcia do prog
Apndice A: Av riscos ad hoc
Apndice B: Ati de sistemas de
Apndice C: Am comuns
Apndice D: Vulnerabilidade
Agradecimentos
A figura 5.1 abaixo mostra essas seis etapas e como a fase de suporte s decises est relacionada ao processo geral de gerenciamento de riscos de segurana da Microsoft.
Figura 5.1 O processo de gerenciamento de riscos de segurana da Microsoft: Fase de suporte s decises Ver imagem em tamanho normal No existem frmulas simplificadas para se comparar o valor de um determinado controle em relao a um outro. Este um processo bastante desaf iador por inmeras razes. Por exemplo, alguns controles afetam vrios ativos. A Equipe de gerenciamento de riscos de segurana deve chegar a um acordo sobre como comparar os valores de controles que afetam combinaes diferentes de ativos. Alm disso, existem custos adicionais associados aos controles que vo alm da sua implementao. Algumas questes relacionadas a serem consideradas so: Por quanto tempo o controle ser eficaz? Quantas horas/homem por ano sero necessrias para monitorar e manter o controle? Quantas inconvenincias sero impostas pelo controle aos usurios? Quanto treinamento ser necessrio para os responsveis pela implementao, monitorao e manuteno do controle? O custo do controle razovel em relao ao valor do a tivo?
O restante deste captulo discutir as respostas a essas perguntas. Para obter xito durante o processo de suporte s decises, necessrio seguir uma trajetria precisa, alm do total entendimento por parte dos interessados sobre as suas respectiv as funes em cada etapa. O diagrama a seguir ilustra como a Equipe de gerenciamento de riscos de segurana executa o processo de suporte s decises. Os Proprietrios da atenuao so responsveis por propor controles que reduzam o risco e determinar o seu custo. A Equipe de gerenciamento de riscos de segurana estima o grau de reduo de risco esperado de cada controle proposto. Com essas informaes, a equipe pode realizar uma anlise eficiente de relao de custo/benefcio do controle, de forma a determ inar se esse deve ser recomendado para implementao. Em seguida, o Comit de orientao de
segurana decide quais os controles que devem ser implementados.
Figura 5.2 Viso geral da fase de suporte s decises Ver imagem em tamanho normal De certa forma, a definio precisa das funes reduz os possveis atrasos, pois a deciso cabe a apenas um grupo. Entretanto, a experincia mostra que a eficcia geral do programa de gerenciamento de riscos aumenta se cada proprietrio colaborar com os outros interessados. Observao: o gerenciamento de riscos um ciclo contnuo, portanto, o esprito de equipe aumenta a motivao do interessado e pode inclusive reduzir o risco aos negcios, permitindo que os interessados reconheam os benefcios de suas contribuies e atuem rapidamente pa ra reduzir os riscos. Evidentemente, voc deve esforar-se por manter essa atitude durante os processos de gerenciamento de riscos e de suporte s decises.
Dados iniciais necessrios para a fase de suporte s decises

Para a fase de suporte s decises, necessrio apenas um dado inicial da fase de avaliao de riscos: a lista priorizada com os riscos que precisam ser atenuados. Se voc seguiu os procedimentos descritos no captulo 4, "Avaliando os riscos", essas informaes esto registradas na planilha Risco detalhado na pasta de trabalho do Microsoft Excel FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls, localizada na pasta Ferramentas e modelos criada quando voc descompactou o arquivo contendo este guia e os demais arquivos relacionados. Voc continuar a usar essa mesma planilha durante esta fase do processo.
Participantes da fase de suporte s decises

Os participantes da fase de suporte s decises so semelhantes aos que participaram da fase de avaliao de riscos. Na verdade, a maior parte, se no todos os membros da equipe, participou da fase anterior. A anlise de relao de custo/benefcio apresenta a maioria das tarefas do processo de suporte s decises. Entretanto, antes de iniciar com a anlise de relao de custo/benefcio, verifique se todos os interessados entenderam suas respectivas funes.
A tabela a seguir resume as funes e as principais responsabilidades de cada grupo no processo de suporte s decises. Tabela 5.1: Funes e responsabilidades no programa de gerenciamento de riscos Funo Operaes comerciais Responsabilidade Identifica os controles de procedimento disponveis para gerenciamento de riscos Proprietrio da empresa o proprietrio da anlise de relao de custo/benefcio dos ativos Financeiro Auxilia na anlise de relao de custo/benefcio e pode oferecer ajuda no desenvolvimento e ontrole do oramento Recursos humanos Identifica as exigncias de treinamento de pessoal e os controles, conforme necessrio Tecnologia da informao (TI) Arquitetura Identifica e avalia as solues de controle potenciais Tecnologia da informao Engenharia Determina o custo das solues de controle e como implement -las Tecnologia da informao Operaes Auditoria interna Implementa as solues de controle tcnicas Identifica as exigncias de conformidade e analisa a eficcia do controle Jurdico Identifica os controles jurdicos, polticos e contratuais e valida estimativas de valores criadas para impacto de marca, responsabilidade corporativa e outras questes comerciais Relaes pblicas Valida as estimativas de valores criadas para impacto de marca, responsabilidade corporativa e outras questes comerciais Comit de orientao de segurana Seleciona as solues de controle com base nas recomendaes da equipe do projeto de gerenciamento de riscos de segurana Equipe de gerenciamento de riscos de segurana Define os requisitos funcionais dos controles para cada risco e comunica a situao do projeto aos interessados e aos usurios afetados, conforme necessrio A Equipe de gerenciamento de riscos de segurana deve atribuir um tecnlogo de segurana para cada risco identificado. Um ponto nico de contato reduz o risco da Equipe de gerenciamento de riscos de segurana produzir mensagens inconsistentes, padronizando a interao entre os participantes durante
todo o processo de anlise de relao de custo/benefcio.
Ferramentas fornecidas para a fase de suporte s decises

As informaes coletadas nesta fase do processo devem ser registradas na planilha Risco detalhado da pasta de trabalho do Microsoft Excel FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls, localizada na pasta Ferramentas e modelos criada quando voc descompactou o arquivo contendo este guia e os demais arquivos relacionados.
Resultados necessrios para a fase de suporte s decises

Durante esta fase do processo de gerenciamento de riscos de segurana da Microsoft, voc ir definir e selecionar vrias informaes importantes sobre cada um dos principais riscos identificados durante a fase de avaliao de riscos. A tabela a seguir resume esses elementos principais. Voc encontrar descries mais detalhadas nas prximas sees deste captulo. Tabela 5.2: Resultados necessrios para a fase de suporte s decises Informaes a serem coletadas Deciso sobre como tratar cada risco Descrio Decidir controlar, aceitar, transferir ou evitar cada um dos principais riscos Requisitos funcionais Declaraes descrevendo a funcionalidade necessria para atenuar o risco Solues de controle potenciais Uma lista com os controles identificados pelos Proprietrios da atenuao e pela Equipe de gerenciamento de riscos de segurana que podem ser eficazes na atenuao de cada risco Reduo de risco de cada soluo de controle Avaliao de cada soluo de controle proposta para determinar o grau de reduo de nvel de risco ao ativo Custo estimado de cada soluo de controle Todos os custos associados com a compra, a implementao, o suporte e a mensurao de cada controle proposto Lista de solues de controle a serem implementadas Seleo feita atravs da anlise de relao de custo/benefcio
Considerando as opes de suporte s decises

As organizaes possuem duas tticas bsicas em termos de tratamento de risco: aceitar o risco ou implementar controles para reduzi-lo. Se decidirem aceitar o risco, podem decidir transferi-lo totalmente ou em parte a terceiros, como uma empresa de seguros ou uma empresa de servios gerenciados. As duas sees a seguir analisam as duas abordagens aceitao ou implementao de controles para facilitar a reduo de risco. Observao: muitos dos que utilizam o gerenciamento de riscos de segurana acreditam em uma terceira opo para o tratamento de cada risco: evit -lo. Mas importante ter em mente que quando
voc decide ev itar um risco, decide encerrar qualquer atividade associada ao risco. Com relao ao gerenciamento de riscos de segurana, as organizaes devem encerrar o uso do sistema de informaes que inclui o risco a fim de evit-lo. Por exemplo, se o risco for que "dentro de um ano os servidores sem patch podem ser comprometidos atravs de um malware, o que comprometeria a integridade dos dados financeiros", a nica maneira de evitar o risco seria encerrar o uso desses servidores, o que provavelmente no uma opo realstica. O processo de gerenciamento de riscos de segurana da Microsoft pressupe que essas organizaes esto interessadas em avaliar apenas os ativos que possuem valor comercial e que permanecero em atividade. Portanto, este guia no discute a op o de evitar o risco.
Aceitando o risco atual

O Comit de orientao de segurana deve decidir por aceitar um risco atual se concluir que no existem controles economicamente viveis para reduzir o risco de modo vantajoso. Isso no significa que a organizao no possa tratar o risco de maneira eficiente implementando um ou mais controles. Em vez disso, significa que o custo de implementao do controle ou dos controles, ou o impacto desses na capacidade da organizao de fazer negcios, muito alto em relao ao valor do ativo que precisa de proteo. Por exemplo, considere o seguinte cenrio: A Equipe de gerenciamento de riscos de segurana conclui que um dos riscos mais importantes aos principais ativos comerciais o uso de senhas para autenticao de usurios ao efetuar logon na rede corporativa. A equipe determina que a implantao de tecnologia de autenticao de dois fatores, como cartes inteligentes, pode ser a maneira mais eficiente de eliminar definitivamente o uso de senhas para autenticao. Desse modo, o Proprietrio da atenuao calcula o custo da implantao de cartes inteligentes em toda a organizao e o seu impacto nos sistemas operacionais e aplicativos comerciais. O custo da implantao bastante alto, mas pode ser justificado. Entreta nto, a equipe descobre que muitos dos aplicativos comerciais da organizao desenvolvidos internamente dependem de autenticao baseada em senha, e reescrever ou substituir esses aplicativos pode ser excessivamente custoso, alm de levar vrios anos. Em ltima anlise, a equipe decide no recomendar ao Comit de orientao de segurana o uso de cartes inteligentes para todos os usurios em um futuro imediato Entretanto, a equipe tambm percebe que uma soluo de meio termo pode funcionar: os usurios de contas particularmente poderosas ou confidenciais, como os administradores de domnio e os principais executivos, podem ser solicitados a usar a autenticao atravs de cartes inteligentes. O Comit de orientao de segurana toma a deciso final de seguir a recomendao da Equipe de gerenciamento de riscos de segurana: os cartes inteligentes no sero necessrios para todos os funcionrios. Uma variao da aceitao de risco a transferncia a terceiros. Aplices de seguro para ativos de TI esto pouco a pouco se disponibilizando. Como alternativa, as organizaes podem contratar outras empresas especializadas em servios gerenciados de segurana. A empresa terceirizada pode assumir algumas ou todas as responsabilidade pela proteo dos ativos de TI da or ganizao.
Implementando controles para reduzir riscos

Os controles, algumas vezes descritos como contramedidas ou salvaguardas, so meios organizacionais, operacionais ou tecnolgicos de gerenciamento de riscos. Os Proprietrios da atenuao, com o suporte da Equipe de gerenciamento de riscos de segurana, identificam todos os controles potenciais, calculam o custo de implementao de cada controle, determinam seus custos adicionais como a inconvenincia ao usurio ou o custo de manuteno contnua do controle e
avaliam o grau de reduo de risco possvel de cada controle. Todas essas informaes permitem que a equipe realize uma anlise eficiente de relao de custo/benefcio de cada controle proposto. Os controles que reduzem o risco aos principais ativos de modo mais eficaz e a um custo razovel para a organizao so aqueles que a equipe altamente recomenda para a implementao.
Chaves para o sucesso

Assim como na fase de avaliao de riscos, importante estabelecer expectativas razoveis para que a fase de suporte s decises seja bem-sucedida. O suporte s decises exige contribuies significativas de diferentes grupos que representam toda a empresa. Se apenas um desses grupos no entender ou participar ativamente do processo, a eficcia de todo o programa pode ser comprometida. Assegure-se de explicar com clareza as expectativas em relao a cada participante durante a fase de suporte s decises, incluindo funes, responsabilidades e nveis de participao.
Criando um consenso
importante que toda a Equipe de gerenciamento de riscos de segurana tome decises atravs de consenso. Caso contrrio, os comentrios dos membros discordantes podem prejudicar as recomendaes da equipe aps a sua apresentao ao Comit de orientao de segurana. Mesmo que o comit aprove os controles recomendados, as divergncias podem comprometer o sucesso dos projetos de acompanhamento da implementao do controle. Para que todo o processo de gerenciamento de riscos seja bem-sucedido, todos os membros da equipe devem concordar e oferecer suporte aos controles recomendados.
Evitando obstrues
Como um dos objetivos desta fase criar atravs de consenso uma lista de controles, qualquer interessado envolvido pode atrasar ou impedir o progresso impondo obstrues. Isto , qualquer participante na fase de suporte s decises poderia decidir que se recusa a concordar ou a recomendar um determinado controle. Da mesma forma, algum poderia tentar impor sua viso minoritria sobre a maioria se a recomendao de um determinado controle estivesse sendo ameaada. muito importante que o Facilitador de avaliao de riscos resolva situaes de obstruo quando estas surgirem. Est alm do escopo deste guia oferecer aconselhamento detalhado sobre como gerenciar esse tipo de desafio, mas algumas tticas eficazes incluem determinar os motivos principais do ponto de vista de uma pessoa e ento trabalhar com a equipe para tentar encontrar alternativas ou acordos eficazes aceitveis por toda a equipe. Incio da pgina
Identificando e comparando controles

Esta seo explica como o Proprietrio da atenuao identificar as solues de controle potenciais e determinar os tipos de custo associados implementao de cada controle proposto, alm de como a Equipe de gerenciamento de riscos de segurana estimar o nvel de reduo de risco oferecido por cada controle proposto. Os Proprietrios da atenuao e a Equipe de gerenciamento de riscos de segurana apresentaro suas descobertas e as solues recomendadas ao Comit de orientao de segurana para selecionar uma lista final de solues de controle para implementao. O diagrama a seguir um extrato da planilha Risco detalhado, localizada na pasta de trabalho do Excel, usada para realizar a avaliao de risco detalhado no captulo anterior. Esta planilha, FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls, est includa neste guia e encontra-se na pasta Ferramentas e modelos. O diagrama mostra todos os elemen tos usados durante a anlise de
relao de custo/benefcio. Cada uma das colunas descrita nas etapas a seguir.
Figura 5.3 Seo de suporte s decises da planilha Risco detalhado (FerramentaGGRS3) Ver imagem em tamanho normal Observao: a planilha tem como objetivo reduzir a probabilidade de impacto ao determinar o nvel de reduo de riscos. Pressupe que o valor do ativo no alterado durante o perodo da avaliao de risco. Normalmente, o nvel de exposio (grau de dano ao ativo) constante. A experincia mostra que os nveis de exposio geralmente permanecem inalterados se as descries de ameaa e vulnerabilidade so suficientemente detalhadas.
Etapa 1: definindo os requisitos funcionais

Os requisitos funcionais de segurana so declaraes que descrevem os controle s necessrios para atenuar o risco. O termo "funcional" significativo: os controles devem ser expressos conforme as funes desejadas, em oposio s tecnologias estabelecidas. Solues tcnicas alternativas tambm so possveis e qualquer deciso aceitvel, desde que atenda aos requisitos funcionais de segurana. A Equipe de gerenciamento de riscos de segurana responsvel pela definio dos requisitos funcionais, o primeiro produto do processo de anlise de relao de custo/benefcio. Para identificar adequadamente os controles potenciais, a Equipe de gerenciamento de riscos de segurana deve definir como os controles devem se comportar a fim de reduzir o risco aos negcios. Embora a equipe detenha a propriedade, recomendvel que trabalhe em colaborao com o proprietrio da soluo de atenuao. necessrio definir os requisitos funcionais para cada risco discutido no processo de suporte s decises. O produto resultante chamado de "Definies do requisito funcional". A definio e a propriedade do requisito funcional so muito importantes no processo de anlise de relao de custo/benefcio. O documento define o que necessrio para reduzir o risco identificado, mas no especifica como o risco deve ser reduzido, nem define os controles especficos. Essa distino concede Equipe de gerenciamento de riscos de segurana responsabilidade na sua rea de experincia, ao
mesmo tempo em que permite ao Proprietrio da atenuao, responsvel pela implementao da soluo de atenuao, a propriedade das decises relacionadas operao e ao suporte aos negcios. As respostas a cada risco so documentadas na coluna "Requisitos funcionais de segurana" em GGRS3-Priorizao de risco de nvel detalhado.xls. Os requisitos funcionais devem ser revisados ao menos uma vez ao ano para determinar se ainda so necessrios ou devem ser alterados.
Figura 5.4 Etapa 1 da fase de suporte s decises Ver imagem em tamanho normal O trabalho concludo na fase anterior permite que as organizaes entendam suas posies de risco e determinem racionalmente quais controles devem ser implementados para reduzir os riscos mais importantes. O Patrocinador executivo e os proprietrios da empresa querem saber a opinio do Grupo de segurana das informaes sobre como a organizao deve agir em relao a cada risco. Para responder a essa pergunta, o Grupo de segurana das informaes cria os requisitos funcionais de segurana. Para cada risco, o Grupo de segurana das informaes compe uma declarao precisa sobre os tipos de funcionalidade ou necessrio introduzir processos a fim de atenuar o risco. Exemplo do Woodgrove: baseando-se no exemplo do Woodgrove Bank usado no captulo anterior, segue abaixo um exemplo de requisito funcional til para o risco de roubo de credenciais de cliente de rede local (LAN) gerenciada resultante configurao desatualizada de assinaturas de antivrus, configuraes de host ou atualizaes de segurana desatualizadas: DEVE existir a capacidade de autenticar a identidade de usurios atravs de dois ou mais fatores quando efetuam logon na rede local. Um exemplo de requisito no funcional seria: A soluo DEVE utilizar cartes inteligentes para autenticar usurios. A segunda declarao no funcional, pois descreve o uso de uma tecnologia especfica. Cabe aos Proprietrios da atenuao fornecer uma lista de solues de controle especficos que atenda aos requisitos funcionais. sua responsabilidade traduzir os requisitos funcionais em solues de controle tcnicas ou em controles administrativos (diretivas, padres, orientaes, etc). O requisito funcional para o segundo risco examinado durante a etapa de priorizao de risco de nvel detalhado, o risco de roubo de credenciais de hosts mveis remotos resultantes de configuraes de
segurana desatualizadas seria: DEVE existir a capacidade de autenticar a identidade de usurios atravs de dois ou mais fatores quando efetuam logon na rede remotamente. Anote os requisitos funcionais para cada risco na coluna Requisitos funcionais de segurana na planilha FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls. A RFC (Solicitao de comentrios) 2119 do IETF (Internet Engineering Task Force), disponvel em www.ietf.org/rfc/rfc2119.txt, oferece orientao sobre as frases e palavras-chave a serem usadas nas declaraes de requisito s. Esses termos, geralmente em maisculas, so "DEVE" (MUST), "NO DEVE" (MUST NOT), "OBRIGATRIO" (REQUIRED), "DEVER" (SHALL), "NO DEVER" (SHALL NOT) "DEVERIA" (SHOULD), "NO DEVERIA" (SHOULD NOT), "RECOMENDADO" (RECOMMENDED), "PODE" (MAY) e "OPCIONAL" (OPTIONAL). A Microsoft recomenda que voc use essas palavras-chave nas suas declaraes de requisito funcional seguindo as definies descritas na RFC 2119: DEVE Esta palavra, ou os termos "OBRIGATRIO" ou "DEVER", significa que a definio uma exigncia absoluta da especificao. Por exemplo, se a avaliao de risco identificar um cenrio de alto risco, a palavra "DEVE" provavelmente a melhor palavra-chave para descrever o requisito que se aplica ao cenrio. NO DEVE Esta frase, ou a frase "NO DEVER", significa que a definio uma proibio absoluta da especificao. DEVERIA Esta palavra, ou o adjetivo "RECOMENDADO", significa que podem existir motivos vlidos para ignorar um item em particular em determinadas circunstncias, mas as implicaes devem ser entendidas na sua totalidade e cuidadosamente avaliadas antes de se decidir por um novo trajeto. Por exemplo, se a avaliao de risco identificar um cenrio de risco baixo, a palavra "DEVERIA" provavelmente a melhor palavra-chave para descrever o requisito que se aplica ao cenrio. NO DEVERIA Esta frase, ou a frase "NO RECOMENDADO", significa que podem existir motivos vlidos quando o determinado comportamento for aceitvel ou at mesmo til, mas as implicaes devem ser ente ndidas na sua totalidade e o caso deve ser cuidadosamente avaliado antes de implementar qualquer comportamento descrito com esta palavra. PODE Esta palavra, ou o adjetivo "OPCIONAL", significa que um item realmente opcional. Um fornecedor pode decidir incluir o item devido exigncia de um mercado em particular ou por achar que esse aprimora o produto, enquanto outro fornecedor pode omitir o mesmo item. Uma implementao que no inclui uma determinada opo DEVE estar preparada para interoperar com outra implementao que inclui a opo, embora possivelmente com funcionalidade reduzida. Do mesmo modo, uma implementao que inclui uma determinada opo DEVE estar preparada para interoperar com outra implementao que no inclui a opo (com exceo, claro, do recurso que a opo oferece). Aps a definio e a documentao dos requisitos funcionais de cada risco, voc est pronto para passar para a prxima etapa da fase de suporte s decises.
Etapa 2: identificando as solues de controle

A prxima etapa desta fase consiste em os Proprietrios da atenuao criarem uma lista com os novos controles potenciais para cada risco que atendam aos seus respectivos requisitos funcionais. Para muitas organizaes, os membros do Grupo de segurana das informa es poder oferecer auxlio, identificando vrios controles potenciais para cada risco identificado e caracterizado durante a fase anterior. As organizaes que no contam com especialistas internos em nmero suficiente para
auxiliar nessa tarefa podem considerar a opo de oferecer consultores aos Proprietrios da atenuao.
Figura 5.5 Etapa 2 da fase de suporte s decises Ver imagem em tamanho normal O processo de identificao de controles potenciais pode parecer desanimador, especialmente se poucos ou nenhum dos Proprietrios da atenuao possuem experincia anterior. Existem duas abordagens que podem dar novas idias s equipes e muitas organizaes acreditam que seja mais eficiente usar ambas. A primeira consiste em um debate informal, enquanto a segunda mais organizada e baseada em como os controles podem ser classificados e organizados. A Equipe de gerenciamento de riscos de segurana deve usar uma combinao dessas duas abordagens. Na abordagem atravs de debate informal, o Facilitador de avaliao de riscos apresenta equipe as perguntas a seguir em relao a cada risco: O Secretrio de avaliao de riscos documenta todas as respostas na coluna "Controle proposto" na planilha Risco detalhado em FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls. Esse processo continua at que todos os principais riscos tenham sido examinados e a equipe ento prossegue para determinar os custos associados a cada controle. Que medidas a organizao poderia tomar para resistir ou prevenir a ocorrncia do risco? Por exemplo, implementar autenticao de vrios fatores para reduzir o risco de comprometimento de senha ou implantar um infra-estrutura de gerenciamento automatizado de patches para reduzir o risco de comprometimento dos sistemas atravs de cdigo mvel mal-intencionado. O que a organizao poderia fazer para recuperar-se do risco aps sua ocorrncia? Por exemplo, estabelecer, fundar e treinar uma equipe robusta de resposta a incidentes ou implementar e testar processos de backup e de restaurao para todos os computadores executando um sistema operacional de classe de servidor. Indo mais alm, uma organizao pode estabelecer recursos de computao redundantes em locais remotos que podem ser colocados em servio caso ocorra um desastre no local principal. Que medidas a organizao pode tomar para detectar a ocorrncia de risco? Por exemplo, instalar um sistema de deteco de intruso baseado em rede dentro do permetro de rede e em locais-chave na rede interna, ou instalar um sistema de deteco de intruso distribudo baseado em host em
todos os computadores da organizao.
Como o controle pode ser auditado e monitorado para garantir que continua em funcionamento? Por exemplo, instalar e observar de modo diligente as ferramentas de gerenciamento apropriadas do fornecedor do produto. Como a organizao pode avaliar a eficcia do controle? Por exemplo, usar um funcionrio especialista que esteja familiarizado com a vulnerabilidade para tentar superar o controle. Existem outras aes que podem ser tomadas para gerenciar o risco? Por exemplo: transferir o risco adquirindo uma aplice de seguros que indenize contra perdas relacionadas ao risco.
O segundo mtodo para identificar novos controle potenciais organiza os controles em trs amplas categorias: organizaci onal, operacional e tecnolgica. Essas so subdivididas em controles que oferecem preveno, deteco/recuperao e gerenciamento. Os controles preventivos so implementados para impedir que o risco ocorra, por exemplo, interrompendo as violaes antes que se alastrem. Os controles de deteco e de recuperao ajudam a organizao a determinar quando ocorreu um evento de segurana e a retomar as atividades normais em seguida. Os controles de gerenciamento no fornecem necessariamente proteo, mas so necessrios para a implementao de outros controles. Essas categorias so discutidas em mais detalhes abaixo.
Controles organizacionais
Os controles organizacionais so procedimentos e processos que definem como os funcionrios da organizao devem executar suas tarefas. Os controles preventivos nesta categoria incluem: Funes e responsabilidades precisas. Precisam ser definidas e documentadas de forma precisa para que tanto a administrao como os funcionrios entendam claramente de quem a responsabilidade por garantir a implementao de um nvel de segurana adequado para os ativos de TI mais importantes. Separao de tarefas e restries de privilgios. Quando devidamente implementados, esses controles garantem que os funcionrios possuem acesso aos sistemas de TI apenas no grau necessrio para a realizao de suas tarefas e nada alm disso. Planos e procedimentos de segurana documentados. So desenvolvidos para explicar como os controles foram implementados e como deve ser sua manuteno. Treinamento de segurana e campanhas constantes de conscientizao. Necessrio para todos os membros da organizao, permitindo que os usurios e os membros da equipe de TI entendam suas responsabilidades e saibam como utilizar de modo adequado os recursos co mputacionais, protegendo assim os dados da organizao. Sistemas e processos para fornecimento e cancelamento de usurios. Esses controles so necessrios para que os novos membros da organizao possam iniciar suas atividades rapidamente, enquanto que o pessoal que est deixando a organizao perde acesso imediatamente na sua sada. Os processos para o fornecimento devem incluir tambm transferncias de funcionrios entre grupos da empresa com privilgios e nveis de acesso diferentes. Por exemplo, considere funcionrios de um rgo governamental mudando de funes e classificaes de segurana de Confidencial para Super confidencial ou vice-versa. Processos preestabelecidos para conceder acesso a contratados, fornecedores, parceiros e clientes. Geralmente uma variao do uso do fornecimento de acesso a usurios mencionado acima, mas com divergncias em alguns casos. O compartilhamento de diferentes conjuntos de dados com grupos de
usurios diversificados, sejam esses internos ou externos, pode ser um grande desafio. Essas escolhas podem ser afetadas por requisitos legais e regulatrios como, por exemplo, quando envolvem dados de sade ou financeiros. Os controles de deteco nesta categoria incluem: Aplicao contnua de programas de gerenciamento de riscos para avaliar e controlar os riscos aos principais ativos comerciais. Anlises contnuas dos controles para verificar sua eficcia. Auditorias peridicas nos sistemas para garantir que no foram comprometidos ou configurados incorretamente. Investigao sobre o histrico pessoal e profissional dos futuros funcionrios. Recomenda-se que sejam implementadas investigaes adicionais sobre o histrico pessoal e profissional dos funcionrios quando estiverem sendo considerados para uma promoo a posies com nvel de acesso mais alto aos ativos de TI da organizao. Estabelecimento de rodzio de tarefas, um modo bastante eficiente de descobrir atividades mal intencionadas por parte de membros da equipe de TI ou usurios com acesso a informaes confidenciais. Os controles de gerenciamento nesta categoria incluem: Planejamento de resposta a incidentes, oferecendo organizao a capacidade de reagir rapidamente e recuperar -se de violaes de segurana, minimizando o impacto e impedindo o alastramento a outros sistemas. Planejamento de continuidade dos negcios, permitindo que a organizao se recupere de eventos catastrficos que afetam uma grande parte da infra-estrutura de TI.
Controles operacionais
Os controles operacionais definem como os funcionrios da organizao devem tratar dados, software e hardware. Tambm incluem protees ambientais e fsicas, conforme descrito abaixo. Os controles preventivos nesta categoria incluem: Proteo das instalaes computacionais atravs de meios fsicos, como porteiros, crachs e trancas eletrnicas, trancas biomtricas e grades. Proteo fsica aos sistemas de usurios finais, incluindo dispositivos como trancas e alarmes para computadores portteis e criptografia de arquivos armazenados em dispositivos portteis. Alimentao de backup de emergncia, o que pode proteger sistemas eltricos sensveis contra danos durante quedas de energia e blackouts. Tambm ajudam a garantir que os aplicativos e os sistemas operacionais sejam desligados de modo adequado a fim de preservar dados e transaes. Sistemas de proteo contra incndio, como sistemas automticos de deteco de incndio e extintores de incndio, ferramentas essenciais para proteger os ativos comerciais. Sistemas de controle de temperatura e umidade que prolongam o tempo de vida til de equipamentos eltricos sensveis e ajudam a proteger os dados neles armazenados. Controle de acesso mdia e procedimentos de descarte para garantir que apenas pessoal autorizado tenha acesso a informaes confidenciais e que as mdias usadas para armazenar tais dados sero inutilizadas atravs de desmagnetizao ou outros mtodos antes do descarte. Sistemas de backup e possibilidade de armazenamento de backup externo para facilitar a restaurao de dados perdidos ou corrompidos. No caso de um incidente catastrfico, a mdia de backup armazenada externamente permite armazenar dados comerciais confidenciais em sistemas
de substituio. Os controles de deteco e de recuperao nesta categoria incluem: Segurana fsica, defendendo a organizao contra invasores que tentam acessar suas instalaes. Como exemplo, podemos citar sensores, alarmes, cmeras e detectores de movimento. Segurana ambiental, protegendo a organizao contra ameaas ambientais como inundaes e incndios. Como exemplo, podemos citar detectores de fumaa e fogo, alarmes, sensores e detectores de inundao.
Controles tecnolgicos
Os controles tecnolgicos variam muito em termos de complexidade. Incluem planejamento arquitetnico, engenharia, hardware, software e firmware. So todos os componentes tecnolgicos usados para construir os sistemas de informao da organizao. Os controles preventivos nesta categoria incluem: Autenticao. O processo de validao de credenciais de uma pessoa, um processo computacional ou um dispositivo. A autenticao requer que a pessoa, o processo ou o dispositivo que fez a solicitao fornea uma credencial comprovando sua identidade. As formas mais comuns de credenciais so assinaturas digitais, cartes inteligentes, dados biomtricos e uma combinao de nomes de usurio e senhas. Autorizao. O processo de conceder acesso a uma pessoa, processo computacional ou dispositivo a determinadas informaes, servios ou funcionalidades. A autorizao derivada da identidade da pessoa, processo computacional ou dispositivo que solicitou o acesso, sendo verificada atravs de autenticao. No-repdio. uma tcnica usada para garantir que algum que esteja executando uma ao em um computador no possa negar falsamente que realizou tal ao. O no -repdio oferece uma prova inegvel de que o usurio efetuou uma determinada ao, como transferncia de dinheiro, autorizao de compra ou envio de uma mensagem. Controle de acesso. O mecanis mo para limitar o acesso a determinadas informaes com base na identidade do usurio e na participao em vrios grupos predefinidos. O controle de acesso pode ser obrigatrio, condicional ou baseado na funo. Comunicaes protegidas. Esses controles usam criptografia para proteger a integridade e a confidencialidade das informaes transmitidas atravs de redes. Sistemas de auditoria. Permitem monitorar e acompanhar o comportamento inesperado do sistema. So uma ferramenta essencial para a deteco, o entendimento e a recuperao de violaes de segurana. Programas antivrus. Planejados para detectar e responder a softwares mal intencionados, como vrus e worms. As respostas podem incluir o bloqueamento do acesso do usurio aos sistemas ou arquivos infectados ou informar ao usurio que sobre a deteco de um programa infectado. Ferramentas de verificao de integridade do sistema. Permitem que a equipe de TI determine se foram feitas alteraes no autorizadas ao sistema. Por exemplo, algumas ferramentas de verificao de integridade do sistema calculam a soma de todos os arquivos presentes nos volumes de armazenamento do sistema e guardam as informaes no banco de dados de um outro computador. Essa ferramenta permite realizar comparaes confiveis e automatizadas entre o estado atual do sistema e sua correta configurao anterior. Os controles de gerenciamento nesta categoria incluem:
Os controles de deteco e de recuperao nesta categoria incluem:
As ferramentas de administrao de segurana que acompanham vrios sistemas operacionais e aplicativos comerciais, assim como produtos de hardware e software voltados para a segurana. Essas ferramentas so necessrias para realizar eficientemente a manuteno, o suporte e a soluo de problemas dos recursos de segurana desses produtos. Criptografia, a base de vrios outros controles de segurana. A criao, o armazenamento e a distribuio segura de chaves de criptografia possibilita tecnologias como redes virtuais privadas (VPNs), autenticao de usurio segura e criptografia de dados em vrios tipos de mdia de armazenamento. Identificao, possibilitando identificar usurios e processos exclusivos. Com essa capacidade, os sistemas podem incluir recursos como responsabilidade e contro le de acesso condicional, baseado na funo e obrigatrio. Protees inerentes ao sistema, que so os recursos desenvolvidos dentro do sistema para proteger as informaes nele processadas ou armazenadas. Os recursos de proteo do sistema podem ser demonstrados atravs de reutilizao segura de objetos, suporte a memria no-execute (NX) e separao de processo.
Ao considerar as solues de controle, revise a seo "Organizando as solues de controle" no captulo 6, "Implementando controles e analisando a eficcia do programa". Esta seo inclui links para vrias orientaes prescritivas escritas para ajudar a aumentar a segurana dos sistemas de informao das organizaes. Exemplo do Woodgrove: o primeiro risco, o risco de roubo das credenciais do sup ervisor financeiro durante conexo LAN, deve ser tratado solicitando que os usurios sejam autenticados atravs de cartes inteligentes quando estiverem conectados localmente na rede corporativa. O segundo risco, o risco de roubo das credenciais do supervisor financeiro durante conexo rede remota, deve ser tratado solicitando que todos os usurios sejam autenticados atravs de cartes inteligentes quando estiverem conectados remotamente na rede corporativa. Anote cada um dos controles propostos para cada risco na coluna "Controle proposto" em FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls.
Etapa 3: Comparar solues com exigncias

A Equipe de gerenciamento de riscos de segurana deve aprovar a soluo de controle a fim de garantir que atenda aos requisitos funcionais definidos. Outro benefcio da colaborao durante todo o processo de anlise de relao de custo/benefcio a capacidade de antecipar as inspees inerentes ao processo. Por exemplo, se o Proprietrio da atenuao participar do processo de definio dos requisitos de segurana, a soluo provavelmente atender aos requisitos. Os controles que no atendem aos requisitos funcionais de um determinado risco so removidos da planilha Risco detalhado.
Figura 5.6 Etapa 3 da fase de suporte s decises Ver imagem em tamanho normal Exemplo do Woodgrove: a Equipe de gerenciamento de riscos de segurana comparou o uso de cartes inteligentes na autenticao de usurio para determinar se a sua implementao atenderia aos requisitos funcionais. Neste caso, os cartes inteligentes atenderiam aos requisitos funcionais tanto do primeiro como do segundo risco usado nesse exemplo. Marque cada um dos controles propostos rejeitados usando uma formatao diferente na planilha FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls.
Etapa 4: estimando a reduo de riscos

A Equipe de gerenciamento de riscos de segurana, aps aprovar a atenuao potencial, deve recalcular a reduo geral de risco aos negcios. O valor da reduo de risco ser comparado ao custo da soluo de atenuao. Esta a primeira etapa na qual um total monetrio quantitativo pode fornecer um valor na anlise de relao de custo/benefcio. A experincia mostra que a reduo de risco geralmente estimada aumentando-se a probabilidade de ocorrncia de impacto aos negcios. Lembre-se de que cada classificao de probabilidade alta, mdia ou baixa possui um perodo de tempo previsto no qual possvel que o impacto ocorra.
Figura 5.7 Etapa 4 da fase de suporte s decises Ver imagem em tamanho normal O aumento da estimativa de ocorrncia do impacto de um ano para mais de trs anos fornece um valor significativo para a Equipe de gerenciamento de riscos de segurana e para o Comit de orientao de segurana. Embora seja possvel que a estimativa de prejuzo financeiro no d iminua, menos provvel que o prejuzo ocorra em um futuro prximo. importante lembrar que o objetivo no reduzir o impacto a zero, mas definir um nvel de risco aceitvel para os negcios. Outro benefcio da reduo de risco a curto prazo est relacionado tendncia comum de reduo gradual dos custos de controle tcnico e seu respectivo aumento em eficcia. Por exemplo, uma melhoria na estratgia de gerenciamento de patches atual pode significar uma reduo significativa da probabilidade de comprometimento do host hoje. Entretanto, o custo de implantao de patches e atualizaes de segurana pode diminuir conforme novas orientaes e ferramentas tornam-se disponveis para gerenciar essas operaes de modo eficiente. Um outro exemplo dessa tendncia a reduo de custos atravs de autenticao de dois fatores. Ao determinar o grau de reduo de risco relativo a um determinado controle, considere todos os modos nos quais o controle pode afetar o risco. Algumas das questes a considerar incluem: O controle impede um ataque em especfico ou um conjunto de ataques? Ele minimiza o risco de uma determinada classe de ataques? O controle reconhece uma explorao quando essa ocorre? Se ele reconhece uma explorao, consegue resistir ou monitorar o ataque? O controle ajuda a recuperar os ativos que sofreram um ataque? Que outros benefcios oferece? Qual o custo total do controle em relao ao valor do ativo?
Essas perguntas podem se tornar complexas quando um controle em particular afeta vrias vulnerabilidades e ativos. Fundamentalmente, o objetivo desta etapa criar estimativas sobre o grau de reduo de nvel de risco de cada controle. Anote os novos valores para Classificao da exposio,
Classificao de probabilidade e Classif icao de risco nas colunas "Classificao de exposio com o novo controle", "Classificao de probabilidade com o novo controle" e "Nova classificao de risco" em FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls para cada risco. Exemplo do Wo odgrove: com relao ao primeiro risco, o risco de supervisores financeiros terem suas senhas comprometidas atravs do uso de clientes de LAN, a Equipe de gerenciamento de riscos de segurana poderia concluir que a classificao da exposio aps a implementao de cartes inteligentes para autenticaes locais seria 8, a classificao de probabilidade cairia para 1 e, portanto, a nova classificao de risco seria 9. Para o segundo risco, o risco de supervisores financeiros terem suas senhas comprometidas atravs do acesso rede remotamente, a Equipe de gerenciamento de riscos de segurana encontraria valores semelhantes. Anote as novas classificaes de exposio, probabilidade e risco para cada controle proposto nas colunas "Classificao de exposio com o novo controle", "Classificao de probabilidade com o novo controle" e "Nova classificao de risco" na planilha Risco detalhado em FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls.
Etapa 5: estimando o custo da soluo

A prxima tarefa nesta fase consiste em o Proprietrio da atenuao criar uma estimativa do custo relativo de cada controle proposto. A equipe de engenharia de TI deve ser capaz de determinar como implementar cada controle e de fornecer estimativas razoavelmente precisas sobre os custos de aquisio, implementao e manuteno de cada um. Como o processo de gerenciamento de riscos de segurana da Microsoft implica em um processo de gerenciamento de riscos hbrido, no necessrio calcular os custos com preciso, basta uma estimativa. Durante a anlise de relao de custo/benefcio, os valores e custos relativos de cada controle sero comparados, em vez de nmeros financeiros absolutos. Quando a equipe criar essas estimativas, deve levar em considerao os gastos diretos e indiretos a seguir que podem estar associados a um controle. Anote os custos de cada controle na coluna "Custo da descrio do controle" em FerramentaGGRS3 -Priorizao de risco de nvel detalhado.xls.
Figura 5.8 Etapa 5 da fase de suporte s decises
Ver imagem em tamanho normal
Custos de aquisio
Esses custos envolvem software, hardware ou servios relacionados a um novo controle proposto. Alguns controles podem no possuir custo de aquisio por exemplo, a implementao de um novo controle pode simplesmente envolver a habilita o de um recurso no usado anteriormente em uma determinada parte do hardware de rede j em uso pela organizao. Outros controles podem exigir a compra de novas tecnologias, como um software de firewall distribudo ou hardware de firewall dedicado com funes de filtragem de camada de aplicativo. Alguns controles podem no exigir nenhuma compra, mas sim a contratao de uma organizao externa. Por exemplo, uma organizao pode contratar uma outra para fornecer uma lista de bloqueio de remetentes de spam conhecidos atualizada diariamente para que possa anex -la aos filtros de spam j instalados nos servidores de email da organizao. Podem existir outros controles que a prpria organizao decida desenvolver. Todos os custos relacionados ao planejamento, desenvolvimento e teste dos controles faro parte dos custos de aquisio da organizao.
Custos de implementao
Esses gastos esto relacionados equipe ou aos consultores que executaro a instalao e a configurao do novo controle. Alguns controles podem exigir uma equipe grande para especificar, planejar, testar e implantar adequadamente. Como alternativa, um administrador de sistemas experiente poderia, em poucos minutos, desativar alguns servios de sistema no usados em todos os computadores desktop e mveis, caso a organizao j possua ferramentas de gerenciamento corporativo implantadas.
Custos contnuos
Esto relacionados s atividades contnuas associadas ao novo controle, como gerenciamento, monitoramento e manuteno. Como sua estimativa um pouco difcil, tente pensar em termos de quantas pessoas precisam estar envolvidas e quanto tempo por semana, ms ou ano ser gasto nessas tarefas. Considere um sistema de deteco de intruso robusto baseado em rede distribuda para uma grande empresa com escritrios em quatro continentes. Um sistema desse tipo exigiria pessoal para monitorar o sistema 24 horas por dia, todos os dias, e esses funcionrios deveriam ser capazes de interpretar e responder aos alertas com eficcia. Pode ser necessrio oito, dez ou mais funcionrios em tempo integral para que a organizao possa concretizar integralmente o potencial desse complexo controle.
Custos de comunicao
Esses gastos esto relacionados comunicao de novas diretivas ou procedimentos aos usurios. Para uma organizao que tem algumas centenas de funcionrios e esteja instalando travas eletrnicas na sala do servidor, alguns emails enviados equipe de TI e aos gerentes seniores pode ser suficiente. Entretanto, qualquer organizao implantando cartes inteligentes, por exemplo, exigir muita comunicao antes, durante e depois da distribuio dos cartes inteligentes e leitores, pois os usurios precisaro familiarizar -se com um modo totalmente diferente de fazer logon em seus computadores e certamente encontraro vrias situaes novas e inesperadas.
Custos de treinamento da equipe de TI

Esses custos esto associados equipe de TI que ir implementar, gerenciar, monitorar e fazer a manuteno do novo controle. Considere o exemplo anterior de uma organizao que decidiu implantar cartes inteligentes. Vrias equipes dentro da organizao de TI tero responsabilidades diferentes e, portanto, necessitaro de treinamento diferenciado. A equipe de suporte tcnico precisar saber como ajudar os usurios finais a superar problemas comuns, como cartes ou leitores danificados e PINs esquecidos. A equipe de suporte a desktops precisar saber como instalar, solucionar problemas, diagnosticar e substituir os leitores de cartes inteligentes. Uma equipe dentro da organizao de TI, no departamento de recursos humanos, ou talvez no departamento de segurana da organizao, precisar se encarregar do fornecimento de cartes novos ou substitutos e de recolher os cartes dos funcionrios que deixarem a organizao.
Custos de treinamento dos usurios

Esse gasto est relacionado aos usurios que precisam incorporar um novo comportamento para trabalhar com o novo controle. No cenrio de carto inteligente mencionado anteriormente, todos os usurios precisaro entender como usa r os cartes inteligentes e leitores, alm de entender os cuidados essenciais com o seu manuseio, pois so geralmente mais sensveis que os cartes de crdito ou de banco.
Custos de produtividade e convenincia

Esses gastos esto associados aos usurios c ujo trabalho ser afetado pelo novo controle. No cenrio de carto inteligente, voc pode supor que tudo ficaria mais fcil para a organizao aps as primeiras semanas e meses de implantao dos cartes e leitores e a superao dos problemas iniciais dos usurios. Mas para a maioria das organizaes, esse no seria o caso. Muitas descobririam que seus aplicativos existentes no so compatveis com os cartes inteligentes, por exemplo. Em alguns casos isso pode no importar, mas o que fazer em relao s ferramentas usadas pelo departamento de recursos humanos para gerenciar as informaes confidenciais dos funcionrios? Ou o software de gerenciamento de relacionamento com clientes usado por toda a organizao para monitorar os dados importantes de todos os clientes? Se aplicativos importantes como esses no forem compatveis com os cartes inteligentes e forem configurados para exigir autenticao de usurio, a organizao pode se deparar com escolhas bastante difceis. Ela poderia fazer uma atualizao do software, o que exigiria custos mais altos em termos de novas licenas, implantao e treinamento. Ou poderia desativar os recursos de autenticao, mas isso significaria uma reduo na segurana. Uma outra alternativa seria exigir aos usurios que digitassem nomes de usurio e senhas ao acessar esses aplicativos, mas mais uma vez os usurios teriam de memorizar senhas, comprometendo um dos principais benefcios dos cartes inteligentes.
Custos de auditoria e verificao de eficcia

A organizao incorreria nesses gastos aps a implementao do novo controle proposto. Exemplos de perguntas que podem ser feitas para definir melhor esses custos incluem: Como possvel garantir que o controle esteja fazendo o que deve fazer? Alguns membros da organizao de TI faro um teste de invaso?
Eles tentaro executar amostras de cdigo mal intencionado contra o ativo que o controle deve proteger? Aps a validao da eficcia do controle, como a organizao verificar se o controle continua em funcionamento e de forma constante?
A organizao deve ser capaz de provar que ningum pode modificar ou desativar o controle, seja acidentalmente ou intencionalmente, e deve determinar quem ser encarregado dessa verificao. Pode ser necessrio usar mais de uma pessoa para validar esses resultados no caso de ativos altamente confidenciais. Exemplo do Woodgrove: nas tabelas 5.3 e 5.4 abaixo, os Proprietrios da atenuao determinaram os custos dos riscos. Anote as estimativas de cada controle proposto na coluna "Custo da descrio do controle" em FerramentaGGRS3_Priorizao de risco de nvel detalhado.xls. Tabela 5.3: Custos com a implementao de cartes inteligentes para acesso VPN e administrativo Categoria Custos de aquisio Observaes O custo por cart o inteligente de US$ 15,00 e o custo por leitor tambm de US$ 15,00. Apenas 10.000 funcionrios do banco precisam de acesso VPN (virtual private networking) ou administrativo, portanto, o custo total com cartes e leitores seria de US$ 300.000,00. Custos de implementao O banco precisaria contratar uma firma de consultoria para ajudar na implementao da soluo a um custo de US$ 750.000,00. Alm disso, existiram outros custos significativos com o tempo empregado pelos funcionrios do banco: US$ 150.000,00. Custos de comunicao O banco j possui vrios mtodos estabelecidos de transmitir notcias aos funcionrios, como newsletters impressas, sites da Web internos e listas de endereamento por email, portanto, os custos com a comunicao sobre a implantao do carto inteligente no sero grandes. Custos de treinamento da equipe de TI O banco usaria a mesma organizao de consultoria usada na implementao para treinar a equipe de TI. O custo seria de US$ 10.000,00. A maioria dos membros da equipe de TI perderia de 4 a 8 horas de trabalho, um custo total estimado de US$ 80.000,00. Custos de treinamento dos usurios O banco usaria um treinamento baseado na Web do prprio fornecedor de carto inteligente para ensinar aos funcionrios como us-los. O custo est includo no preo do hardware. Cada funcionrio do banco gastaria cerca de uma hora com o treinamento, gerando uma perda total de produtividade de cerca de US$ 300.000,00. US$ 300.000,00 US$ 90.000,00 US$ 50.000,00 US$ 900.000,00 Estimativas US$ 300.000,00
C ustos de produtividade e convenincia
O banco supe que o usurio mdio perder cerca de uma hora de produtividade e que um em cada quatro entrar em contato com o suporte para pedir ajuda com o carto inteligente. O custo da perda de produtividade seria de US$ 300.000,00 e os gastos com as chamadas ao suporte seriam de US$ 100.000,00.
US$ 400.000,00
Custos de auditoria e verificao de eficcia
A Equipe de gerenciamento de riscos de segurana acredita que possa realizar auditorias e verificaes de eficcia peridicas do novo controle a um custo de US$ 50.000,00 no primeiro ano.
US$ 50.000,00
Total
US$ 2.090.000,00
Tabela 5.4: Custos com a implementao de cartes inteligentes para acesso local Categoria Custos de aquisio Observaes O custo por carto inteligente de US$ 15,00 e o custo por leitor tambm de US$ 15,00. Como todos os 15.000 funcionrios do banco precisam de acesso local, o custo total dos cartes e leitores seria de US$ 450.000,00. O banco tambm precisaria atualizar ou substituir vrios aplicativos comerciais a um custo significativo: US$ 1.500.000,00. Custos de implementao O banco precisaria contratar uma firma de consultoria para ajudar na implementao da soluo a um custo de US$ 750.000,00. Alm disso, existiram outros custos significativos com o tempo empregado pelos funcionrios do banco: US$ 150.000,00. Custos de comunicao O banco j possui vrios mtodos estabelecidos de transmitir notcias aos funcionrios, como newsletters impressas, sites da Web internos e listas de endereamento por email, portanto, os custos com a comunicao sobre a implantao do carto inteligente no sero grandes. Custos de treinamento da equipe de TI O banco usaria a mesma organizao de consultoria usada na implementao para treinar a equipe de TI. O custo seria de US$ 10.000,00. A maioria dos membros da equipe de TI perderia de 4 a 8 horas de trabalho, um custo total estimado de US$ 80.000,00. Custos de treinamento dos usurios O banco usaria um treinamento baseado na Web do prprio fornecedor de carto inteligente para ensinar aos funcionrios como us-los. O custo est includo no preo do hardware. Cada funcionrio do banco gastaria cerca de uma hora com o US$ 450.000,00 US$ 90.000,00 US$ 50.000,00 US$ 900.000,00 Estimativas US$ 1.950.000,00
treinamento, gerando uma perda total de produtividade de cerca de US$ 450.000,00. Custos de produtividade e convenincia O banco supe que o usurio mdio perder cerca de uma hora de produtividade e que um em cada quatro entrar em contato com o suporte para pedir ajuda com o carto inteligente. O custo da perda de produtividade seria de US$ 450.000,00 e os gastos com as chamadas ao suporte seriam de US$ 150.000,00. Custos de auditoria e verificao de eficcia A Equipe de gerenciamento de riscos de segurana acredita que possa realizar auditorias e verificaes de eficcia peridicas do novo controle a um custo de US$ 150.000,00 no primeiro ano. Total US$ 4.190.000,00 US$ 150.000,00 US$ 600.000,00
Etapa 6: selecionando a soluo de atenuao de riscos

A ltima etapa na anlise de relao de custo/benefcio comparar o nvel de risco aps a soluo de atenuao com o custo da prpria soluo de atenuao. Tanto o risco como o custo contm valores subjetivos que so difceis de medir em termos financeiros exatos. Use os valores quantitativos como um teste de comparao lgico. No caia na tentao de ignorar a ocorrncia dos custos intangveis do risco. Pergunte ao proprietrio do ativo o que aconteceria se o risco ocorresse. Pea ao proprietrio para documentar a sua resposta a fim de ajudar a avaliar a importncia da soluo de atenuao. Essa ttica pode ser to persuasiva quanto uma comparao matemtica de valores quantitativos.
Figura 5.9 Etapa 6 da fase de suporte s decises Ver imagem em tamanho normal
Uma armadilha comum da anlise de relao de custo/benefcio concentrar-se no valor de reduo de risco em comparao com o valor de risco aps a soluo de atenuao. Isso normalmente conhecido como risco residual. Como exemplo simples em termos quantitativos, se o risco for representado como US$ 1.000,00 hoje e o controle proposto reduzir o risco em US$ 400,00, o proprietrio da empresa deve aceitar os US$ 600,00 remanescentes de risco aps a soluo de atenuao. Mesmo que a soluo de atenuao seja infe rior a US$ 400,00, ainda existir um risco residual de US$ 600,00. Exemplo do Woodgrove: provvel que o banco decida implementar cartes inteligentes apenas para acesso remoto, pois os custos de uso na autenticao de todos os usurios so bastante altos. Anote quais solues de segurana recomendadas foram selecionadas para implementao antes de ir para a prxima fase do processo de gerenciamento de riscos de segurana da Microsoft. Incio da pgina
Resumo
Durante a fase de suporte s decises, a Equipe de gerenciamento de riscos de segurana coleta vrias informaes adicionais sobre cada um dos principais riscos identificados durante a fase de avaliao de riscos. Determina se a organizao deve controlar, aceitar, transferir ou evitar cada um dos riscos. Ento a equipe define os requisitos funcionais para cada risco. Em seguida, os Proprietrios da atenuao, em conjunto com a Equipe de gerenciamento de riscos de segurana, cria uma lista de solues de controle potenciais. A equipe ento cria uma estimativa do grau de reduo de risco oferecido por cada soluo de controle e os custos associados. Finalmente, o Comit de orientao de segurana seleciona quais solues de controle os Proprietrios da atenuao devem implementar na prxima fase, Implementando controles, descrita no prximo captulo. Incio da pgina 6 de 12

Publicado em: 15 de Outubro de 2004 Nesta pgina Viso geral Neste artigo Viso geral Implementando controles
Captulo 1: Introduo a Guia de Gerenciamento Riscos de Segurana
Analisando a eficcia do programa
Resumo
Captulo 2: Anlise das prticas de gerenciamen de riscos de segurana
Concluso do guia
Captulo 3: Viso geral d gerenciamento de riscos segurana
Viso geral
O Captulo 6 explica as duas ltimas fases do processo de gerenciamento de riscos de segurana da Microsoft: Implementando controles e Analisando a eficcia do programa. A fase de implementao de controles auto-explicativa: os Proprietrios da atenuao de riscos criam e executam planos de acordo com a lista de solues de controle resultante da fase de suporte s decises a fim de atenuar os riscos identificados na fase de avaliao dos riscos. Este captulo fornece links orientao prescritiva que pode ser til aos Proprietrios da atenuao de riscos da sua organizao ao lidarem com diversos riscos. A fase de anlise da eficcia do programa uma etapa contnua usada pela Equipe de gerenciamento de riscos de segurana para verificar periodicamente se os controles implementados na fase precedente esto apresentando o grau de proteo esperado. A segunda etapa dessa fase a estimativa do progresso geral obtido pela organizao em relao ao gerenciamento de riscos de segurana como um todo. O captulo apresenta o conceito de um "Carto de pontuao de riscos" que pode ser usado para controlar o desempenho de sua organizao. Finalmente, o captulo explica a importncia de monitorar alteraes no ambiente de computao, como a adio ou remoo de sistemas e aplicativos ou a ocorrncia de novas ameaas e vulnerabilidades. Esses tipos de alteraes podem exigir uma resposta rpida por parte da organizao a fim de proteger -se contra riscos novos e em evoluo. Incio da pgina
Captulo 4: Avaliando os riscos Captulo 5: Oferecendo suporte s decises
Captulo 6: Implementan controles e analisando a eficcia do programa Apndice A: Avaliaes riscos ad hoc
Apndice B: Ativos comu de sistemas de informa Apndice C: Ameaas comuns Apndice D: Vulnerabilidades Agradecimentos
Implementando controles
Durante esta fase, os Proprietrios da atenuao usam os controles especificados durante a fase anterior. Um fator de sucesso fundamental para esta fase do processo de gerenciamento de riscos de segurana da Microsoft que os proprietrios da atenuao busquem uma abordagem holstica quando implementarem as so lues de controle. Eles devem considerar que todo o sistema de Tecnologia da Informao (TI), a unidade comercial inteira ou mesmo toda a empresa quando criarem seus planos de aquisio e implantao de solues de atenuao. A seo "Organizando controle s" deste captulo oferece uma orientao prescritiva muito til para a organizao durante a criao de planos para implementao de solues de
controle. Esta seo organizada em um modelo de defesa em profundidade para ajud-lo a encontrar orientao s obre como abordar certos tipos de problema.
Figura 6.1 O processo de gerenciamento de riscos de segurana da Microsoft: fase de implementao de controles Ver imagem em tamanho normal
Dados iniciais necessrios para a fase de implementao de controles

H apenas um dado inicial da fase de suporte s decises necessrio para a fase de implementao de controles: a lista priorizada de solues de controle que devem ser implementadas. Caso tenha seguido os procedimentos descritos no Captulo 5, "Oferecendo suporte s decises" a Equipe de gerenciamento de riscos de segurana registrou essas informaes ao apresentar seus resultados ao Comit de orientao de segurana.
Participantes da fase de implementao de controles

Os principais participantes desta fase so os Proprietrios da atenuao. No entanto, talvez eles precisem de alguma assistncia da Equipe de gerenciamento de riscos de segurana. A fase de implementao de controles inclui as seguintes funes, que foram definidas no Captulo 3, "Viso geral do gerenciamento de riscos de segurana": Equipe de gerenciamento de riscos de segurana (o Grupo de segurana de informaes, o Facilitador de avaliao de riscos e o Secretrio de avaliao de riscos) Proprietrios da atenuao (Arquitetura de TI, Engenharia de TI e Operaes de TI)
A lista a seguir resume as responsabilidades especficas:
Engenharia de TI Determina como implementar as solues de controle Arquitetura de TI Especifica como as solu es de controle sero implementadas de uma forma compatvel co m os sistemas de computao existentes Operaes de TI Implementa as solues de controle tcnicas Segurana da Informao Ajuda a solucionar problemas durante o teste e a implantao Finanas Garante que os nveis de gastos sejam mant idos dentro dos oramentos
Como melhor prtica, a Equipe de gerenciamento de riscos de segurana deve designar um tcnico de segurana para cada risco identificado. Um ponto nico de contato reduz o risco da Equipe de gerenciamento de riscos de segurana produzir mensagens inconsistentes, padronizando a interao entre os participantes durante todo o processo de implantao.
Ferramentas oferecidas para a fase de implementao de controles

No h ferramentas relacionadas fase de implementao de controles includas neste guia.
Resultados necessrios para a fase de implementao de controles

Durante esta fase do processo de gerenciamento de riscos de segurana da Microsoft, voc criar planos para implementar as solues de controle especificadas durante a fase de suporte s decises. A tabela a seguir resume esses elementos-chave; eles tambm so resumidos nas sees subseqentes deste captulo. Tabela 6.1: Resultados necessrios para a fase de implementao de controles Informaes a serem coletadas Solues de controle Descri o Uma lista de controles selecionada pelo Comit de orientao de segurana e implementada pelos Proprietrios da atenuao Relatrios sobre a implantao de controles Um relatrio ou srie de relatrios criado para os Proprietrios da atenuao descrevendo seu progresso na implantao das solues de controle selecionadas
Organizando as solues de controle

O captulo anterior descreveu como oferecer suporte s decises do processo. Os resultados da anlise daquela fase foram decises que o Comit de orientao de segurana tomou com relao ao modo como a organizao responderia aos riscos de segurana identificados durante a fase anterior de avaliao de riscos. Alguns riscos talvez tenham sido aceitos ou transferidos a terceiros; para os riscos que deveriam ter sido combatidos, foi criada uma lista priorizada das solues de controle. A etapa seguinte fazer planos de ao para implementar os controles em um prazo estabelecido. Esses planos devem ser claros e precisos e todos eles devem ser atribudos
pessoa ou equipe apropriada para a execuo. Use prticas eficazes de gerenciamento de projeto para acompanhar o progresso e garantir a concluso dos objetivos do projeto dentro do prazo. Observao: o MSF (Microsoft Solutions Framework) pode ajud-lo a obter xito nos planos de ao criados durante esta fase. Projetado para auxiliar organizaes a fornecer solues de alta tecnologia de forma pontual e dentro do oramento proposto, o MSF uma abordagem concentrada e disciplinada voltada a projetos de tecnologia, alm de ser baseada em um conjunto definido de princpios, modelos, disciplinas, conceitos, diretrizes e prticas comprovadas da Microsoft. Para obter mais informaes, consulte www.microsoft.com/technet/itsolutions/techguide/msf/default.mspx (site em ingls) H diversos pontos importantes que podem determinar o xito desta fase do projeto: Os executivos que patrocinam o projeto de gerenciamento de riscos devem comunicar claramente o fato de que os membros da equipe so autorizados a implementar os controles. Sem essa declarao explcita, alguns funcionrios podem discordar ou mesmo resistir aos esforos de implementao dos novos con troles. A equipe responsvel por ajudar a implementar os novos controles deve rever a prioridade das tarefas existentes. Deve ficar claro para os funcionrios e gerentes que trabalham nos controles que esta tarefa uma iniciativa de alta prioridade. Caso o oramento no inclua recursos e tempo adequados, possvel que os controles no sejam implementados de forma eficiente. Alm disso, a alocao inadequada de recursos pode levar a problemas injustamente atribudos tecnologia ou ao controle. A equipe responsvel por implementar os controles devem receber suporte financeiro, treinamento, equipamento e outros recursos adequados necessrios para implementao eficiente de todos os controles. A equipe que implementar os controles dever registrar seu progresso em um relatrio ou srie de relatrios que ser posteriormente enviado Equipe de gerenciamento de riscos de segurana e ao Comit de orientao de segurana. O Centro de Orientaes de Segurana (SGC) da Microsoft, em www.microsoft.com/security/guidance/default.mspx, oferece um conjunto organizado e completo de documentos que abordam diversos tpicos relacionados segurana. As orientaes desse site podem ajud-lo a implementar os controles selecionados de sua lista priorizada. Observao: grande parte desta seo foi retirada do site de viso geral de contedo de segurana da Microsoft: http://go.microsoft.com/fwlink/?LinkId=20263. Consulte esse site para obter as mais recentes orientaes prescritivas de segurana da Microsoft. O restante dessa seo organizado com base no modelo de defesa em profundidade da Microsoft (ilustrado abaixo). Da mesma forma que os modelos publicamente disponveis so usados por outras organizaes, o modelo multicamadas da Microsoft organiza os controles em diversas categorias abrangentes. As informaes em cada seo consistem em recomendaes e links de orientao prescritiva e documentos oficiais que descrevem os controles para proteo de todas as camadas de uma rede. A orientao prescritiva oferece uma ajuda passo a passo para o planejamento e a implantao de uma soluo de ponta a ponta. Essa orientao foi testada e validada de forma abrangente em ambientes de clientes. Os documentos oficiais e artigos geralmente oferecem boas referncias tcnicas para os recursos dos produtos ou peas de uma soluo geral; eles talvez no ofeream a amplitude das
informaes encontradas na orientao prescritiva. Observao: o item "Segurana fsica" do grfico a seguir no tem uma seo correspondente neste captulo que recomende os recursos sobre o tpico; a Microsoft ainda no publicou orientaes detalhadas sobre o assunto.
Figura 6.2 Modelo de defesa em profundidade
Defesas da rede
Uma arquitetura de rede bem feita e propriamente implementada fornece servios altamente disponveis, seguros, escalonveis, gerenciveis e confiveis. Voc pode ter diversas redes em sua organizao, mas deve avali -las individualmente para garantir que so seguras ou que as redes de valor elevado fiquem protegidas contra redes que no so seguras. Implementar defesas internas da rede envolve prestar ateno aos detalhes do design da rede, segurana da rede sem fio e, possivelmente, usar a segurana do protocolo da Internet (IPSec) para garantir que somente computadores confiveis tenham acesso aos recursos essenciais da rede. Orientao prescritiva Para obter uma orientao prescritiva sobre segurana de rede com firewalls, consulte o Windows Server System Reference Architecture Enterprise Design for Firewalls , parte do Windows Server System Ref erence Architecture, em www.microsoft.com/technet/ itsolutions/techguide/wssra/raguide/Firewall_Services_SB_1.mspx (site em ingls). Para obter orientao prescritiva adicional, consulte o Captulo 15, "Protegendo sua rede" em Aprimorando a segurana dos aplicativos da Web: Ameaas e contramedidas, em http://msdn.microsoft.com/library/default.asp?url=/library/en -us /dnnetsec/html/threatcounter.asp . Para obter orientao prescritiva sobre como implementar LANs sem fio seguras (WLANs) usando EAP e certificados digitais, consulte Protegendo LANs sem fio: Servios de Certificados do Windows Server 2003 em http://go.microsoft.com/fwlink/?LinkId=14843. Para obter orientao prescritiva sobre como implementar LANs sem fio seguras (WLA Ns) usando PEAP e senhas, consulte Protegendo LANs sem fio com PEAP e senhas em http://go.microsoft.com/fwlink/?LinkId=23459. Para obter orientao prescritiva sobre como usar segmentao de redes para aprimorar o desempenho e a segurana, consulte Windows Server System Reference Architecture:
Enterprise Design , parte do Windows Server System Reference Architecture, em www.microsoft.com/technet/itsolutions/techguide /wssra/raguide/Network_Architecture_1.mspx (site em ingls) Documentos oficiais e artigos Informaes sobre a implantao do IPSec esto disponveis no Captulo 6, "Overview of IPSec Deployment", do "Deploying Network Services", um dos volumes includos no Microsoft Windows Server 2003 Deployment Kit, em www.microsoft.com/technet/prodtechnol /windowsserver2003/proddocs/deployguide/dnsbj_ips_agqq.asp (site em ingls). Informaes adicionais sobre o IPSec esto disponveis no documento oficial "Using Microsoft Windows IPSec to Help Secure an Internal Corporate Network Server", em www.microsoft.com/downloads/details.aspx?FamilyID=a774012a-ac25-4a1d-8851b7a09e3f1dc9&DisplayLang=en (site em ingls). Para obter uma abordagem mais ampla da segmentao de redes e os problemas que podem ser eliminados por um projeto de rede slido, consulte "Enterprise Design for Switches and Routers", parte do Windows Server System Reference Architecture, em www.microsoft.com/technet/itsolutions/techguide /wssra/raguide/Network_Devices_SB_1.mspx (site em ingls) Para obter uma viso geral dos diferente s tipos de firewalls disponveis e como so normalmente usados, consulte "Firewalls", em www.microsoft.com/technet/security/topics/network/firewall.mspx. Mais informaes sobre o controle de quarentena de acesso rede podem ser encontradas nos seguintes documentos oficiais: Documento oficial "Network Access Quarantine Control in Windows Server 2003", em www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx (site em ingls). Documento oficial "Virtual Private Networking with Windows Server 2003: Overview" em www.microsoft.com/windowsserver2003/techinfo/overview/vpnover.mspx (site em ingls).
Defesas do host
H dois tipos de hosts: clientes e servidores. Garantir a segurana de ambos os hosts com eficincia requer um equilbrio entre o grau de proteo e o nvel de uso. Embora haja excees, geralmente a segurana do computador aumenta na mesma proporo em que seu uso diminui. As defesas do host incluem desabilitar os servios, remover direitos de usurio especficos, mante r o sistema operacional atualizado, bem como usar produtos antivrus e de firewall distribudo. Orientao prescritiva O site Microsoft Patch Management apresenta ferramentas e guias para ajudar as organizaes a testar, implantar e obter suporte a atualizaes. Consulte: www.microsoft.com/technet/security/topics/patch/default.mspx (site em ingls) Step-by- Step Guide to Securing Windows XP Professional with Service Pack 2 in Small and Medium Businesses em http://go.microsoft.com/fwlink/?linkid=19453 (site em ingls). Para orientao prescritiva sobre como proteger o Microsoft Windows XP, consulte o Guia de Segurana do Windows XP, em http://go.microsoft.com/fwlink/?LinkId=14839. Para obter orientaes prescritivas sobre o Microsoft Windows Server 2003, consulte o Guia de Segurana do Windows Server 2003 , em http://go.microsoft.com/fwlink/?LinkId=14845.
Ameaas e Contramedidas no Windows Server 2003 e no Windows XP um guia de referncia para as principais configuraes e recursos de segurana que acompanha o Windows Server 2003 e o Windows XP. Ele fornece informaes detalhadas sobre o Guia de Segurana do Windows Server 2003e est disponvel em http://go.microsoft.com/fwlink/?LinkId=15159 . Para obter orientaes prescritivas sobre segurana dos servidores com Windows 2000, consulte o Windows 2000 Security Hardening Guide , em www.microsoft.com/downloads/details.aspx FamilyID=15E83186-A2C8-4C8F-A9D0-A0201F639A56&DisplayLang=en (site em ingls) Documentos oficiais e artigos Os aplicativos e sistemas operacionais de servidor da Microsoft usam uma variedade de protocolos de rede para se comunicarem entre si e com os computadores cliente que os acessam, inclusive diversas portas TCP e UDP. Muitos desses protocolos esto documentados no artigo 832017, "Port Requirements for Microsoft Windows Server System" do Microsoft Knowledge Base em http://support.microsoft.com/?kbid=832017 (site em ingls). O "Frequently Asked Questions About Antivirus Software" um artigo objetivo que oferece uma viso geral de alto nve l dos softwares antivrus e sugestes sobre como adquirir, instalar e manter esses tipos de produtos. Ele est disponvel em www.microsoft.com/security/protect/antivirus.asp (site em ingls). O "Frequently Asked Questions About Internet Firewalls" descreve a importncia de usar firewalls, se apropriado instalar software de firewall em computadores de usurios finais e como solucionar alguns dos problemas mais comuns relacionados a esse tipo de software. Ele est disponvel em www.microsoft.com/security/protect/firewall.asp (site em ingls).
Defesas de aplicativos
As defesas de aplicativos so essenciais para o modelo de segurana. Os aplicativos existem dentro do contexto geral do sistema, portanto voc deve considerar a segurana do ambiente todo ao avaliar a segurana dos aplicativos. Todos os aplicativos devem ser completamente testados com relao conformidade de segurana antes de serem executados em um ambiente de produo. A implementao das defesas de aplicativos incluem uma arquitetura de aplicativos adequada, alm de garantir que o aplicativo esteja sendo executado com a menor quantidade de privilgio com o mnimo de exposio a ataques. Orientao prescritiva O Exchange 2003 Hardening Guide fornece informaes sobre segurana no Microsoft Exchange 2003 Server. Ele est disponvel em www.microsoft.com/downloads/details.aspx? FamilyID=6a80711f-e5c9 -4aef-9a44-504db09b9065&displaylang=en (site em ingls) O Security Operations Guide for Exchange 2000fornece orientaes sobre a segurana do Microsoft Exchange 2000 Server. Ele est disponvel em www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.mspx (site em ingls) O Captulo 18, "Protegendo seu Servidor de Banco de Dados", do guia de solues Aprimorando a Segurana dos Aplicativos da Web: Ameaas e Contramedidas inclui informaes prescritivas sobre segurana do Microsoft SQL Server. Ele est disponvel em http://msdn.microsoft.com/ library/default.asp?url=/library/en -us/dnnetsec/html/THCMCh18.asp. O guia de solues Aprimorando a Segurana dos Aplicativos da Web: Ameaas e
Contramedidas fornece os fundamentos para projetar, desenvolver e configurar aplicativos da Web ASP.NET. Ele est disponvel em http://msdn.microsoft.com/library/default.asp?url=/ library/en-us/dnnetsec/html/ThreatCounter.asp. O guia Criando aplicativos ASP.NET seguros apresenta um cenrio prtico, dedicado ao design e criao de aplicativos ASP.NET seguros para o Windows 2000 e a verso 1.0 do Microsoft .NET Framework. Ele aborda os elementos-chave de autenticao, autorizao e comunicao segura entre todas as camadas de aplicativos .NET Web distribudos. Ele est disponvel em http://msdn.microsoft.com/library/ en-us/dnnetsec/html/secnetlpMSDN.asp?frame=true. Documentos oficiais e artigos O documento oficial "Building and Configuring More Secure Web Sites" possui informaes detalhadas sobre as lies que a Equipe de segurana da Microsoft aprendeu durante o concurso de segurana online OpenHack 4 de 2002 patrocinado pela eWeek. A soluo implantada para o concurso incluiu .NET Framework, Microsoft Windows 2000 Advanced Server, IIS (Internet Information Services) verso 5.0 e SQL Server 2000. Esse aplicativo resistiu a mais de 82.500 tentativas de ataque saindo ileso da competio. O documento est disponvel em http://msdn.microsoft.com/library/en-us/dnnetsec/html/ openhack.asp (site em ingls)
Defesas de dados
Os dados so os recursos mais importantes das organizaes. Na estao de trabalho cliente, os dados so geralmente armazenados localmente e ficam sujeitos a ataques. Os dados podem ser protegidos de diversas maneiras, inclusive com o uso do servio de criptografia EFS (Encrypting File Service) e com backups seguros freqentes. Orientao prescritiva Para obter informaes sobre o backup de dados em redes Windows 2000, consulte o guia Backup and Restore Solution for Windows 2000based Data Centers em www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/backuprest default.mspx (site em ingls) Para obter instrues passo a passo sobre como implementar o servio EFS, consulte o artigo Step-by- Step Guide to Encrypting File System (EFS), disponvel em www.microsoft.com/windows2000/techinfo/planning/security/efssteps.asp (site em ingls) Incio da pgina
Analisando a eficcia do programa

A fase de anlise da eficcia do programa permite que a Equipe de gerenciamento de riscos de segurana documente formalmente o estado atual do risco da organizao. Como os negcios no param durante o ciclo de gerenciamento de riscos, essa fase tambm ajuda a demonstrar o progresso de se gerenciar riscos a um nvel aceitvel com o passar do tempo. Para ajudar a comunicar o progresso, esta seo introduz o conceito de um Carto de pontuao de riscos de segurana como um indicador de alto nvel em uma organizao. O carto de pontuao ajuda a demonstrar que o gerenciamento de riscos realmente integrado nas operaes de TI. O conceito de "gerenciamento de riscos integrados" tambm um atributo importante para se determinar o nvel de maturidade de riscos das organizaes, como descrito no Captulo 3, "Viso geral do gerenciamento de riscos de segurana".
Figura 6.3 O processo de gerenciamento de riscos de segurana da Microsoft: fase de anlise da eficcia do programa Ver imagem em tamanho normal
Dados iniciais necessrios para a fase de anlise da eficcia do programa

A lista a seguir resume alguns dos dados iniciais das fases anteriores que so necessrias para a fase de anlise da eficcia do programa: Lista priorizada dos riscos que precisam ser atenuados. Se voc seguiu os procedimentos descritos no Captulo 4, "Avaliando os riscos", essas informaes foram gravadas na planilha do Microsoft Excel chamada GGRSFerramenta3-Priorizao de riscos detalhada.xls na pasta Ferramentas e Modelos criada quando voc descompactou este guia e os arquivos relacionados. A lista priorizada das solues de controle selecionada pelo Comit de orientao de segurana. Caso tenha seguido os procedimentos descritos no Captulo 5, "Oferecendo suporte s decises" a Equipe de gerenciamento de riscos de segurana registrou essas informaes ao apresentar seus resultados ao Comit de orientao de segurana. Os relatrios sobre a implantao dos controles criados pelos Proprietrios da atenuao durante a fase de implementao de controles. Esses relatrios descrevem o progresso da implanta o das solues de controle selecionadas.
Participantes da fase de anlise da eficcia do programa

Os principais participantes da fase de anlise da eficcia do programa so os membros do Grupo de segurana de informaes. Eles so responsveis por desenvolver o Carto de
pontuao de riscos de segurana (explicado abaixo), verificar se os controles foram implementados e esto atenuando os riscos conforme o esperado e monitorar o ambiente de sistemas de informao a fim de detectar alteraes que possam adulterar o perfil de riscos da organizao. O Grupo de segurana de informaes fornece relatrios contnuos ao Comit de orientao de segurana. Alm disso, os Proprietrios da atenuao auxiliam a Equipe atravs da comunicao das alteraes importantes infra-estrutura de computao e dos detalhes sobre os eventos de segurana. Para reiterar, o processo de anlise da eficcia do programa inclui as seguintes funes, definidas no Captulo 3, "Viso geral do gerenciamento de riscos de segurana": Equipe de gerenciamento de riscos de segurana (o Grupo de segurana de informaes, o Facilitador de avaliao de riscos e o Secretrio de avaliao de riscos) Proprietrios da atenuao (Arquitetura de TI, Engenharia de TI e Operaes de TI) Comit de orientao de segurana (Patrocinador executivo, Proprietrios de empresas, Arquitetura e Engenharia de TI) Segurana de informaes Cria relatrios resumidos para o Comit de orientao de segurana com relao a eficcia das solues de controle que foram implantadas e com relao s alteraes no perfil de riscos da organizao. Alm disso, cria e mantm o Carto de pontuao de riscos de segurana da organizao. Auditoria interna Valida a eficcia da solu o de controle. Engenharia de TI Comunica as alteraes prestes a serem realizadas Equipe de gerenciamento de riscos de segurana. Arquitetura de TI Comunica as alteraes planejadas Equipe de gerenciamento de riscos de segurana. Operaes de TI Comunica os detalhes de eventos de segurana Equipe de gerenciamento de riscos de segurana.
Essas atribuies so resumidas na lista a seguir:
Ferramentas fornecidas para a fase de anlise da eficcia do programa

No h ferramentas relacionadas fase de anlise da eficcia do programa includas neste guia.
Resultados necessrios para a fase de anlise da eficcia do programa

Durante esta fase, a Equipe de gerenciamento de riscos de segurana cria rela trios sobre o andamento do perfil de riscos de segurana da organizao. A tabela a seguir resume esses elementos-chave; eles tambm so descritos nas sees subseqentes deste captulo. Tabela 6.2: Resultados necessrios para a fase de suporte s decises Informaes a serem coletadas Alteraes consideradas Descrio Relatrios explicando alteraes em estgio de planejamento que sero feitas ao ambiente de sistemas de informao
Alteraes aprovadas
Relatrios explicando alteraes prestes a serem iniciadas que sero feitas ao ambiente de sistemas de informao
Eventos de segurana
Relatrios que detalham eventos de segurana no planejados que afetaram o ambiente de sistemas de informao
Resumo da eficcia da soluo de controle
Relatrios que resume o grau de atenuao de riscos das solues de controle
Alteraes ao perfil de riscos da organizao
Relatrio que mostra como as ameaas anteriormente identificadas foram alteradas devido a novas ameaas, novas vulnerabilidades ou alteraes ao ambien te de sistemas de informao da organizao.
Carto de pontuao de riscos de segurana
Carto de pontuao resumido que ilustra o perfil atual de riscos da organizao
Desenvolvendo o carto de pontuao de riscos de segurana de sua organizao

O Cart o de pontuao de riscos de segurana uma ferramenta importante que ajuda a expressar o grau de sujeio a riscos da organizao. Ele tambm ajuda a demonstrar o progresso do gerenciamento de riscos com o passar do tempo, alm de ser um dispositivo essen cial de comunicao para demonstrar a importncia e o valor do gerenciamento de riscos para a organizao. O carto de pontuao deve fornecer um resumo do nvel de riscos gerncia executiva. Ele no foi projetado para resumir a exibio ttica detalhada dos riscos identificados durante a fase de avaliao dos riscos. Observao: no se deve confundir o Carto de pontuao de riscos de segurana com os Cartes de pontuao de TI descritos em outros documentos da Microsoft. Desenvolver um Carto de pontua o de TI pode ser uma forma eficaz de medir o progresso de uma organizao com relao ao ambiente geral de sistemas de informao. O Carto de pontuao de riscos de segurana tambm so valiosos para tal finalidade, mas so especficos a uma parte do am biente dos sistemas de informao: segurana. O Carto de pontuao de riscos de segurana ajuda a Equipe de gerenciamento de riscos de segurana alcanar um nvel aceitvel de riscos em toda a organizao ao destacar reas problemticas e alocar os futuros investimentos de TI para essas reas. Mesmo que os elementos do carto de pontuao sejam classificados como de alto risco, talvez seja possvel aceit -los, dependendo de sua organizao. O carto de pontuao pode ser usado para ajudar a detectar as dec ises a um nvel alto, bem como ajudar a consultar tais decises em ciclos futuros do processo de gerenciamento de riscos. A figura a seguir representa um Carto de pontuao de riscos de segurana simples organizado pelas camadas de defesa em profundidade como descrito no Captulo 4, "Avaliando os riscos". Personalize o carto de pontuao conforme necessrio para a sua organizao. Por
exemplo, algumas organizaes podem organizar o risco por unidades comerciais ou ambientes exclusivos de TI. (Um ambiente de TI um conjunto de ativos de TI que compartilham um proprietrio e uma finalidade de negcios comum.) No caso de uma empresa bastante descentralizada, possvel ter diversos Cartes de pontuao de riscos de segurana.
Figura 6.4 Exemplo do Carto de pontuao de riscos de segurana Ver imagem em tamanho normal O Carto de pontuao de riscos de segurana tambm pode ser parte de um "painel de controle" de TI mais abrangente, que mostre as principais estatsticas das Operaes de TI. A prtica de medir e comunicar as estatsticas de TI em um painel de controle tambm uma prtica recomendada da Microsoft. Para obter mais informaes, consulte "Measuring IT Health with the IT Scorecard" em www.microsoft.com/technet/itsolutions/msit/busint/scoretcs.mspx (site em ingls)
Analisando a eficcia do controle

Aps a implantao dos controles, importante garantir que eles estejam oferecendo a proteo esperada e que eles continuem a ser usados. Por exemplo, seria uma surpresa desagradvel descobrir que houve grave violao de segurana, pois o mecanismo de autenticao da rede privada virtual (VPN) permitiu que usurios no autenticados acessassem a rede da empresa devido m configurao dura nte a implantao. Seria uma descoberta ainda pior se os invasores ganhassem acesso a recursos internos pois algum engenheiro de rede reconfigurou um firewall de modo a permitir protocolos adicionais sem aprovao prvia atravs do processo de controle de alteraes da organizao. De acordo com estudos de gerenciamento de segurana de informaes da Agncia de Prestao de Contas do Governo dos EUA em organizaes no federais lderes (GAO/AIMD -9868), o teste direto foi o mtodo mais freqente para verificao eficiente do grau de reduo de riscos alcanado pelos controles. H diversas abordagens para realizar esses testes incluindo ferramentas automatizadas de avaliao de vulnerabilidade, avaliaes manuais e teste de invaso. Em uma avaliao manual, um membro da equipe de TI verifica que cada controle esteja implementado e funcionando corretamente. Isso pode ser muito demorado, maante e propenso a erros, se houver muitos sistemas a verificar. A Microsoft lanou uma ferramenta de avaliao de vulnerabilidade gratuita e automatizada chamada MBSA (Microsoft Baseline Security Analyzer). O MBSA pode examinar sistemas locais e remotos para determinar que hotfixes essenciais de segurana esto faltando (se houver algum), bem como uma variedade
de outras configuraes de segurana importantes. Mais informaes sobre o MBSA esto disponveis em www.microsoft.com/technet/security/tools/mbsahome.mspx (site em ingls) Embora o MBSA seja gratuito e muito til, existem outras ferramentas de avaliao automatizadas de diversos fornecedores. A outra abordagem mencionada anteriormente foi o teste de invaso. Em um teste de invaso, uma ou mais pessoas so autorizadas a realizar testes automticos e manuais para determinar se conseguem invadir na rede da organizao, de diversas formas. Algumas organizaes realizam testes de invaso usando seus prprios especialistas internos em segurana, enquanto outros contratam especialistas. Independente de quem realize os testes de invaso, o Grupo de segurana de informaes deve ser responsvel por gerenciar o processo e acompanhar os resultados. Enquanto o teste de invaso uma abordagem eficiente, nem sempre ele revela uma grande variedade de vulnerabilidades, pois ele no to completo quando uma avaliao de vulnerabilidades propriamente implementada. Portanto, recomendvel que voc complemente os testes de invaso com outras metodologias. Observao: para obter mais informaes sobre o teste de invaso, consulte o livro Assessing Network Security , escrito por membros da Equipe de segurana da Microsoft Ben Smith, David LeBlanc e Kevin Lam (Microsoft Press, 2004). Voc tambm pode verificar a conformidade por outros meios. O Grupo de segurana de informaes deve incentivar todos da organizao a fornecer um feedback. Ou (opcionalmente), a equipe pode instituir um processo mais formal em que cada unidade comercial deva enviar relatrios peridicos de conformidade. Como parte do processo de resposta a incidentes de segurana, o Grupo de segurana de informaes cria seus prprios relatrios que documentam os sintomas que originaram ou causaram o problema, quais os dados expostos, quais sistemas foram comprometidos e como o ataque aconteceu. Muitas coisas podem causar um incidente de segurana, incluindo cdigos maliciosos como worms ou vrus; usurios internos que acidentalmente violam as polticas; usurios internos que expem informaes confidenciais deliberadamente; invasores externos que trabalham para organizaes concorrentes ou governos estrangeiros e desastres naturais. As etapas realizadas pelo Grupo de segurana de informaes tambm devem ser documentadas. A eficcia do Grupo de segurana de informaes tambm pode ser acompanhada de diversas outras formas, como: O nmero de incidentes de segurana abrangentes que afetaram organizaes similares mas foram atenuados pelos controles recomendados pela Equipe de segurana. O tempo necessrio para restaurar completamente os servios de computao aps incidentes de segurana. A quantidade e a qualidade de contatos dos usurios. O nmero de comunicaes apresentadas internamente. O nmero de aulas de tre inamento oferecidas internamente. O nmero de avaliaes realizadas. O nmero de conferncias de segurana de computadores assistidas. O nmero e a qualidade de discursos pblicos assistidos. As certificaes profissionais conseguidas e mantidas.
Reavaliao de ativos e riscos de segurana novos e alterados
Para ser eficiente, o gerenciamento de riscos de segurana precisa ser um processo contnuo em vez de um projeto temporrio. A reavaliao peridica do ambiente atravs dos processos descritos no Captulo 4, "Avaliando os riscos", o primeiro passo para se comear um ciclo novo. A Equipe de gerenciamento de riscos de segurana deve reutilizar e atualizar as listas de ativos, vulnerabilidades, controles e outras propriedades intelectuais desenvolvidas durante o projeto inicial de gerenciamento de riscos. A Equipe pode usar seus recursos de forma mais eficiente, concentrando-se nas alteraes ao ambiente operacional da organizao. Caso nenhum ativo tenha sido alterado desde a ltima reviso, no necessrio revis-lo nos mnimos detalhes desta vez. A equipe pode determinar onde se concentrar, reunindo informaes atuais, precisas e relevantes sobre as alteraes que afetam os sistemas de informaes da organizao. Os eventos internos que exigem uma apurao mais cuidadosa incluem a instalao de novos hardwares e softwares nos computadores; novos aplicativos desenvolvidos internamente; reorganizaes corporativas; aquisies e fuses corporativas; bem como liquidaes de partes da organizao . Tambm recomendvel revisar a lista de riscos existente para determinar se houve alteraes. Alm disso, examinar os registros de auditoria de segurana pode trazer idias sobre outras reas a investigar. A equipe tambm deve alertar sobre alteraes feitas fora da organizao que podem afetar a segurana de informaes. Veja alguns exemplos: Revisar os sites e lista de distribuio de fornecedores para obter informaes sobre novas atualizaes e nova documentao de segurana. Monitorar sites e lista de distribuio de terceiros para obter informaes sobre novas pesquisas de segurana e anncios sobre vulnerabilidades de segurana. Assistir a conferncias e simpsios que abordam os tpicos de segurana de informaes. Participar de treinamentos sobre segurana de informaes. Atualizar-se atravs de leitura de livros sobre segurana de computadores e de rede. Ficar atento aos anncios de novos mtodos e ferramentas de ataque. Incio da pgina
Resumo
Durante a fase de implementao de controles, os Proprietrios de atenuao implantaram as solues de controle que o Comit de orientao de segurana escolheu durante a fase de suporte s decises. Os Proprietrios de atenuao tambm forneceram relatrios sobre seu progresso com relao s solues de controle Equipe de gerenciamento de riscos de segurana. A quarta fase do processo de gerenciamento de riscos de segurana da Microsoft dominada por atividades contnuas que sero realizadas at que a Equipe de gerenciamento de riscos de segurana inicie o ciclo seguinte com uma nova avaliao de segurana. Essas atividades contnuas incluem relatrios detalhados explicando as alteraes ao ambiente de sistemas de informaes em planejamento; documentao das alteraes ao ambiente de sistemas de informaes prestes a iniciar; e explicao de eventos de segurana no planejados que afetaram o ambiente de sistemas de informaes. Essa fase tambm incluiu relatrios da Equipe de gerenciamento de riscos de segurana que resumem a que grau as solues de controle atenuaram os riscos, e um relatrio mostrando ameaas identificadas alteradas devido a novas ameaas, novas vulnerabilidades ou alteraes ao ambiente de sistemas de informaes da organizao. Finalmente, essa fase inclui criao e manuteno do Carto de pontuao de riscos de segurana que demonstra o perfil atual de
riscos da organizao.
Concluso do guia
Este guia apresentou a abordagem da Microsoft ao gerenciamento de riscos de segurana. Ele uma abordagem proativa que pode ajudar organizaes pequenas, mdias e grandes a reagir aos riscos de segurana que ameaam o seu sucesso. Um processo formal de gerenciamento de riscos de segurana permite que as empresas operem de maneira mais eficiente com um nvel conhecido e aceitvel de riscos de negcios, alm de oferecer um caminho claro e consistente para que organizem e priori zem seus limitados recursos a fim de gerenciar riscos. Voc descobrir os benefcios do uso do gerenciamento de riscos quando implementar controles eficientes em termos de custo que reduzam os riscos a um nvel aceitvel. A definio de risco aceitvel e a abordagem de gerenciamento de riscos variam de acordo com a organizao. No h uma resposta correta nem incorreta; h diversos modelos de gerenciamento de riscos sendo usados atualmente. Cada modelo equilibra de modo diferente a sua preciso, recursos, tempo, complexidade e subjetividade. Investir em um processo de gerenciamento de riscos baseado em um mtodo de trabalho slido e funes e responsabilidades bem definidas prepara a organizao para que possa determinar suas prioridades, planejar a ate nuar ameaas e criar uma estratgia de resposta a ameaas e vulnerabilidades futuras que comprometam os negcios. O processo de gerenciamento de riscos de segurana da Microsoft usa padres da indstria para apresentar diversos modelos reconhecidos de gerenciamento de riscos em um processo de quatro fases iterativo que busca equilibrar custo e eficcia. Durante um processo de avaliao de riscos, etapas de qualificao identificam rapidamente os riscos mais graves. Deve ser seguido por um processo quantitativo baseado em funes e responsabilidades definidas. Essa abordagem oferece mnimos detalhes e leva a uma compreenso completa dos riscos mais importantes. Juntas, as etapas de qualificao e quantificao do processo de avaliao de riscos fornecem a base necessria para que decises importantes sejam tomadas quanto aos riscos e como atenu-los de acordo com um processo de negcios inteligente. Agora que voc j leu o guia todo, est pronto a iniciar o processo; volte ao Captulo 4, "Avaliando os riscos" para comear. Incio da pgina
Incio da pgina
7 de 12

Apndice A: Avaliaes de riscos ad hoc
Publicado em: 15 de Outubro de 2004 O processo de gerenciamento de riscos de segurana da Microsoft descreve a fase de avaliao de riscos como uma atividade agendada do programa de gerenciamento de riscos. A fase de avaliao de riscos define as etapas para identificar e priorizar os cenrios de riscos conhecidos da empresa. O resultado uma lista de prioridades de risco que apresenta um nvel resumido e um nvel detalhado. A avaliao de riscos agendada tambm serve para fornecer informaes s fases remanescentes do programa de gerenciamento de riscos. Embora a avaliao de riscos agendada seja de grande valor para esse processo, os riscos enfrentados pela empresa mudam e evoluem continuamente, como parte normal dos negcios. Sendo assim, a Equipe de gerenciamento de riscos de segurana necessita de um processo definido que permita identificar e analisar os riscos, qualquer que seja a fase do ciclo de gerenciamento de riscos. Esperar para analisar novos riscos at a prxima fase de anlise de riscos agendada no seria uma prtica sensata. A necessidade imediata de entender novos riscos pode surgir a qualquer momento. Por exemplo, pode tornar-se aparente uma falta de consenso quanto gravidade do risco associado a uma nova ameaa potencial ainda no compreendida. Quando isso ocorre, os diversos int eressados no programa podem oferecer opinies e solues de atenuao contraditrias. A Equipe de gerenciamento de riscos de segurana deve documentar sua posio em relao ao risco, alm de ajudar a conduzir o processo de suporte s decises, da mesma forma que o faz no programa de gerenciamento de riscos. provvel que a Equipe de gerenciamento de riscos de segurana seja solicitada a criar requisitos funcionais para um dado cenrio, e esses requisitos no podem, nem devem, ser desenvolvidos sem antes obter uma compreenso de todos os elementos do risco. Essa situao indica a necessidade de uma avaliao de riscos ad hoc imediata. Seja cuidadoso ao lidar com solicitaes de avaliao de riscos que tentem usar o processo de avaliao de riscos a fim de j ustificar solues ou implementaes preconcebidas. A avaliao de riscos deve resultar em uma anlise imparcial sobre os riscos associados ao determinado problema. Durante o processo de gerenciamento de riscos de segurana da Microsoft, vrios cenrios so avaliados e sua prioridade, estabelecida. Na avaliao de riscos ad hoc, os riscos so analisados caso a caso. A avaliao de riscos ad hoc se concentra em um nico cenrio de risco, por exemplo "Quais so os riscos incorridos ao conceder o acesso sem Apndice D: Vulnerabilidades Agradecimentos Apndice C: Ameaas comuns Neste artigo Viso geral Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana Captulo 2: Anlise das prticas de gerenciamento de riscos de segurana Captulo 3: Viso geral do gerenciamento de riscos de segurana Captulo 4: Avaliando os riscos Captulo 5: Oferecendo suporte s decises Captulo 6: Implementando controles e analisando a eficcia do programa Apndice A: Avaliaes de riscos ad hoc Apndice B: Ativos comuns de sistemas de informaes
fio a parceiros de negcios convidados"? ou "Quais so os riscos incorridos ao permitir que dispositivos mveis se conectem aos recursos da empresa"?. A avaliao de riscos ad hoc utiliza a metodologia discutida no processo; contudo, a priorizao do risco e da sua soluo em relao a outros riscos da empresa no uma etapa obrigatria. Uma priorizao formal poder ser necessria apenas quando o custo da soluo de atenuao for alto. Em geral, uma comparao aos riscos similares capaz de fornecer informaes suficientes priorizao da avaliao de riscos ad hoc. Obviamente, os resultados da avaliao ad hoc sero incorporados ao processo formal, conforme apropriado. O modelo de discusso de risco includo na seo Ferramentas deste guia pode ser usado tambm na avaliao de riscos ad hoc. Contudo, possvel que a coleta de dados exija somente a pesquisa em vez de reunies com os participantes do programa. A Equipe de gerenciamento de riscos de segurana deve responder as questes chave no modelo, por m a prpria equipe pode ser capaz de fornecer essas repostas. Por exemplo, se a equipe estiver tentando compreender os riscos associados aos dispositivos mveis, investigar a taxa de perda dos dispositivos pode ser uma informao necessria. Essa informao pode ser descoberta por meio de pesquisa externa ou atravs de outras equipes de TI responsveis pela manuteno. A avaliao de riscos ad hoc pode ser estruturada em um documento da seguinte forma: Resumo executivo. Esse resumo deve apresentar uma viso geral da avaliao e deve poder ser extrado da avaliao de riscos como um documento independente. Lista de suposies relacionadas ao escopo e objetivos da avaliao de riscos ad hoc. Uma descrio do ativo sendo protegido e o seu valor aos negcios. Uma declarao de risco bem definida, conforme descrito no processo de gerenciamento de riscos de segurana, que aborde as seguintes questes: Contra que riscos voc deseja proteger o ativo? De que forma a perda ou a exposio pode ocorrer? Qual a extenso da exposio potencial em relao ao ativo? O que est sendo feito atualmente para reduzir a probabilidade de ocorrncia do risco ou atenuar o seu impacto caso as medidas de proteo falhem? Qual o risco geral? Inclua uma decla rao similar a "H uma alta probabilidade de que o ataque comprometeria a integridade de ativos digitais de mdio impacto, o que representa um alto risco organizao." Que medidas podem ser tomadas para reduzir a probabilidade
no futuro?
Qual seria o risco geral caso controles potenciais fossem implementados?
Uma nica avaliao de riscos pode conter diversos cenrios de ameaa. No exemplo da soluo de acesso sem fio a parceiros convidados, um cenrio pode representar o risco de um dos convidados atacar outro convidado; um segundo cenrio pode demonstrar um ataque externo a um dos convidados; um terceiro cenrio pode representar um convidado que abuse do acesso e ataque um alvo na Internet. Voc deve desenvolver uma declarao de risco para cada cenrio aplicvel. Quando os riscos forem compreendidos, poder bastar apenas informar sobre a sua existncia. possvel tambm que o resultado desejado seja uma declarao dos requisitos funcionais da Equipe de gerenciamento de riscos de segurana. Se os requisitos funcionais forem gerados, eles devero ser associados aos riscos especficos a que se referem. Um documento de avaliao de riscos com requisitos funcionais de segurana uma ferramenta eficaz para ajudar a empresa a compreender o risco e encontrar a melhor soluo de atenuao. Incio da pgina
8 de 12

Apndice B: Ativos comuns de sistemas de informaes
Publicado em: 10 de Outubro de 2004 Este apndice relaciona os ativos de sistemas de informaes comumente encontrados em organizaes de vrios portes. Ele no pretende apresentar uma lista exaustiva, e provvel que essa lista no represente todos os ativos no ambiente exclusivo de sua organizao. Portanto, essencial que voc personalize a lista durante o processo de avaliao de riscos de seu projeto. Ela fornecida apenas como referncia e serve de ponto inicial para auxiliar no comeo do processo em sua organizao. Tabela 1: Ativos comuns de sistemas de informaes Classe do ativo Ambiente geral de TI Descrio resumida do seu ativo Nome do ativo Definio mais detalhada (se necessria) Classificao do ativo Classificao do valor do ativo, consulte a guia de definio de grupo (1-5) Tangvel Infraestrutura fsica Tangvel Infraestrutura fsica Tangvel Infraestrutura fsica Agradecimentos Tangvel Infraestrutura fsica Tangvel Infraestrutura fsica Tangvel Infraestrutura fsica Telefones celulares 1 PDAs 1 Computadores mveis 3 Computadores de mesa 1 Servidores 3 Centrais de dados 5 Captulo 4: Avaliando os riscos Captulo 5: Oferecendo suporte s decises Captulo 6: Implementando controles e analisando a eficcia do programa Apndice A: Avaliaes de riscos ad hoc Apndice B: Ativos comuns de sistemas de informaes Apndice C: Ameaas comuns Apndice D: Vulnerabilidades Neste artigo Viso geral Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana Captulo 2: Anlise das prticas de gerenciamento de riscos de segurana Captulo 3: Viso geral do gerenciamento de riscos de segurana
Tangvel
Infraestrutura fsica
Aplicativo de software de servidor Aplicativo de software de usurio final Ferramentas de desenvolvimento
Tangvel
Tangvel
Tangvel
Roteadores
Tangvel
Comutadores de rede
Tangvel
Mquinas de fax
Tangvel
Sistemas de telefonia PBX
Tangvel
Mdia removvel (por exemplo, fitas, disquetes, CDROMs, DVDs, unidades de disco rgido portteis, dispositivos de armazenamento de placa PCMCIA, dispositivos de armazenamento USB etc.)
Tangvel
Fontes de alimentao
Tangvel
Infraestrutura
Sistema de alimentao
fsica
ininterrupta (nobreak)
Tangvel
Sistemas de combate a incndio
Tangvel
Sistemas de ar condicionado
Tangvel
Sistemas de filtragem de ar
Tangvel
Outros sistemas de controle ambiental
Tangvel
Dados de intranet
Cdigo-fonte
Tangvel
Dados de intranet
Dados de recursos humanos Dados financeiros
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Dados de marketing Senhas de funcionrios Chaves de criptografia privadas de funcionrios
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Chaves de criptografia de sistema de computador
Tangvel
Dados de intranet
Cartes inteligentes
Tangvel
Dados de intranet
Propriedade intelectual
Tangvel
Dados de intranet
Dados de requisitos de regulamentao (GLBA, HIPAA, CA SB1386, Diretiva de proteo de dados da UE etc.)
Tangvel
Dados de intranet
Nmeros da previdncia social de funcionrios
Tangvel
Dados de intranet
Nmeros do documento de identificao de funcionrios
Tangvel
Dados de intranet
Planos estratgicos
Tangvel
Dados de intranet
Relatrios de crdito de consumo do cliente
Tangvel
Dados de intranet
Registros mdicos do cliente Identificadores biomtricos dos funcionrios
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Dados de contatos de negcios dos funcionrios
Tangvel
Dados de intranet
Dados de contatos pessoais dos funcionrios
Tangvel
Dados de intranet
Dados de pedidos de compra Projeto da infraestrutura de rede Sites internos
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de
Dados etnogrficos
intranet Tangvel Dados de extranet Tangvel Dados de extranet Tangvel Dados de extranet Tangvel Dados de extranet
dos funcionrios Dados de contrato de parceiros Dados financeiros de parceiros Dados de contato de parceiros Solicitao de colaborao de parceiros 3 3 5 5
Tangvel
Dados de extranet
Chaves de criptografia de parceiros
Tangvel
Dados de extranet
Relatrios de crdito de parceiros Dados de pedidos de compra de parceiros
Tangvel
Dados de extranet
Tangvel
Dados de extranet
Dados de contrato de fornecedores Dados financeiros de fornecedores Dados de contato de fornecedores Solicitao de colaborao de fornecedores
Tangvel
Dados de extranet
Tangvel
Dados de extranet
Tangvel
Dados de extranet
Tangvel
Dados de extranet
Chaves de criptografia de fornecedores
Tangvel
Dados de extranet
Relatrios de crdito de fornecedores
Tangvel
Dados de extranet
Dados de pedidos de compra de
fornecedores Tangvel Dados de Internet Tangvel Dados de Internet Tangvel Dados de Internet Tangvel Dados de Internet Tangvel Dados de Internet Aplicativo de vendas na Web Dados de marketing do site Dados de carto de crdito de clientes Dados de contato de clientes Chaves de criptografia pblicas Tangvel Dados de Internet Tangvel Dados de Internet Tangvel Dados de Internet Tangvel Dados de Internet Intangvel Intangvel Reputao Credibilidade pblica Intangvel Moral dos funcionrios Intangvel Produtividade dos funcionrios Servios de TI Envio de mensagens Email/agendamento (por exemplo, o Microsoft Exchange) Servios de TI Envio de mensagens Mensagens instantneas 1 3 3 3 Documentao do produto Materiais de treinamento 5 3 3 1 C omunicados imprensa Documentos oficiais 1 1 1 3 5 3 5
Servios de TI Envio de mensagens Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal
Microsoft Outlook Web Access (OWA) Microsoft Active Directory
Sistema de nomes de domnio (DNS)
DHCP
Ferramentas de gerenciamento empresarial Compartilhamento de arquivos
Armazenamento
Acesso dial-up remoto
Telefonia
Acesso VPN (Virtual Private Networking)
Microsoft WINS (Windows Internet Naming Service)
Servios de TI Outra infraestrutura
Servios colaborativos (por exemplo, o Microsoft
SharePoint)
Incio da pgina
9 de 12

Apndice C: Ameaas comuns
Publicado em: 15 de Outubro de 2004 Este apndice relaciona as ameaas capazes de afetar diversos tipos de organizaes. Essa lista no exaustiva e, por ser esttica, poder ficar desatualizada. Sendo assim, essencial remover as ameaas que no sejam relevantes sua organizao e adicionar as novas ameaas identificadas durante a fase de avaliao do projeto. Ela fornecida apenas como referncia e serve de ponto inicial para auxiliar no comeo do processo em sua organizao. Tabela C.1: Ameaas comuns Ameaa Descrio resumida da ameaa Incidente catastrfico Incidente catastrfico Incidente catastrfico Incidente catastrfico Incidente catastrfico Incidente catastrfico Incidente catastrfico Incidente catastrfico Incidente catastrfico Falha mecnica Falha mecnica Falha mecnica Falha mecnica Falha mecnica Pessoa bem-intencionada Pessoa bem-intencionada Pessoa mal-intencionada Pessoa mal-intencionada Exemplo Exemplo especfico Incndio Inundao Terremoto Forte tempestade Ataque terrorista Tumultos/agitaes pblicas Deslizamentos de terras Avalanche Acidente industrial Interrupo na energia eltrica Falha de hardware Falhas da rede Falha nos controles ambientais Acidente de construo Funcionrios desinformados Usurio desinformado Hacker, cracker Criminoso ciberntico Neste artigo Viso geral Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana Captulo 2: Anlise das prticas de gerenciamento de riscos de segurana Captulo 3: Viso geral do gerenciamento de riscos de segurana Captulo 4: Avaliando os riscos Captulo 5: Oferecendo suporte s decises Captulo 6: Implementando controles e analisando a eficcia do programa Apndice A: Avaliaes de riscos ad hoc Apndice B: Ativos comuns de sistemas de informaes Apndice C: Ameaas comuns Apndice D: Vulnerabilidades Agradecimentos
Pessoa mal-intencionada Pessoa mal-intencionada
Espionagem industrial Espionagem patrocinada pelo governo
Pessoa mal-intencionada Pessoa mal-intencionada Pessoa mal-intencionada Pessoa mal-intencionada Pessoa mal-intencionada Pessoa mal-intencionada
Engenharia social Funcionrio atual descontente Antigo funcionrio descontente Terrorista Funcionrio negligente Funcionrio desonesto (subornado ou vtima de chantagem)
Pessoa mal-intencionada
Cdigo de comunicao mvel mal-intencionado
Incio da pgina
10 de 12

Apndice D: Vulnerabilidades
Publicado em: 15 de Outubro de 2004 Este apndice relaciona as vulnerabilidades capazes de afetar diversos tipos de organizaes. Essa lista no exaustiva e, por ser esttica, poder ficar desatualizada. Sendo assim, essencial remover as vulnerabilidades que no sejam relevantes sua empresa e adicion ar as novas vulnerabilidades identificadas durante a fase de avaliao de riscos do projeto. Ela fornecida apenas como referncia e serve de ponto inicial para auxiliar no comeo do processo em sua empresa. Tabela D.1: Vulnerabilidades Classe de vulnerabilidade Classe de vulnerabilidade resumida Fsica Fsica Portas destrancadas Acesso desprotegido s salas de computador Fsica Sistemas de combate a incndio insuficientes Fsica Edifcios mal projetados Fsica Edifcios mal construdos Fsica Materiais inflamveis usados na construo Fsica Materiais inflamveis usados no acabamento Fsica Fsica Janelas destrancadas Paredes suscetveis a um assalto fsico Fsica As paredes internas Vulnerabilidade Breve descrio da vulnerabilidade Exemplo Exemplo especfico (se aplicvel) Captulo 4: Avaliando os riscos Captulo 5: Oferecendo suporte s decises Captulo 6: Implementando controles e analisando a eficcia do programa Apndice A: Avaliaes de riscos ad hoc Apndice B: Ativos comuns de sistemas de informaes Apndice C: Ameaas comuns Apndice D: Vulnerabilidades Agradecimentos Neste artigo Viso geral Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana Captulo 2: Anlise das prticas de gerenciamento de riscos de segurana Captulo 3: Viso geral do gerenciamento de riscos de segurana
no fecham totalmente o cmodo no teto e no cho Natural Prdio construdo sobre uma falha geolgica Natural Prdio localizado em uma zona de inundao Natural Prdio localizado em uma rea de avalanche Hardware Hardware Patches ausentes Firmware desatualizado Hardware Sistemas mal configurados Hardware Sistemas sem segurana fsica Hardware Protocolos de gerenciamento permitidos atravs de interfaces pblicas Software Software antivrus desatualizado Software Software Patches ausentes Aplicativos mal escritos Software Aplicativos mal escritos Software Aplicativos mal escritos CSS (Cross site scripting) Incluso de cdigo SQL Pontos fracos do cdigo, como estouros de buffer Software Pontos fracos intencionais Portas dos fundos do fornecedor
destinadas ao gerenciamento ou recuperao do sistema Software Pontos fracos intencionais Spyware, como programas de registro de teclas Software Ponto fraco intencional Software Pontos fracos intencionais Software Erros de configurao Processos manuais resultantes em configuraes inconsistentes Software Erros de configurao Sistemas sem proteo avanada Software Erros de configurao Sistemas sem auditoria Software Erros de configurao Sistemas sem monitorao Mdia Comunicaes Interferncia eltrica Protocolos de rede no criptografados Comunicaes Conexes a redes mltiplas Comunicaes Protocolos desnecessrios permitidos Comunicaes Falta de filtragem entre segmentos da rede Humanas Procedimentos mal definidos Falta de preparo para responder aos incidentes Cavalos de Tria
Humanas
Procedimentos mal definidos
Processos manuais
Humanas
Falta de planos de recuperao de desastr es
Humanas
Testes dos sistemas de produo Violaes no comunicadas Controle de alterao mal executado
Humanas
Humanas
Humanas
Roubo de credenciais
Incio da pgina
11 de 12

Agradecimentos
Publicado em: 15 de Outubro de 2004 O grupo MSS (Microsoft Solutions for Security) e o SCOE (Security Center of Excellence) da Microsoft gostariam de reconhecer e agradecer equipe que produziu o Guia de Gerenciamento de Riscos de Segurana As seguintes pessoas foram diretamente responsveis ou contriburam substancialmente na redao, desenvolvimento e teste desta soluo. Autores Kurt Dillard, MSS Jared Pfost, SCOE Colaboradores na criao de contedo Price Oden, Corporate IT Security Jeff Williams, Services Privacy Officer Testadores Dan Hitchcock, Corporate IT Security Audit and Compliance Mehul Mediwala, Infosys Technologies Pete Narmita, Corporate IT Security Price Oden, Corporate IT Security Jason Wong, Point B Solutions Group, LLC Editor Wendy Cleary, S&T Onsite Gerente de lanamento Flicka Crandell, MSS Gerente de programa Karl Grunwald, MSS Colaboradores Chase Carpenter, MSS Brian Fielder, Equipe de segurana nacional dos EUA Michael Glass, Volt John Howie, SCOE Maxim Kapteijns, MCS Worldwide Offerings Chrissy Lewis, Sieme ns Business Services Inc Keith Proctor, EUA-Premier Bill Reid, MSS Lee Walker, SCOE Revisores Shanti Balaraman, US -Premier Rich Bennack, EUA, GTSC Security Mathieu Groleau, Microsoft, Canad Alan Hakimi, EUA, COE Corp Ellen McDermott, EUA - Arquiteta de segurana Apndice D: Vulnerabilidades Agradecimentos Apndice C: Ameaas comuns Neste artigo Viso geral Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana Captulo 2: Anlise das prticas de gerenciamento de riscos de segurana Captulo 3: Viso geral do gerenciamento de riscos de segurana Captulo 4: Avaliando os riscos Captulo 5: Oferecendo suporte s decises Captulo 6: Implementando controles e analisando a eficcia do programa Apndice A: Avaliaes de riscos ad hoc Apndice B: Ativos comuns de sistemas de informaes
Marco Nuijen, Microsoft, Pases Baixos David Smith, Microsoft Services Brad Warrender, Microsoft Services John Weigelt, Microsoft, Canad Jessica Zahn, EUA -MSCOM Pub Internacional Brian Shea, Bank of America Perante a solicitao da Microsoft, o Instituto Nacional de Padres e Tecnologia (NIST) do Departamento de Comrcio dos Estados Unidos tambm participou da reviso deste documento da Microsoft e proporcionou comentrios que foram incorpo rados nas verses publicadas. Incio da pgina
12 de 12

Gerenciamento de Risco

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Gerenciamento de Risco

Hochgeladen von

Copyright:

Verfügbare Formate

Centro de orientaes de segurana

Guia de Gerenciamento de Riscos de Segurana

Captulo 2: Anlise das prticas de gerenciamento de riscos de segurana

Captulo 3: Viso geral do gerenciamento de riscos de segurana

Captulo 4: Avaliando os riscos

Captulo 5: Oferecendo suporte s decises

Captulo 6: Implementando controles e analisando a eficcia do programa

Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana

Captulo 2: Anlise das prticas de gerenciamento de riscos de segurana

Captulo 3: Viso geral do gerenciamento de riscos de segurana

Captulo 4: Avaliando os riscos

Captulo 5: Oferecendo suporte s decises

Captulo 6: Implementando controles e analisando a eficcia do programa

Centro de orientaes de segurana

Guia de Gerenciamento de Riscos de Segurana

Escopo deste guia

Principais termos e definies

Obtendo suporte para este guia

de responsabilidades legais e fiduciais.

Uma melhor abordagem

O papel da Microsoft no gerenciamento de riscos de segurana

Viso geral do guia

Fatores essenciais ao sucesso

A quem este guia se destina

Escopo deste guia

Viso geral do contedo

'Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana

Captulo 2: Anlise das prticas de gerenciamento de riscos da segurana

Captulo 3: Viso geral do gerenciamento de riscos de segurana

Captulo 4: Avaliando os riscos

Captulo 5: Oferecendo suporte s decises

Captulo 6: Implementando controles e analisando a eficcia do programa

Apndice A: Avaliaes de risco ad hoc

Apndice B: Ativos comuns de sistemas de informaes

Apndice C: Ameaas comuns

O patrocnio envolve o seguinte:

Um lista bem definida dos interessados no gerenciamento de riscos

Maturidade corporativa em relao ao gerenciamento de riscos.

Uma atmosfera de comunicaes abertas

Uma viso holstica da organizao

Autoridade durante o processo

Principais termos e definies

Obtendo suporte para este guia

Centro de orientaes de segurana

Guia de Gerenciamento de Riscos de Segurana

Abordagens priorizao de riscos

Comparando abordagens ao gerenciamento de riscos

Figura 2.1 Processo de resposta a incidentes

Abordagens priorizao de riscos

Avaliao de risco quantitativa

Detalhes da abordagem quantitativa

Avaliao de risco qualitativa

Comparando as duas abordagens

O processo de gerenciamento de riscos de segurana da Microsoft

Centro de orientaes de segurana

Guia de Gerenciamento de Riscos de Segurana

Captulo 1: Int Guia de Gerenc Riscos de Segu

Captulo 2: An prticas de ger de riscos de se

Captulo 3: Vis gerenciamento segurana Captulo 4: A riscos

Captulo 5: Ofe suporte s dec

Captulo 6: Im controles e ana eficcia do prog

Apndice A: Av riscos ad hoc

As quatro fases do processo de gerenciamento de riscos de segurana da Microsoft

Fase de suporte s decises