UNIVERSIDADE DE BRASLIA - UNB

DEPARTAMENTO DE CINCIAS DA COMPUTAO

ANLISE/AVALIAO DE RISCOS DE SEGURANA DA
INFORMAO PARA A ADMINISTRAO PBLICA
FEDERAL: UM ENFOQUE DE ALTO NVEL BASEADO NA
ISO/IEC 27005
PEDRO JORGE SUCENA SILVA
MONOGRAFIA DE CONCLUSO DO CURSO DE ESPECIALIZAO EM CINCIAS
DA COMPUTAO: GESTO DA SEGURANA DA INFORMAO E
COMUNICAES
Orientador: Prof. Dr. Jorge Henrique Cabral Fernandes

II
Braslia, 29 de maio de 2009.
ANLISE/AVALIAO DE RISCOS DE SEGURANA
DA INFORMAO PARA A ADMINISTRAO
PBLICA FEDERAL: UM ENFOQUE DE ALTO NVEL
BASEADO NA ISO:IEC 27005
Trabalho de concluso de curso apresentado
como parte das atividades para obteno do
ttulo de Especialista em Cincias da
Computao do curso de Especializao em
Cincias da Computao: Gesto da
Segurana da Informao e Comunicaes do
Departamento de Cincias da Computao da
Universidade de Braslia.
Prof orientador: Jorge Henrique Cabral Fernandes
Braslia, 2009

III
Autoria: Pedro Jorge Sucena Silva
Ttulo: Anlise/avaliao de riscos de segurana da informao para a Administrao Pblica
Federal: um enfoque de alto nvel baseado na ISO:IEC 27005.

Trabalho de concluso de curso apresentado
como parte das atividades para obteno do
ttulo de Especialista em Cincias da
Computao do curso de Especializao em
Cincias da Computao: Gesto da Segurana
da Informao e Comunicaes do
Departamento de Cincias da Computao da
Universidade de Braslia.

Os componentes da banca de avaliao, abaixo listados,
consideram este trabalho aprovado.
Nome Titulao Assinatura Instituio
1 Jorge Henrique Cabral Fernandes Doutor Universidade de Braslia
2 Jacir Luiz Bordim Doutor Universidade de Braslia
3 Edgard Costa Oliveira Doutor Universidade de Braslia
Data da aprovao: ____ de _____________________ de ________.

IV
RESUMO
Este trabalho apresenta um modelo preliminar de anlise/avaliao de riscos de segurana
da informao, capaz de identificar os riscos com alto potencial de impacto em uma
organizao pblica. A anlise/avaliao de riscos uma atividade do processo de gesto de
riscos em que so identificados os riscos e seus componentes ativos, ameaas,
vulnerabilidades e conseqncias. A probabilidade de ocorrncia do cenrio de risco e suas
conseqncias so avaliadas, resultando em um nvel de risco. Esse risco ento avaliado
segundo critrios pr-definidos que determinaro a sua importncia para a organizao. A
norma ISO/IEC 27005 recomenda iniciar o processo de gesto de riscos com uma
anlise/avaliao com um enfoque de alto nvel, isto , uma abordagem mais global que vise
os principais riscos que envolvem o negcio. uma abordagem simplificada que considera os
aspectos tecnolgicos de forma independente das questes de negcio. A partir dos resultados
dessa primeira iterao possvel definir as prioridades, os riscos que precisam ser detalhados
em uma segunda iterao e uma cronologia para a execuo de aes. Este trabalho prope
um modelo com essas caractersticas, tendo como base a Norma ABNT ISO/IEC 27005 e
considerando algumas especificidades da Administrao Pblica Federal.
Palavras-chave: segurana da informao, gesto de riscos, administrao pblica.


V
SUMRIO
1 Introduo........................................................................................................ 1
2 Requistos Pr-pesquisa................................................................................. 3
2.1 Objetivos..................................................................................................................... 3
2.1.1 Objetivo Geral......................................................................................................................3
2.1.2 Objetivos Especficos...........................................................................................................3
2.2 Justificativa ................................................................................................................. 3
2.3 Metodologia ................................................................................................................ 5
3 Reviso de literatura e fundamentos............................................................. 7
3.1 Gesto de riscos: norma ISO/IEC 27005..................................................................... 7
3.1.1 Conceitos ............................................................................................................................8
3.1.2 O processo de gesto de riscos.........................................................................................12
3.1.3 Definio do contexto ........................................................................................................14
3.1.3.1 Critrios bsicos ................................................................................................................14
3.1.3.2 Definio do escopo e limites.............................................................................................15
3.1.3.3 Organizao para gesto de riscos....................................................................................15
3.1.4 Anlise/avaliao de riscos................................................................................................16
3.1.4.1 Anlise de riscos................................................................................................................16
3.1.4.2 Avaliao de riscos............................................................................................................22
3.1.5 Tratamento do risco...........................................................................................................23
3.1.6 Aceitao do risco .............................................................................................................27
3.1.7 Comunicao do risco .......................................................................................................27
3.1.8 Monitoramento e anlise crtica de riscos...........................................................................28
3.2 Administrao pblica ............................................................................................... 30
3.2.1 Princpios da administrao pblica ...................................................................................32
4 instrumentos para anlise/avaliao de risco enfoque de alto nvel ..... 37
4.1 Definio do contexto................................................................................................ 38
4.1.1 Definio do escopo ..........................................................................................................38
4.1.1.1 Especificidades da Administrao Pblica Federal .............................................................40
4.1.2 Critrios de risco................................................................................................................42
4.2 Anlise/avaliao de riscos ....................................................................................... 46
4.2.1 Anlise de riscos................................................................................................................46

VI
4.2.1.1 Identificao de riscos .......................................................................................................46
4.2.1.2 Estimativa de riscos...........................................................................................................49
4.2.2 Avaliao de riscos............................................................................................................51
4.3 Tratamento do risco................................................................................................... 51
5 Exemplo de aplicao................................................................................... 53
6 Concluso e trabalhos futuros..................................................................... 67
Referncias bibliogrficas...................................................................................... 69

1
1 INTRODUO
Em um levantamento sobre a governana de tecnologia da informao (TI) na
Administrao Pblica Federal
1
(APF), o Tribunal de Contas da Unio constatou que a
segurana da informao no consta na agenda da maioria dos rgos pblicos. O
levantamento apontou que 64% deles no possuem uma poltica da segurana da informao
nem uma rea especfica para lidar com a segurana da informao. Alm disso, 75% no
fazem anlise de risco de TI, 80% no classificam as informaes e 88% no possuem plano
de continuidade de negcio.
Diante desses dados possvel afirmar que a gesto de risco de segurana da informao
(GRSI) no uma prtica comum na APF. H vrios fatores que podem explicar essa
situao. Primeiramente a aplicao da gesto de risco segurana da informao um
produto recente, considerando que a APF normalmente absorve as mudanas ou novas
ferramentas de gesto de modo mais lento do que a iniciativa privada. Em segundo lugar, a
GRSI precisa do apoio da direo do rgo, visto que um processo transversal que perpassa
diversas fraes da organizao e necessita do apoio especializado de muitas delas. Vale
destacar ainda que os mtodos de anlise/avaliao de riscos normalmente so complexos,
exigem a coleta de uma enorme quantidade de dados e consomem muito tempo e recursos
para a sua operacionalizao.
A proposta deste trabalho aponta para a necessidade de um mtodo de anlise/avaliao
de riscos que considere as especificidades da APF, que seja capaz de identificar os riscos com
alto potencial de impacto e que, ao mesmo tempo, seja simples, de baixo custo e que possa ser
executado por um grupo pequeno de pessoas.

1
TRIBUNAL DE CONTAS DA UNIO. Acrdo 1603/2008. Braslia, 2008.

2
A anlise/avaliao de riscos uma atividade do processo de gesto de riscos em que so
identificados os riscos e seus componentes ativos, ameaas, vulnerabilidades e
conseqncias. A probabilidade de ocorrncia do cenrio de risco e suas conseqncias so
avaliadas, resultando em um nvel de risco. Esse risco ento avaliado segundo critrios pr-
definidos que determinaro a sua importncia para a organizao.
A gesto de riscos de segurana da informao, em que est inserida a anlise/avaliao
de riscos, uma metodologia que procura identificar os riscos que envolvem uma
organizao, prioriz-los e propor estratgias de tratamento desses riscos. Para a norma
ISO/IEC 27005, risco de segurana da informao medido em funo da combinao da
probabilidade de um evento e de sua conseqncia. Desse modo, riscos podem ser
gerenciados mudando-se tanto a natureza de suas conseqncias como a probabilidade de que
determinado evento ocorra.
A gesto de riscos estabelecida em um processo de melhoria contnua com um enfoque
iterativo na execuo da anlise/avaliao de risco o que permite detalhar a avaliao a cada
repetio. Por conseguinte, recomendado pela norma iniciar o processo de gesto de riscos
com uma anlise/avaliao com um enfoque de alto nvel, isto , uma abordagem global que
visa os principais riscos que envolvem o negcio. uma abordagem simplificada que
considera os aspectos tecnolgicos de forma independente das questes de negcio. A partir
dos resultados dessa primeira iterao possvel definir as prioridades, os riscos que precisam
ser detalhados em uma segunda iterao e uma cronologia para a execuo de aes.
Este trabalho vem propor instrumentos que ajudaram a compor um mtodo com essas
caractersticas, tendo como base a norma ISO/IEC 27005 e considerando as especificidades da
Administrao Pblica Federal.


3
2 REQUISTOS PR-PESQUISA
2.1 Objetivos
2.1.1 Objetivo Geral
Propor instrumentos para um mtodo preliminar de anlise/avaliao de riscos para
Administrao Pblica Federal em um enfoque de alto nvel.
2.1.2 Objetivos Especficos
So objetivos especficos do trabalho:
1. Desenvolver os instrumentos para um mtodo de anlise/avaliao com um
enfoque de alto nvel.
2. Aplicar os instrumentos propostos em uma organizao fictcia.
3. Rever a literatura sobre o processo de gesto de riscos e sobre a administrao
pblica.
2.2 Justificativa
O avano tecnolgico vivido desde a segunda metade do sculo XX catalisou a exploso
informacional dos ltimos trinta anos, proporcionando mudanas na forma como as
organizaes manipulam o seu conhecimento. O aumento do fluxo de informaes expe o
conhecimento crtico das organizaes a diversos riscos. Por isso, a demanda de proteo
dessas informaes constitui um enorme desafio. Assim, a segurana da informao entrou na
agenda das organizaes privadas e vem entrando lentamente na das organizaes pblicas.
A preocupao com a proteo da informao como ativo no mbito das organizaes
criou a necessidade de sistematizao e padronizao dos conceitos de segurana da

4
informao, de modo a consolidar as bases para o desenvolvimento seguro e uniforme de
solues para os problemas emergentes dessa questo. Dentre as normas e padres surgidos
dessa preocupao destacamos a srie de normas ISO/IEC 27000:
! ISO/IEC 27001 Sistemas de gesto de segurana da informao: originria da
parte 2 da norma britnica BS 7799;
! ISO/IEC 27002 Cdigo de prtica para a gesto da segurana da informao: foi
desenvolvida a partir da parte 1 da norma britnica BS 7799;
! ISO/IEC 27005 Gesto de riscos de segurana da informao: teve como base a
parte 3 da BS 7799 e a norma australiana neozelandesa AS/NZS 4360.
O primeiro passo para gerir a segurana da informao segundo essas normas a gesto
de risco. Trata-se de uma metodologia que procura evitar que riscos e ameaas se concretizem
e gerem prejuzos das mais diversas ordens. Procura delimitar os possveis problemas e
possibilidades de interferncia nas atividades de uma organizao e transform-los em riscos
mensurveis e manejveis.
2
Trata-se da aplicao de um mtodo lgico e sistemtico para
estabelecer os contextos, bem como para identificar, estimar, avaliar, tratar, aceitar, monitorar
e comunicar os riscos associados a qualquer ativo, funo, atividade, ou processo, de modo
que as organizaes possam minimizar as perdas resultantes de incidentes de segurana da
informao.
A gesto eficaz de riscos reduz a probabilidade e a severidade de incidentes de segurana.
possvel evitar eventos indesejveis ou negativos prevendo sistematicamente os riscos,
avaliando a sua importncia, gerenciando suas conseqncias e aprendendo enquanto se
atravessa esse ciclo. No entanto, a gesto eficaz de riscos implica tambm prever os riscos
futuros e saber lidar de maneira pr-ativa com eles gesto pr-ativa em vez de reativa.
Freqentemente, possvel superar adversidades sendo pr-ativo na previso de riscos e na
criao de condies que permitam evit-los.
3

A gesto de riscos proporciona uma srie de benefcios s organizaes. Fornece uma
base slida e segura para a tomada de deciso e planejamento; torna mais eficaz a alocao e
o uso de recursos; melhora a gesto de incidentes e reduz perdas e custos com riscos, melhora

2
ZAMITH, Jos Lus Cardoso. Gesto de Riscos e Preveno de Perdas. Rio de Janeiro: FGV, 2007.
3
CENTRO CANADENSE PARA O DESENVOLVIMENTO DA GESTO. Uma base para o
desenvolvimento de estratgias de aprendizagem para a gesto de riscos no servio pblico / Stephen Hill,
Geoff Dinsdale; traduzido por Lus Marcos B. L. de Vasconcelos. Braslia: ENAP, 2003 (Cadernos ENAP, 23).

5
a segurana e confiana das partes envolvidas; melhora a conformidade com a legislao
pertinente; e melhorar a governana corporativa.
Portanto, o processo de gesto de riscos constitui uma ferramenta de extrema importncia
para o estabelecimento de um Sistema de Gesto de Segurana da Informao (SGSI)
conforme a norma ISO/IEC 27001. E de forma semelhante e complementar ao SGSI, o
processo de gesto de riscos, estabelecido em um processo de melhoria contnua com um
enfoque iterativo na execuo da anlise/avaliao de risco o que permite aprofundar e
detalhar a anlise a cada repetio.
A primeira iterao dessa atividade deve utilizar uma abordagem de anlise/avaliao de
riscos com um enfoque de alto nvel. Momento em que se procuram os principais riscos da
organizao, os de maior impacto e se estabelece um cronograma de aes. mais rpida,
mais simples e de menor custo que uma abordagem detalhada, o que facilita a aceitao do
programa de gesto de riscos pelas partes interessadas.
uma abordagem importante porque a indisponibilidade oramentria comum na esfera
pblica no permitiria a implementao simultnea de todos os controles que seriam precisos,
logo haveria a necessidade de tratar apenas os riscos mais crticos. Por isso no faz sentido
iniciar um processo de gesto de riscos detalhado se a implementao dos controles seria
completada em um prazo estendido. Vale destacar que uma anlise/avaliao de risco perde
sua validade com as mudanas de contexto, de ameaas e de vulnerabilidades trazidas pelo
tempo, portanto uma abordagem com enfoque de alto nvel seria mais adequada.
Diante dessas questes imprescindvel que a discusso quanto a um mtodo de
anlise/avaliao de riscos com um enfoque de alto nvel seja colocada no mbito do servio
pblico, j que so poucos os rgo que se preocupam em gerir os seus riscos de modo
sistemtico.
2.3 Metodologia
A presente pesquisa pode ser caracterizada, segundo a utilizao dos resultados, como
pesquisa aplicada. Distingue-se pelo seu interesse prtico que conforme Ander-Egg
4
procura
resultados que possam ser aplicados ou utilizados, imediatamente, na soluo de problemas
que ocorrem na realidade.

4
Ander-Egg (1978) apud MARCONI, M. A., LAKATOS, E. M. Tcnicas de Pesquisa. So Paulo: Atlas, 2002.

6
A principal tcnica utilizada foi a pesquisa bibliogrfica, o objetivo era conhecer, discutir
e analisar as contribuies registradas acerca do tema proposto. Vale destacar que a pesquisa
bibliogrfica no mera repetio do que j foi escrito sobre determinado assunto. Ela
permite explorar novas reas onde os problemas no se cristalizaram o suficiente. Propicia o
exame de um tema sob novo enfoque ou abordagem, podendo chegar a concluses
inovadoras
5
.
Inicialmente foi realizado um estudo na literatura sobre a gesto de risco de segurana da
informao com nfase na norma ISO/IEC 27005:2008. Em seguida o estudo voltou-se a
literatura sobre a administrao pblica.
Terminada esta etapa, o trabalho foi direcionado caracterizao da administrao
pblica em aspectos que subsidiem, de maneira geral, o processo de gesto de riscos.
Foram delineados os instrumentos para um mtodo de gesto de riscos para a APF numa
abordagem de alto nvel. Por fim, foi elaborado um exemplo de aplicao dos instrumentos
propostos em uma organizao fictcia.

5
MARCONI, M. A., LAKATOS, E. M. Tcnicas de Pesquisa. So Paulo: Atlas, 2002.

7
3 REVISO DE LITERATURA E FUNDAMENTOS
3.1 Gesto de riscos: norma ISO/IEC 27005
A norma ISO/IEC 27005 fornece diretrizes e descreve um processo genrico para a
Gesto de Riscos de Segurana da Informao de uma organizao. O processo descrito pela
norma harmonicamente sincronizado com o ciclo de melhoria contnua PDCA utilizado
em um SGSI conforme a ISO/IEC 27001. Alm disso, o processo pode tambm ser usado de
forma independente, como por exemplo, para avaliaes de risco em um projeto. Isto permite
flexibilidade e pragmatismo que possibilita a utilizao do processo de GRSI em uma vasta
gama de circunstncias.
Segundo Herv Schauer
6
, a ISO/IEC 27005 o resultado de diversas outras normas e
mtodos conforme Figura 1.

Figura 1 Normas que influenciaram a criao da ISO/IEC 27005.

6
SCHAUER, H. ISO/CEI 27005 : la norme du consensus. Global Security Mag. N4, p. 52-55, Set. 2008

8
Desse modo, a ISO/IEC 27005 sofreu influncia da norma ISO 13335-3, que traz um
modelo de gesto de risco para a rea de tecnologia da informao (TI), desde 1992 com o
incio da normalizao da segurana em TI. O mtodo EBIOS (Expression des Besoins et
Identification des Objectifs de Scurit) criado pelo Ministrio da Defesa francs, contribuiu
com a idia da diviso do processo de avaliao de riscos de sistemas de informao em
atividades e sub-atividades com insumos de entrada, um trabalho a realizar e resultados a
obter. A norma AS/NZS 4360 apresentou um processo de gesto de risco cujas fases e tarefas
so parecidas com as adotadas pela ISO/IEC 27005. A British Standard BS 7799-3 possui
uma funo similar a da ISO/IEC 27005, j que a srie de normas BS 7799 foi a base das
normas da famlia 27000. Ainda, segundo Schauer a norma teria sofrido influncias de
diversas outras fontes que no puderam ser identificadas.
3.1.1 Conceitos
importante destacar o conceito de risco de segurana da informao e os seus
componentes, conforme descrito pela ISO/IEC 27005.
Riscos de segurana da informao: a possibilidade de uma determinada ameaa
explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira
prejudicando a organizao. medido em funo da combinao da probabilidade de um
evento e de sua conseqncia.
7

Desse conceito possvel depreender quatro elementos que so fundamentais para o
processo de gesto de risco, quais sejam: ativo, ameaa vulnerabilidade e impacto.
Ativo definido como qualquer coisa que tenha valor para a organizao
8
. A norma
ISO/IEC 27005 em seu Anexo B sugere a distino entre ativos primrios e ativos de suporte
e infra-estrutura.
9
Os ativos primrios seriam as informaes, os processos e as atividades de
negcio. Os ativos de suporte so aqueles sobre os quais os elementos primrios se apiam,
eles podem ser agrupados da seguinte maneira: hardware, software, rede, recursos humanos,
instalaes fsicas e estrutura da organizao.

7
Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005: Gesto de risco de segurana da informao.
Rio de Janeiro, 2008. Grifo nosso.
8
Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001:2006. Sistema de gesto de segurana da
informao requisitos. Rio de Janeiro, 2006.
9
Os anexos da norma ISO/IEC 27005 possuem valor informativo, logo as tipificaes de ativos, ameaas,
exemplos de vulnerabilidade e mtodos de anlise/avaliao de riscos so colocados como sugestes que podem
ser adaptadas a realidade de cada organizao.

9
Ameaa a causa potencial de um incidente indesejado, que pode resultar em dano para
um sistema ou organizao
10
. As ameaas podem ser de origem humana de natureza acidental
ou intencional ou, ainda, de origem ambiental. E podem ser tipificadas nas seguintes
categorias: dano fsico, eventos naturais, paralisao de servios essenciais, distrbio causado
por radiao, comprometimento da informao, falhas tcnicas, aes no autorizadas,
comprometimento de funes. Em relao s ameaas intencionais a norma sugere que seja
dada ateno especial as especificidades da origem e motivaes dos agentes que representam
ameaa.
Vulnerabilidade a fragilidade de um ativo ou grupo de ativos que pode ser explorada
por uma ou mais ameaas
11
. O Anexo D da ISO/IEC 27005 apresenta uma lista genrica de
exemplos de vulnerabilidades e de possveis ameaas que poderiam explor-las. A lista est
organizada segundo o tipo de ativo de suporte e infra-estrutura. Vale destacar que, conforme
colocado por Fernandes
12
, para o caso de ativos tecnolgicos a lista possui pouca
aplicabilidade devido ao seu carter genrico. Para tal atividade se faz necessrio a utilizao
de mtodos, tcnicas e ferramentas especficas.
A norma utiliza as palavras: impacto e conseqncia para se referir aos danos causados a
organizao devido perda ou comprometimento de ativos. Em alguns momentos elas so
usadas como sinnimos, porm possvel delinear algumas diferenas.
A conseqncia est relacionada a perdas operacionais relativas proteo de ativos. A
sua determinao indica o valor operacional do ativo para a organizao. As conseqncias
so avaliadas em funo da perda da confidencialidade, integridade e disponibilidade dos
ativos supostamente afetados. Alm desses critrios, segundo a ISO/IEC 27005, devem ser
considerados para a determinao das conseqncias operacionais a investigao e tempo de
reparo, o tempo de trabalho perdido, as oportunidades perdidas, sade e segurana, custo
financeiro das competncias especficas necessrias para reparar o prejuzo, imagem e
reputao da organizao.

10
Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27002: Cdigo de Prtica para a gesto da
segurana da informao. Rio de Janeiro, 2005.
11
Ibid.
12
FERNANDES, J. H. C. Introduo Gesto de Riscos de Segurana da Informao. 75 f. Texto desenvolvido
para suporte das atividades de Ensino do Programa de Pesquisas e Formao de Especialistas. Universidade de
Braslia (UnB), Braslia, 2009.

10
O impacto definido como uma mudana adversa no nvel obtido dos objetivos de
negcios
13
. Assim, quando se fala em impacto o dano causado por um incidente de segurana
observado de um modo mais abrangente em relao ao negcio da organizao como um
todo. Conforme o Anexo B.3 da norma, o impacto pode ser direto: (i) valor financeiro de
reposio do ativo perdido; (ii) custo de aquisio, configurao e instalao do novo ativo ou
do back-up; (iii) custo das operaes suspensas devido ao incidente at que o servio prestado
pelos ativos afetados seja restaurado; (iv) conseqncias resultantes de violaes da segurana
da informao; e indireto: (i) custo de oportunidade; (ii) custo das operaes interrompidas;
(iii) mau uso das informaes obtidas atravs da violao da segurana; (iv) violao de
obrigaes estatutrias ou regulatrias; (v) violao dos cdigos ticos de conduta.
A seguir destacam-se outros conceitos pertinentes gesto de risco de segurana da
informao. A Figura 2 apresenta um mapa que permite visualizar a relao entre os conceitos
fundamentais da gesto de risco.
14

Evento de segurana da informao: uma ocorrncia identificada de um estado de
sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da
informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser
relevante para a segurana da informao.
15

Risco residual: risco remanescente aps o tratamento de riscos.
16

Aceitao do risco: deciso de aceitar um risco.
17

Avaliao de riscos: processo de comparar o risco estimado com critrios de risco
predefinidos para determinar a importncia do risco.
18

Tratamento do risco: processo de seleo e implementao de medidas para modificar
um risco.
19

Ao de evitar o risco: deciso de no se envolver ou agir de forma a se retirar de uma
situao de risco.
20


13
Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005: Gesto de risco de segurana da
informao. Rio de Janeiro, 2008.
14
FERNANDES, J. H. C. Op. Cit.
15
Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001:2006. Sistema de gesto de segurana da
informao requisitos. Rio de Janeiro, 2006.
16
Ibid.
17
Ibid.
18
Ibid.
19
Ibid.

11
Comunicao do risco: troca ou compartilhamento de informao sobre o risco entre o
tomador de deciso e outras partes interessadas.
21

Estimativa de riscos: processo utilizado para atribuir valores probabilidade e
conseqncias de um risco.
22

Identificao de riscos: processo para localizar, listar e caracterizar elementos do risco.
23

Reduo do risco: aes tomadas para reduzir a probabilidade, as conseqncias
negativas, ou ambas, associadas a um risco.
24

Reteno do risco: aceitao do nus da perda ou do benefcio do ganho associado a um
determinado risco.
25

Transferncia do risco: compartilhamento com outra entidade do nus da perda ou do
benefcio do ganho associado a um risco.
26

No que tange a reteno e transferncia do risco, somente conseqncias negativas
(perdas) so consideradas.


20
Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005: Gesto de risco de segurana da
informao. Rio de Janeiro, 2008.
21
Ibid.
22
Ibid.
23
Ibid.
24
Ibid.
25
Ibid.
26
Ibid.

12

Figura 2 Um mapa de conceitos sobre risco de segurana da informao.
27


3.1.2 O processo de gesto de riscos
A norma ISO/IEC 27005 contm a descrio e as diretrizes do processo de gesto de
risco de segurana da informao e das suas atividades. A Figura 3 um esquema do
encadeamento das atividades do processo de gesto de risco.
O processo de gesto de risco comea com a definio do contexto. Em seguida feita a
anlise/avaliao de riscos, em que os riscos so identificados, estimados e avaliados segundo
critrios definidos no momento do estabelecimento do contexto. Finda est fase h o primeiro
ponto de deciso onde verificado se a avaliao foi satisfatria ou no, caso no seja, o
processo repetido. Vale destacar que a segunda iterao para os riscos que precisam ser
detalhados, logo, o contexto da segunda iterao mais especfico que o da primeira. Se a
avaliao for considerada satisfatria passa-se ao tratamento do risco, etapa onde os riscos
podem ser reduzidos, retidos, evitados ou transferidos. possvel que o risco residual que
resulta do tratamento no seja aceitvel para a organizao, da faz-se necessria outra
iterao de anlise/avaliao de riscos.

27
FERNANDES, J. H. C. Op. Cit.

13


Figura 3 Viso geral do processo de gesto de risco segundo a norma ISO/IEC 27005.

A aceitao do risco importante porque os gestores da organizao registram
formalmente a aceitao do risco residual. A comunicao do risco deve ser feita durante todo
o processo porque informaes sobre os riscos e modo como sero tratados podem ser teis
para os gestores e para reas operacionais no gerenciamento de algum incidente. O
monitoramento cotidiano e a anlise crtica so necessrios para assegurar que o contexto, o
resultado da anlise/avaliao de riscos e do tratamento do risco, assim como os planos de
gesto, permaneam relevantes e adequados s circunstncias.
As atividades do processo de gesto de risco de segurana da informao, conforme
apresentadas acima, so as seguintes: definio do contexto, anlise/avaliao de riscos,

14
tratamento do risco, aceitao do risco, comunicao do risco e monitoramento e anlise
crtica de riscos. A seguir sero descritas cada uma dessas atividades.
3.1.3 Definio do contexto
A definio do contexto determina o objeto sobre o qual a gesto de risco vai atuar.
Como sub-processo, a definio do contexto recebe como entrada todas as informaes sobre
a organizao relevantes para a definio do contexto e presta como sada especificao dos
critrios bsicos; o escopo e os limites do processo de gesto de riscos de segurana da
informao; e a organizao responsvel pelo processo.
A definio do contexto compreende a definio de critrios bsicos necessrios para a
gesto de riscos de segurana da informao, a definio do escopo e dos limites e o
estabelecimento de uma organizao apropriada para atuar na gesto de riscos.
3.1.3.1 Critrios bsicos
Conforme o objetivo da gesto de risco e as especificidades da organizao diferentes
critrios de risco podem ser elaborados. Os critrios bsicos apresentados pela norma tm o
objetivo de dar suporte e um SGSI e se dividem em critrios para a avaliao de riscos,
critrios de impacto e critrios para a aceitao do risco.
! Critrios para a avaliao de riscos: estabelece um parmetro para a avaliao dos
riscos e so usados para especificar as prioridades para o tratamento do risco. Para sua
elaborao so considerados: (i) o valor estratgico do processo que trata as
informaes de negcio; (ii) a criticidade dos ativos de informao envolvidos; (iii)
requisitos legais e regulatrios, bem como as obrigaes contratuais; (iv) importncia
do ponto de vista operacional e dos negcios, da disponibilidade, da confidencialidade
e da integridade; (v) expectativas e percepes das partes interessadas e conseqncias
negativas para a imagem e a reputao.
28

! Critrios de impacto: procura definir um termo para avaliar o impacto de um cenrio
de incidente. So considerados na sua definio: (i) o nvel de classificao do ativo
de informao afetado; (ii) a ocorrncias de violao da segurana da informao; (iii)
operaes comprometidas; (iv) perda de oportunidades de negcio e de valor

28
Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005: Gesto de risco de segurana da
informao. Rio de Janeiro, 2008.

15
financeiro; (v) interrupo de planos e o no cumprimento de prazos; (vi) dano
reputao; (vii) violaes de requisitos legais, regulatrios ou contratuais.
29

! Critrios para a aceitao do risco: estabelece uma escala de nveis de aceitao do
risco, normalmente, depende das polticas, metas e objetivos da organizao, assim
como dos interesses das partes interessadas. Segundo a norma, os critrios para a
aceitao do risco podem possuir limites diversos, em que riscos acima do patamar
estabelecido podem ser aceitos sob circunstncias definidas. Alm disso, diferentes
critrios podem ser aplicados a diferentes classes de risco, podem incluir requisitos
para um tratamento adicional futuro, e podem ser diferenciados de acordo com o
tempo de existncia previsto do risco. A norma ressalta, ainda, que devem ser
considerados no estabelecimento desses critrios os seguintes itens: (i) critrios de
negcio; (ii) aspectos legais e regulatrios; (iii) operaes; (iv) tecnologia; (v)
finanas; e (vi) fatores sociais e humanitrios.
3.1.3.2 Definio do escopo e limites
O escopo e o limite do processo de gesto de risco definem a abrangncia do processo
sobre os ativos da organizao. importante que sejam reunidas informaes sobre a
organizao, e que sejam consideradas as seguintes informaes: (i) objetivos estratgicos,
polticas e estratgias da organizao; (ii) processos de negcio; (iii) funes e estrutura da
organizao; (iv) requisitos legais, regulatrios e contratuais aplicveis organizao; (v)
poltica de segurana da informao da organizao; (vi) abordagem da organizao gesto
de riscos; (vi) ativos de informao; (vii) localidades em que a organizao se encontra e suas
caractersticas geogrficas; (viii) restries que afetam a organizao; (ix) expectativas das
partes interessadas; (x) ambiente sociocultural; e (xi) interfaces, ou seja, a troca de informao
com o ambiente.
3.1.3.3 Organizao para gesto de riscos
Um grupo ou frao da organizao deve ser estabelecido e mantido para executar o
processo de gesto de risco. Conforme a ISO/IEC 27005, os papis e responsabilidades desse
grupo so: (i) desenvolvimento do processo de gesto de riscos de segurana da informao
adequado organizao; (ii) identificao e anlise das partes interessadas; (iii) definio dos

29
Ibid.

16
papis e responsabilidades de todas as partes, internas e externas organizao; (iv)
estabelecimento das relaes necessrias entre a organizao e as partes interessadas, das
interfaces com as funes de alto nvel de gesto de riscos da organizao, assim como das
interfaces com outros projetos ou atividades relevantes; (v) definio de aladas para a
tomada de decises; e (vi) especificao dos registros a serem mantidos.
3.1.4 Anlise/avaliao de riscos
A anlise/avaliao de riscos identifica, quantifica ou descreve qualitativamente os riscos,
o que capacita os gestores a prioriz-los de acordo com a sua gravidade e com os critrios
estabelecidos na definio do contexto. Tem como entrada os critrios bsicos, o escopo e os
limites, e a organizao do processo de gesto de riscos, e como sada uma lista de riscos
avaliados, ordenados por prioridade de acordo com os critrios de avaliao de riscos.
Segundo a ISO/IEC 27005 a anlise/avaliao de riscos executada freqentemente em
duas ou mais iteraes. A primeira seria uma avaliao de alto nvel que identifica os riscos
com potencial de alto impacto. Esses riscos so avaliados com maior profundidade em uma
segunda iterao. Caso ainda no seja possvel avaliar o risco de maneira satisfatria, anlises
detalhadas precisaro ser executadas, provavelmente em apenas partes do escopo e
possivelmente usando outro mtodo.
A anlise/avaliao de riscos desenvolve duas atividades: anlise de risco, que se divide
em identificao e estimativa de riscos; e avaliao de riscos.
3.1.4.1 Anlise de riscos
3.1.4.1.1 Identificao de riscos
O objetivo identificar os elementos constituintes do risco, determinando os eventos que
possam causar uma perda potencial a organizao. As atividades desenvolvidas so as
seguintes: (i) identificao de ativos; (ii) identificao de ameaas; (iii) identificao de
controles; (iv) identificao de vulnerabilidades; e (v) identificao de conseqncias. As
informaes coletadas servem de entrada para a estimativa de riscos.
30


30
Ibid.

17
! Identificao de ativos: essa atividade visa identificar os ativos dentro do escopo que
precisa ter os seus riscos gerenciados. Recebe como entrada: o escopo e limites para a
anlise/avaliao de riscos, e uma lista de preliminar dos ativos com os respectivos
responsveis, localidade, funo e outras caractersticas dos ativos; e como sada: uma
lista de ativos cujos riscos precisam ser controlados, e uma lista de processos do
negcio relacionados aos ativos e suas relevncias.
31

A identificao dos ativos, de acordo com a norma, deve ser executada com um
detalhamento adequado que fornea informaes suficientes para as etapas seguintes
do processo. O detalhamento pode ser aprofundado a cada iterao da
anlise/avaliao de riscos.
Para cada ativo importante que seja identificado um responsvel, o qual pode no
possuir a propriedade do ativo, mas tem responsabilidade sobre sua produo,
desenvolvimento, manuteno, utilizao e segurana. O responsvel pelo ativo
freqentemente a pessoa mais adequada para determinar o valor do mesmo para a
organizao.
32

! Identificao de ameaas: recebe como entrada: informaes sobre ameaas obtidas
a partir da anlise crtica de incidentes, dos responsveis pelos ativos, de usurios e de
outras fontes, incluindo catlogos externos de ameaas; e como sada: uma lista de
ameaas com a identificao do tipo e da fonte das ameaas.
33

Conforme a ISO/IEC 27005, uma ameaa tem o potencial de comprometer ativos e
pode provocar impactos diferentes, dependendo de quais ativos so afetados. Alm
disso, podem ser de origem natural ou humana, podem ser acidentais ou intencionais e
podem surgir de dentro ou de fora da organizao. As fontes das ameaas acidentais e
das intencionais devem ser identificadas. As ameaas podem ser identificadas
genericamente e por classe (por exemplo: aes no autorizadas, comprometimento da
informao, falhas tcnicas) e, em situaes especficas, elas podem ser detalhadas.

31
Ibid.
32
Ibid.
33
Ibid.

18
! Identificao dos controles existentes: recebe como entrada a documentao dos
controles e o plano de tratamento de risco, e como sada uma lista de todos os
controles existentes e planejados, sua implementao e status de utilizao.
34

Conforme a ISO/IEC 27005 a identificao dos controles evita custos e trabalho
desnecessrios. Um controle que no funcione como esperado pode provocar o
surgimento de vulnerabilidades, por isso importante medir a eficcia dos controles.
Uma maneira para estimar o efeito do controle ver o quanto ele reduz a
probabilidade da ameaa, a facilidade de explorao de uma vulnerabilidade ou o
impacto do incidente.
Os controles podem ser considerados ineficazes, insuficientes ou no-justificados. Os
controles insuficientes ou no-justificados devem ser avaliados para determinar se
convm que o mesmo seja removido, substitudo por outro mais adequado ou se deve
permanecer.
As atividades de identificao dos controles so as seguintes: (i) reviso da
documentao dos controles existentes ou planejados; (ii) verificar com os gestores de
segurana e com os usurios quais controles, relacionados ao escopo, esto realmente
implementados; (iii) revisar, no local, os controles fsicos, comparando os controles
implementados com a lista de quais deveriam estar presentes, e verificar se aqueles
implementados esto funcionando efetivamente; (iv) analisar criticamente os
resultados de auditorias internas.
35

! Identificao das vulnerabilidades: recebe como entrada: (i) uma lista de ameaas
conhecidas; (ii) listas de ativos; e (iii) uma lista de controles existentes; e como sada:
(i) uma lista de vulnerabilidades associadas aos ativos, s ameaas e aos controles; e
(ii) uma lista de vulnerabilidades que no se refere a nenhuma ameaa identificada
para anlise.
36

As vulnerabilidades, segundo a norma, podem ser identificadas nas seguintes reas: (i)
organizao; (ii) processos e procedimentos; (iii) rotinas de gesto; (iv) recursos
humanos; (v) ambiente fsico; (vi) configurao do sistema de informao; (vii)

34
Ibid.
35
Ibid.
36
Ibid.

19
hardware, software ou equipamentos de comunicao; (viii) dependncia de entidades
externas.
Uma vulnerabilidade precisa de uma ameaa explorando-a para causar dano
organizao. Assim, uma vulnerabilidade que no tem uma ameaa correspondente
pode no requerer a implementao de um controle no presente, mas ela deve ser
monitorada, no caso de haver mudanas. Inversamente, uma ameaa que no tenha
uma vulnerabilidade correspondente pode no resultar em um risco.
37

Vulnerabilidades podem estar ligadas a caractersticas do ativo, as quais podem ser
usadas de uma forma ou para um propsito diferente daquele para o qual o ativo foi
adquirido ou desenvolvido.
38

! Identificao das conseqncias: o objetivo identificar as conseqncias que a
perda de confidencialidade, de integridade e de disponibilidade podem ter sobre os
ativos. Recebe como entrada: (i) uma lista de ativos; (ii) uma lista de processos do
negcio; e (iii) uma lista de ameaas e vulnerabilidades relacionadas aos ativos e sua
relevncia; e como sada: uma lista de cenrios de incidentes com suas conseqncias
associadas aos ativos e processos do negcio.
Um cenrio de incidente, conforme a ISO/IEC 27005, a descrio de uma ameaa
explorando certa vulnerabilidade ou um conjunto delas em um incidente de segurana
da informao. O impacto dos cenrios de incidentes considerado em funo dos
critrios estabelecidos na definio do contexto.
A definio de valores aos ativos correspondendo aos seus custos financeiros e as
conseqncias aos negcios caso sejam danificados, em sua totalidade ou
parcialmente, contribui para essa atividade. Alm disso, para a identificao das
conseqncias vale observar: (i) investigao e tempo de reparo; (ii) tempo de trabalho
perdido; (iii) oportunidade perdida; (iv) sade e segurana; (v) custo financeiro das
competncias especficas necessrias para reparar o prejuzo; (vi) imagem, reputao e
valor de mercado.
39


37
Ibid.
38
Ibid.
39
Ibid.

20
3.1.4.1.2 Estimativa de riscos
A estimativa de riscos visa mensurar a conseqncia ou impacto dos cenrios de
incidente e estimar a sua probabilidade. As atividades que realiza so as seguintes: (i)
avaliao das conseqncias; (ii) avaliao da probabilidade dos incidentes; (iii) estimativa do
nvel de risco.
! Metodologias para a estimativa de riscos: a estimativa de risco pode ser realizada
em diversos graus de detalhamento, j que a anlise/avaliao de riscos normalmente
feita em pelo menos duas iteraes do processo. A primeira iterao seria de alto nvel
com o objetivo de identificar os grandes riscos que a organizao est exposta e para
tanto utilizaria um mtodo qualitativo. Uma segunda iterao mais detalhada utilizaria
mtodos quantitativos para estimar os riscos considerados mais graves pela
organizao.
Os mtodos de estimativa qualitativa utilizam uma escala de palavras que
qualificam ou que descrevem a gravidade das conseqncias identificadas, como por
exemplo, pequeno, mdio e grande, e a probabilidade das ameaas ocorrerem. Um
mtodo qualitativo de fcil compreenso por qualquer pessoa e pouco oneroso,
porm a dependncia escolha subjetiva da escala uma desvantagem. Conforme a
ISO/IEC 27005, a estimativa qualitativa pode ser utilizada: (i) como uma verificao
inicial a fim de identificar riscos que exigiro uma anlise mais detalhada; (ii) quando
esse tipo de anlise suficiente para a tomada de decises; e (iii) quando os dados
numricos ou recursos so insuficientes para uma estimativa quantitativa.
Os mtodos de estimativa quantitativos utilizam escalas com valores numricos para
definir as conseqncias e a probabilidade. Utilizam, na maioria dos casos, dados
histricos de incidentes que podem ser relacionados aos objetivos e interesses da
organizao, porm a falta desses dados principalmente sobre novos riscos inviabiliza
a sua utilizao. Uma desvantagem da abordagem quantitativa ocorre quando dados
factuais e auditveis no esto disponveis. Nesse caso, a exatido da anlise/avaliao
de riscos e os valores associados tornam-se ilusrios. Por isso, a incerteza e a
variabilidade das conseqncias e da probabilidade devem ser consideradas na anlise
e comunicadas de forma eficaz.
40


40
Ibid.

21
! Avaliao das conseqncias: o objetivo avaliar o impacto sobre o negcio da
organizao, que pode ser causado por incidentes de segurana da informao. Recebe
como entrada uma lista de cenrios de incidentes identificados como relevantes,
incluindo a identificao de ameaas, vulnerabilidades, ativos afetados e
conseqncias para os ativos e processos do negcio. A sada uma lista de
conseqncias avaliadas referentes aos cenrios de incidentes, relacionadas aos ativos
e critrios de impacto, conforme definido no contexto.
41

O valor dos ativos presentes no escopo deve ser considerado, de acordo com a
ISO/IEC 27005, para avaliar as possveis perdas que a organizao est sujeita. Os
ativos so valorados segundo a sua criticidade, isto , em relao ao seu custo de
reposio e as conseqncias ao negcio relacionadas perda ou ao comprometimento
do ativo. Essa valorao pode ser determinada a partir de uma anlise de impacto no
negcio BIA (Business Impact Analysis).
Vale destacar que um incidente pode afetar mais de um ativo ou somente parte de um
ativo. Alm disso, a criao de modelos com os resultados de um evento ou um
conjunto de eventos a partir de estudos experimentais ou dados passados contribuem
para determinar a extenso dos danos causados por um cenrio de incidente e a relao
de dependncia entre os ativos. As conseqncias podem ser expressas em funo dos
critrios monetrios, tcnicos ou humanos, de impacto ou de outro critrio relevante
para a organizao.
42

! Avaliao da probabilidade dos incidentes: recebe como entrada: (i) uma lista de
cenrios de incidentes identificados como relevantes, incluindo a identificao de
ameaas, ativos afetados, vulnerabilidades exploradas e conseqncias para os ativos e
processos do negcio; e (ii) listas com todos os controles existentes e planejados, sua
eficcia, implementao e status de utilizao. A sada a probabilidade dos cenrios
de incidentes, utilizando um mtodo quantitativo ou qualitativo.
43

importante observar a freqncia da ocorrncia das ameaas e a facilidade com que
as vulnerabilidades podem ser exploradas, considerando o seguinte: (i) a experincia
passadas e estatsticas aplicveis referentes probabilidade da ameaa; (ii) a

41
Ibid.
42
Ibid.
43
Ibid.

22
motivao e as competncias, que mudam ao longo do tempo, os recursos disponveis
para possveis atacantes, bem como a percepo da vulnerabilidade e o poder da
atrao dos ativos para um possvel atacante, no caso de ameaas intencionais; (iii)
fatores geogrficos, a possibilidade de eventos climticos extremos e fatores que
poderiam acarretar erros humanos e o mau funcionamento de equipamentos, no caso
de ameaas acidentais; (iv) vulnerabilidades, tanto individualmente como em
conjunto; e (v) os controles existentes e a eficcia com que eles reduzem as
vulnerabilidades.
44

! Estimativa do nvel de risco: o objetivo estimar o nvel de riscos de todos cenrios
de incidentes considerados relevantes. Recebe como entrada uma lista de cenrios de
incidentes com suas conseqncias associadas aos ativos, processos de negcio e suas
probabilidades. A sada uma lista de riscos com nveis de valores designados.
45

Segundo a ISO/IEC 27005, o risco estimado por meio da combinao entre a
probabilidade de um cenrio de incidente e suas conseqncias. Desse modo, so
designados valores, de natureza quantitativa ou qualitativa, para a probabilidade e para
as conseqncias de um risco. Por conseguinte, o nvel de risco dos cenrios de
incidentes determinado. Alm disso, a estimativa de risco pode considerar o custo-
benefcio, as preocupaes das partes interessadas e outras variveis, conforme
apropriado para a avaliao de riscos.
3.1.4.2 Avaliao de riscos
A avaliao de riscos visa comparar o nvel de riscos dos cenrios de incidentes
encontrados com os critrios de avaliao de riscos e com os critrios para a aceitao do
risco. As entradas da atividade so (i) uma lista de riscos com nveis de valores designados e
(ii) critrios para a avaliao de riscos. A sada uma lista de riscos ordenados por prioridade,
de acordo com os critrios de avaliao de riscos, e associados aos cenrios de incidentes que
os provocam.
46

Os riscos estimados so avaliados por meio dos critrios de avaliao de riscos e dos
critrios para a aceitao do risco estabelecidos durante a definio do contexto. Neste estgio

44
Ibid.
45
Ibid.
46
Ibid.

23
o contexto deve ser revisado detalhadamente em que se conhece mais sobre os riscos
identificados. Alm disso, os critrios de avaliao de riscos devem ser consistentes com o
contexto interno e externo da organizao e devem considerar os objetivos da organizao e o
ponto de vista das partes interessadas. Vale destacar que a agregao de mltiplos riscos
pequenos e mdios pode resultar em um risco significativo que precisar ser tratado
adequadamente.
47

Segundo a ISO/IEC 27005 os seguintes itens devem ser considerados:
! As propriedades da segurana da informao (confidencialidade, integridade e
disponibilidade). Caso um critrio no seja importante para a organizao, logo, todos
os riscos que provocam esse tipo de impacto podem ser considerados irrelevantes.
! A importncia do processo de negcios ou da atividade suportada por um determinado
ativo ou conjunto de ativos. Os riscos associados a processos julgados de baixa
importncia devem ser menos considerados que os associados a processos mais
importantes.
Com a avaliao de riscos a etapa de anlise/avaliao de riscos termina, caso os
resultados tenham sido insatisfatrios deve-se retornar ao estabelecimento do contexto, caso a
avaliao tenha sido satisfatria passa-se ao tratamento do risco.
3.1.5 Tratamento do risco
O tratamento do risco visa selecionar controles para reduzir, reter, evitar ou transferir os
riscos e definir um plano de tratamento do risco Recebe como entrada uma lista de riscos
ordenados por prioridade e associados aos cenrios de incidentes que os provocam, e como
sada o plano de tratamento do risco e os riscos residuais, sujeitos deciso de aceitao por
parte dos gestores da organizao.
48
A Figura 4 ilustra a atividade de tratamento de risco
dentro do processo de gesto de risco de segurana da informao.
Conforme a ISO/IEC 27005, as opes do tratamento do risco so selecionadas
considerando o resultado da anlise/avaliao de riscos, o custo esperado para implementao
dessas opes e os benefcios previstos. Porm os riscos improvveis e de impacto severo
podem exigir controles que no so justificveis do ponto de vista estritamente econmico,

47
Ibid.
48
Ibid.

24
como por exemplo, controles de continuidade de negcios. Alm disso, as quatro opes para
o tratamento do risco no so mutuamente excludentes, pode haver combinaes entre elas de
modo a beneficiar a organizao.
O plano de tratamento do risco deve identificar claramente a ordem de prioridade em que
as formas de tratamento do risco sejam implementadas, assim como os seus prazos de
execuo. Algumas formas de tratamento do risco podem lidar com mais de um risco de
forma efetiva, por exemplo, o treinamento e a conscientizao em segurana.
Aps a definio do plano de tratamento do risco, os riscos residuais precisam ser
determinados. Para isso, ocorre uma repetio da anlise/avaliao de riscos, considerando os
efeitos previstos do tratamento do risco que foi proposto. Caso o risco residual ainda no
satisfaa os critrios para a aceitao do risco da organizao, uma nova iterao do
tratamento do risco pode ser necessria antes de se prosseguir aceitao do risco.
49
A seguir
as opes de tratamento do risco so detalhadas.

Figura 4 A atividade de tratamento do risco segundo a norma ISO/IEC 27005.

49
Ibid.

25
! Reduo do risco: consiste na tomada de aes para reduzir a probabilidade, as
conseqncias negativas, ou ambas, associadas a um risco. Nesse caso o nvel de risco
reduzido atravs da seleo de controles, para que o risco residual possa ser
reavaliado e ento considerado aceitvel.
50

No mbito de um sistema de gesto da segurana da informao em que a gesto de
risco est inserida, a seleo de controles para reduo do risco se d dentre as opes
oferecidas pela norma ISO/IEC 27002 Cdigo de prtica para a gesto da segurana
da informao.
A escolha dos controles, de acordo com a ISO/IEC 27005, deve considerar: (i)
critrios para a aceitao do risco; (ii) requisitos legais, regulatrios e contratuais; (iii)
custos e prazos para a aquisio, implementao, administrao, operao,
monitoramento e manuteno dos controles em relao ao valor dos ativos sendo
protegidos; (iv) o retorno do investimento em segurana, na forma da reduo do risco
e da possibilidade de se explorar novas oportunidades de negcio em funo da
existncia de certos controles; (v) aspectos tcnicos, culturais e ambientais; (vi)
competncias especializadas que possam ser necessrias para definir e implementar
novos controles ou modificar os existentes. Vale ressaltar que os controles podem
fornecer os seguintes tipos de proteo: correo, eliminao, preveno, minimizao
do impacto, dissuaso, deteco, recuperao, monitoramento e conscientizao.
Um controle pode afetar o desempenho de um sistema ou processos de uma
organizao. Por isso importante que uma soluo que satisfaa os requisitos de
desempenho e que possa, ao mesmo tempo, garantir um nvel suficiente de segurana
da informao seja encontrada.
51

A norma destaca a necessidade de considerar restries que podem afetar a seleo de
controles, as quais podem ser da seguinte natureza: temporais, financeiras, tcnicas,
operacionais, culturais, ticas, ambientais, legais, facilidade de uso, restries de
recursos humanos e restries ligadas integrao dos controles novos aos j
existentes.

50
Ibid.
51
Ibid.

26
Reteno do risco: a aceitao do nus da perda ou do benefcio do ganho
associado a um determinado risco, todavia, no contexto dos riscos de segurana da
informao, somente conseqncias negativas so consideradas. A deciso sobre a
reteno de algum risco tomada em funo da avaliao de risco. Se o nvel de risco
atende aos critrios para a aceitao do risco, no h necessidade de se implementar
controles adicionais e pode haver a reteno do risco.
52

! Ao de evitar o risco: a deciso de no se envolver ou agir de forma a se retirar de
uma situao de risco, isto , a organizao evita a atividade ou condio que d
origem a um determinado risco. Esta ao realizada quando o risco demasiado e
quando os custos para a reduo do risco so superiores aos benefcios. Por exemplo:
para riscos causados por fenmenos naturais, pode ser uma alternativa mais rentvel
mover fisicamente as instalaes de processamento de informaes para um local
onde o risco no existe ou est sob controle.
53

! Transferncia do risco: o compartilhamento com outra entidade do nus da perda
ou do benefcio do ganho associado a um risco, isto , a transferncia de um risco para
outra entidade externa a organizao que possa gerenci-lo de forma mais eficaz. A
transferncia do risco pode criar novos riscos ou modificar riscos existentes e j
identificados. Portanto, uma nova iterao do processo de gesto de risco pode vir a
ser necessria.
Uma forma de transferir o risco a contratao de um seguro que cubra o impacto de
incidente outra forma seria a subcontratao de um parceiro cujo papel seria o de
monitorar o sistema de informao e tomar medidas imediatas que impeam um
ataque antes que ele possa causar um determinado nvel de dano ou prejuzo. Desse
modo possvel transferir a responsabilidade pelo gerenciamento do risco, entretanto a
responsabilidade legal pelo impacto normalmente no possvel ser transferida.
Assim, os clientes provavelmente iro atribuir a culpa por um efeito adverso
organizao.
54


52
Ibid.
53
Ibid.
54
Ibid.

27
3.1.6 Aceitao do risco
A aceitao do risco a formalizao pela autoridade competente da deciso de aceitar o
risco. Recebe como entrada: o plano de tratamento do risco e a anlise/avaliao do risco
residual sujeito deciso dos gestores da organizao relativa aceitao do mesmo. A sada
da atividade uma lista de riscos aceitos, incluindo uma justificativa para aqueles que no
satisfaam os critrios normais para aceitao do risco.
55

Os gestores da organizao devem analisar o plano de tratamento de risco e os riscos
residuais e, no caso de aprovao dos mesmos, as condies associadas aprovao devem
ser registradas.
Conforme a ISO/IEC 27005, os critrios para a aceitao do risco podem ser mais
complexos do que a verificao se o risco residual est acima ou abaixo do limite
determinado pela organizao. possvel que o nvel de risco residual no satisfaa os
critrios para a aceitao do risco aplicados no momento. Em algum destes casos os gestores
podem aceitar o risco desce que a deciso seja formalizada e comente explicitamente sobre o
risco e inclua uma justificativa para ultrapassar os critrios normais para a aceitao do risco.
3.1.7 Comunicao do risco
A comunicao do risco preconiza o compartilhamento contnuo das informaes
referentes aos riscos entre as partes interessadas durante todo o processo de gesto de risco.
Recebe como entrada todas as informaes sobre os riscos obtidas atravs das atividades de
gesto de riscos. A sada da atividade o entendimento contnuo do processo de gesto de
riscos de segurana da informao da organizao e dos resultados obtidos.
56

A comunicao do risco uma atividade bidirecional, em que se busca o consenso entre
os tomadores de deciso e as partes interessadas sobre como os riscos devem ser gerenciados.
Entretanto, a percepo do risco varia devido a diferenas de suposies, conceitos,
necessidades, interesses e preocupaes das partes interessadas quando lidam com o risco.
importante que a sua percepo do risco, as razes subjacentes e a sua percepo dos
benefcios sejam claramente entendidas, consideradas e documentadas. Alm disso, a
comunicao eficaz impacta significativamente sobre a tomada de deciso, j que ela

55
Ibid.
56
Ibid.

28
assegurar que todos tenham um bom entendimento do por que as decises so tomadas e dos
motivos que tornam certas aes necessrias.
57

As informaes que devem ser compartilhadas, conforme a ISO/IEC 27005, incluem,
dentre outros fatores, a existncia do risco, sua natureza, forma, probabilidade, severidade,
tratamento e aceitabilidade.
A norma aponta que a comunicao do risco realizada com a finalidade de: (i) fornecer
garantia do resultado da gesto de riscos da organizao; (ii) coletar informaes sobre os
riscos; (iii) compartilhar os resultados da anlise/avaliao de riscos e apresentar o plano de
tratamento do risco; (iv) evitar ou reduzir tanto a ocorrncia quanto as conseqncias das
violaes da segurana da informao que aconteam devido falta de entendimento mtuo
entre os tomadores de deciso e as partes interessadas; (v) dar suporte ao processo decisrio;
(vi) obter novo conhecimento sobre a segurana da informao; (vii) coordenar com outras
partes e planejar respostas para reduzir as conseqncias de um incidente; (viii) dar aos
tomadores de deciso e as partes interessadas um senso de responsabilidade sobre riscos; e
(ix) melhorar a conscientizao.
3.1.8 Monitoramento e anlise crtica de riscos
O monitoramento e anlise crtica de riscos um conjunto de atividade continuamente
executo que visa monitorar as mudanas no contexto, nos componentes do risco e aprimorar o
processo de gesto de risco. Dividi-se em duas atividades: (i) monitoramento e anlise crtica
dos fatores de risco, e (ii) monitoramento, anlise crtica e melhoria do processo de gesto de
risco.
! Monitoramento e anlise crtica dos fatores de risco: os componentes do risco, isto
, valor dos ativos, impactos, ameaas, vulnerabilidades, probabilidade de ocorrncia,
devem ser monitorados a analisados criticamente para detectar qualquer mudana no
contexto da organizao. Recebe como entrada todas as informaes sobre os riscos
obtidas atravs das atividades de gesto de riscos. A sada da atividade o
alinhamento contnuo da gesto de riscos com os objetivos de negcios da organizao
e com os critrios para a aceitao do risco.
58


57
Ibid.
58
Ibid.

29
Os riscos no so estticos, os seus componentes podem mudar repentinamente, sem
qualquer indicao, da a importncia do monitoramento e anlise crtica. Segundo a
norma os seguintes itens devem ser monitorados: (i) novos ativos que tenham sido
includos no escopo da gesto de riscos; (ii) modificaes necessrias dos valores dos
ativos; (iii) novas ameaas que podem estar ativas tanto fora quanto dentro da
organizao; (iv) o surgimento de vulnerabilidades novas ou as que j identificadas se
ampliem devido s novas ameaas; (v) as conseqncias ou o impacto ampliado de
ameaas, vulnerabilidades e riscos avaliados em conjunto; e (vi) incidentes
relacionados segurana da informao.
! Monitoramento, anlise crtica e melhoria do processo de gesto de risco: o
processo de gesto de riscos deve ser continuamente monitorado, analisado
criticamente e melhorado. Recebe como entrada: todas as informaes sobre os riscos
obtidos atravs das atividades de gesto de riscos, e como sados: a garantia
permanente da relevncia do processo de gesto de riscos de segurana da informao
para os objetivos de negcios da organizao ou a atualizao do processo.
59

As atividades e os resultados do processo de gesto de risco devem ser acompanhados
para verificar se permanecem apropriados as circunstncias da organizao. As
melhorias devem ser comunicadas aos gestores apropriados, para aumentar a garantia
de que os riscos foram corretamente considerados e para garantir uma compreenso
realista do risco e da capacidade de reao. Alm disso, os critrios utilizados para
mensurar o risco devem ser avaliados se continuam vlidos e coerentes com as
necessidades da organizao.
60

A atividade de monitoramento e anlise crtica, de acordo com a ISO/IEC 27005, deve
acompanhar as mudanas nos seguintes aspectos: (i) contexto legal e do ambiente; (ii)
contexto da concorrncia; (iii) mtodo de anlise/avaliao de riscos; (iv) valor e as
categorias dos ativos; (v) critrios de impacto; (vi) critrios para a avaliao de riscos;
(vii) critrios para a aceitao do risco; (viii) custo total de propriedade; e (ix) recursos
necessrios.
O monitoramento da gesto de riscos pode resultar em modificao ou acrscimo da
abordagem, metodologia ou ferramentas utilizadas, dependendo: (i) das mudanas

59
Ibid.
60
Ibid.

30
identificadas; (ii) da iterao da anlise/avaliao de riscos; (iii) do objetivo do
processo de gesto de riscos de segurana da informao; e (iv) do objeto de interesse
do processo de gesto de riscos de segurana da informao.
61

3.2 Administrao pblica
Segundo Hely Lopes Meirelles
62
a administrao pblica, em sentido formal, o
conjunto de rgos institudos para consecuo dos objetivos do Governo; em sentido
material, o conjunto das funes necessrias aos servios pblicos em geral; em acepo
operacional, o desempenho perene e sistemtico, legal e tcnico, dos servios prprios do
Estado ou por ele assumidos em beneficio da coletividade. Numa viso global, a
Administrao , pois, todo o aparelhamento do Estado preordenado realizao de seus
servios, visando satisfao das necessidades coletivas. A Administrao no pratica atos de
governo; pratica, to-somente, atos de execuo, com maior ou menor autonomia funcional,
segundo a competncia do rgo e de seus agentes.
Em sentido material ou objetivo, conforme Maria Sylvia Zanella Di Pietro
63
, a
administrao pblica abrange as seguintes atividades o fomento, a polcia administrativa e
o servio pblico.
O fomento abrange a atividade administrativa de incentivo a iniciativa privada de
utilidade pblica. So exemplos de fomento auxlios financeiros ou subvenes,
financiamentos sob condies especiais, favores fiscais, desapropriaes e a interveno. Esta
ltima compreende a regulamentao e fiscalizao da atividade econmica de natureza
privada, bem como a atuao direta do Estado no domnio econmico, o que se d
normalmente por meio das empresas estatais.
A polcia administrativa compreende toda atividade de execuo das limitaes
administrativas, que so restries impostas por lei ao exerccio de direitos individuais em
benefcio do interesse coletivo. Compreende medidas de polcia, como ordens, notificaes,
licenas, autorizaes, fiscalizao e sanes.

61
Ibid.
62
MEIRELLES, H. L. Direito Administrativo Brasileiro. So Paulo: Malheiros, 2005.
63
DI PIETRO, M. S. Z. Direito Administrativo. So Paulo: Atlas, 2006.

31
Servio pblico toda atividade que a Administrao Pblica executa, direta ou
indiretamente, para satisfazer necessidade coletiva. Quanto ao objeto, os servios pblicos
podem ser classificados como administrativos, comerciais ou industriais e sociais
64
.
! Os servios administrativos so os que a Administrao Pblica executa para
atender s suas necessidades internas ou preparar outros servios que sero
prestados ao pblico, tais como os da imprensa oficial, das estaes
experimentais e outros dessa natureza
65
.
! Servio pblico comercial ou industrial aquele que a Administrao Pblica
executa, direta ou indiretamente, para atender s necessidades coletivas de ordem
econmica. o caso dos servios de transportes, energia eltrica,
telecomunicaes e outros. Esses servios no se confundem com a atividade
econmica que s pode ser prestada pelo Estado em carter suplementar da
iniciativa privada, os quais so considerados como atividade de fomento.
! Servio pblico social o que atende a necessidades coletivas em que a atuao
do Estado essencial, mas que convivem com a iniciativa privada, tal como
ocorre com os servios de sade, educao, previdncia, cultura, meio ambiente;
rgos pblicos so centros de competncia institudos para o desempenho de funes
estatais, atravs de seus agentes, cuja atuao imputada pessoa jurdica a que pertencem.
So unidades de ao com atribuies especificas na organizao estatal. Cada rgo, como
centro de competncia governamental ou administrativa, tem necessariamente funes, cargos
e agentes, mas distinto desses elementos, que podem ser modificados, substitudos ou
retirados sem supresso da unidade orgnica. Isto explica por que a alterao de funes, ou a
vacncia dos cargos, ou a mudana de seus titulares no acarreta a extino do rgo.
Os rgos integram a estrutura do Estado e das demais pessoas jurdicas como partes
desses corpos vivos, dotados de vontade e capazes de exercer direitos e obrigaes para a
consecuo de seus fins institucionais. Por isso mesmo, os rgos no tm personalidade
jurdica nem vontade prpria, que so atributos do corpo e no das partes, mas na rea de suas
atribuies e nos limites de sua competncia funcional expressam a vontade da entidade a que
pertencem e a vinculam por seus atos, manifestados atravs de seus agentes (pessoas fsicas).

64
Ibid.
65
MEIRELLES, op. cit.

32
A natureza da administrao pblica a de um mnus pblico para quem a exerce, isto ,
a de um encargo de defesa, conservao e aprimoramento dos bens, servios e interesses da
coletividade. Como tal, impe-se ao administrador pblico a obrigao de cumprir fielmente
os preceitos do Direito e da moral administrativa que regem a sua atuao. Ao ser investido
em funo ou cargo pblico, todo agente do poder assume para com a coletividade o
compromisso de bem servi-la, porque outro no o desejo do povo, como legitimo
destinatrio dos bens, servios e interesses administrados pelo Estado.
Os fins da administrao pblica resumem-se num nico objetivo: o bem comum da
coletividade administrada. Toda atividade do administrador pblico deve ser orientada para
esse objetivo. Se dele o administrador se afasta ou desvia, trai o mandato de que est
investido, porque a comunidade no institui a administrao sendo como meio de atingir o
bem-estar social. Ilcito e imoral ser todo ato administrativo que no for praticado no
interesse da coletividade.
3.2.1 Princpios da administrao pblica
Conforme Meirelles
66
, os princpios bsicos da administrao pblica esto
consubstanciados em regras de observncia permanente e obrigatria: legalidade, moralidade,
impessoalidade e publicidade, eficincia, razoabilidade, proporcionalidade, ampla defesa,
contraditrio, segurana jurdica, motivao e supremacia do interesse pblico. Di Pietro
ainda acrescenta, dentre outros, o princpio da continuidade do servio pblico. Por esses
padres que se pautam todos os atos administrativos. Constituem os fundamentos da ao
administrativa, so os sustentculos da atividade pblica. Sero abordados em mais detalhes
alguns desses princpios.
A legalidade, como principio de administrao, significa que o administrador pblico
est sujeito aos mandamentos da lei e s exigncias do bem comum, e deles no se pode
afastar ou desviar, sob pena de praticar ato invlido e expor-se a responsabilidade disciplinar,
civil e criminal, conforme o caso. A eficcia de toda atividade administrativa est
condicionada ao atendimento da lei. Na Administrao Pblica no h vontade pessoal.
Enquanto na administrao particular lcito fazer tudo que a lei no probe, na
Administrao Pblica s permitido fazer o que a lei autoriza.
67


66
MEIRELLES, op. cit.
67
Ibid.

33
A moralidade administrativa significa atuao segundo padres ticos de probidade,
decoro e boa-f. Constitui um pressuposto de validade de todo ato da Administrao Pblica.
O agente pblico no poder desprezar o elemento tico de sua conduta. Ele no ter que
distinguir somente entre o bem e o mal, o legal e o ilegal, o justo e o injusto, o conveniente e
o inconveniente, o oportuno e o inoportuno, mas tambm entre o honesto e o desonesto. H
uma moral institucional contida na lei e h uma moral administrativa, que imposta de dentro
e vigora no prprio ambiente institucional e condiciona a utilizao de qualquer poder
jurdico, mesmo o discricionrio.
68
O ato administrativo no ter que obedecer somente lei
jurdica, mas tambm lei tica da prpria instituio, porque nem tudo que legal honesto.
A moral comum imposta ao homem para sua conduta externa; a moral administrativa
imposta ao agente pblico para sua conduta interna, segundo as exigncias da instituio a
que serve e a finalidade de sua ao: o bem comum.
69

O princpio da impessoalidade, ou ainda princpio da finalidade, impe ao administrador
pblico que s pratique o ato para o seu fim legal. Significa que Administrao Pblica no
pode atuar com vistas a prejudicar ou beneficiar pessoas determinadas, visto que sempre o
interesse pblico que deve nortear o seu comportamento. O ato administrativo que se afastar
desse objetivo estar sujeito a invalidao por desvio de finalidade, isto , fim diverso daquele
previsto, explcita ou implicitamente, na regra de competncia do agente. Esse princpio
tambm se aplica no sentido de excluir a promoo pessoal de autoridades ou servidores
pblicos sobre suas realizaes administrativas.
70

Publicidade a divulgao oficial do ato para conhecimento pblico e incio de seus
efeitos externos. Por isso as leis, atos e contratos administrativos que produzem
conseqncias jurdicas fora dos rgos que os emitem exigem publicidade para adquirirem
validade universal, isto , perante as partes e terceiros. A publicidade requisito de eficcia e
moralidade. Em princpio, todo ato administrativo deve ser publicado s se admitindo sigilo
nos casos em que a divulgao ponha em risco a segurana da sociedade e do Estado; ou viole
a intimidade, a vida privada, a honra e a imagem das pessoas; e investigaes policiais,
conforme prescrio legal. O princpio da publicidade dos atos e contratos administrativos

68
DI PIETRO, op. cit.
69
MEIRELLES, op. cit.
70
Ibid..

34
visa propiciar seu conhecimento e controle pelos interessados diretos e pela sociedade em
geral.
71

O princpio da razoabilidade e proporcionalidade objetiva adequar os meios e os fins
de um ato da administrao, de modo a evitar restries desnecessrias ou abusivas. A idia
que seja guardada uma proporo adequada entre os meios que emprega e o fim que a lei
deseja alcanar, isto , que no se trate de uma medida desproporcionada, excessiva em
relao ao que se deseja alcanar. Deve haver uma relao de pertinncia entre oportunidade e
convenincia, de um lado, e a finalidade, de outro. A razoabilidade, agindo como um limite
discrio na avaliao dos motivos, exige que sejam eles adequveis, compatveis e
proporcionais, de modo a que o ato atenda a sua finalidade pblica especfica.
72

A proporcionalidade deve ser medida no pelos critrios pessoais do administrador, mas
segundo padres comuns na sociedade em que vive, e no pode ser medida diante dos termos
frios da lei, mas diante do caso concreto. Com efeito, embora a norma legal deixe um espao
livre para deciso administrativa, segundo critrios de oportunidade e convenincia, essa
liberdade s vezes se reduz no caso concreto, onde os fatos podem apontar para o
administrador a melhor soluo.
73

O princpio da motivao exige que a Administrao Pblica indique os fundamentos de
fato e de direito de suas decises. Trata-se de uma formalidade necessria para permitir o
controle de legalidade dos atos administrativos. A motivao, normalmente, no exige formas
especficas, podendo ser ou no concomitante com o ato, alm de ser feita, muitas vezes, por
rgo diverso daquele que proferiu a deciso. Freqentemente, a motivao consta de
pareceres, informaes, laudos, relatrios, feitos por outros rgos, sendo apenas indicados
como fundamento da deciso. Nesse caso, eles constituem a motivao do ato, dele sendo
parte integrante.
74

O princpio de eficincia exige que a atividade administrativa seja exercida com presteza,
perfeio e rendimento funcional.
75
Este princpio apresenta dois aspectos: pode ser
considerado em relao ao modo de atuao do agente pblico, da qual se espera o melhor
desempenho possvel de suas atribuies, para lograr os melhores resultados; e em relao ao

71
Ibid.
72
DI PIETRO, op.cit.
73
Ibid.
74
Ibid.
75
MEIRELLES, op.cit.

35
modo de organizar, estruturar, disciplinar a Administrao Pblica, tambm com o mesmo
objetivo de alcanar os melhores resultados na prestao do servio pblico.
76

Di Pietro ressalta que h uma oposio entre o princpio da eficincia e o princpio da
legalidade, pois o que importa aos cidados que os servios pblicos sejam prestados
adequadamente. Entretanto, a eficcia no deve se confundir com a eficincia das
organizaes privadas nem , tampouco, um valor absoluto diante dos demais. O princpio da
legalidade deve ficar resguardado, porque a eficcia proposta pode sempre ser alcanada
conforme o ordenamento jurdico. Vale dizer que a eficincia princpio que se sorna aos
demais princpios impostos Administrao, no podendo sobrepor-se a nenhum deles,
especialmente ao da legalidade.
77

A continuidade do servio pblico exige que o servio pblico, sendo a forma pela qual
o Estado desempenha funes essenciais ou necessrias coletividade, no pode parar.
possvel citar como exemplo da aplicao desse princpio a necessidade de regulamentao
especfica, imposta pela Constituio, a greve de servidores pblicos e de trabalhadores de
setores essenciais a sociedade. Outro exemplo, para evitar a paralisao de obras e servios,
a vedao ao particular contratado, dentro de certos limites, opor em face da Administrao a
exceo de contrato no cumprido.
78
Um exemplo mais recente, afeto a segurana da
informao, seria a gesto de continuidade de negcios, em que uma organizao mantm
suas atividades principais na ocorrncia de um desastre ou comprometimento de ativos vitais.
A supremacia do interesse pblico ou princpio da finalidade pblica significa que a
Administrao deve atuar atendendo aos fins de interesse geral, sendo vedada a renncia total
ou parcial de poderes ou competncias. A primazia do interesse pblico sobre o privado
inerente atuao estatal e domina-a, na medida em que a existncia do Estado justifica-se
pela busca do interesse geral.
79
Por exemplo, se a lei d Administrao os poderes de
desapropriar, de requisitar, de intervir, de policiar, de punir, porque tem em vista atender ao
interesse geral, que no pode ceder diante do interesse individual. Em conseqncia, se, ao
usar de tais poderes, a autoridade administrativa objetiva prejudicar um inimigo poltico,
beneficiar um amigo, conseguir vantagens pessoais para si ou para terceiros, estar fazendo
prevalecer o interesse individual sobre o interesse pblico e, em conseqncia, estar se

76
DI PIETRO, op.cit.
77
Ibid.
78
FILHO, J. S. C. Manual de Direito Administrativo. Rio de Janeiro: Lmen Juris, 2006.
79
MEIRELLES, op.cit.

36
desviando da finalidade pblica prevista na lei. Da o vcio do desvio de poder ou desvio de
finalidade, que torna o ato ilegal.
80


80
DI PIETRO, op.cit.

37
4 INSTRUMENTOS PARA ANLISE/AVALIAO DE
RISCO ENFOQUE DE ALTO NVEL
Os instrumentos para anlise/avaliao de risco com um enfoque de alto nvel propostos
objetivam identificar os requisitos de segurana da informao para um rgo da
Administrao Pblica e suportar a criao de um sistema de gesto de segurana da
informao. Os instrumentos foram desenvolvidos com o propsito de ser a primeira iterao
do processo de gesto de riscos segundo a ISO/IEC 27005. Por isso utilizam uma estimativa
qualitativa para os riscos, em que o impacto e a probabilidade dos cenrios de incidente so
mensurados a partir de escalas com atributos qualificadores.
As vantagens dessa abordagem em relao ao risco so a facilidade de compreenso pelas
pessoas envolvidas, mais rpida e menos custosa que uma estimativa quantitativa. Porm
uma desvantagem que vale destacar a escolha subjetiva das escalas. Para tentar minimizar o
carter subjetivo do processo indicado que uma equipe multidisciplinar trabalhe com a
gesto de risco, alm disso importante ouvir as pessoas das fraes da organizao
envolvidas no escopo, por meio de reunies, entrevistas, brainstorm, visitas, etc.
Na abordagem proposta, a organizao abordada de um modo global, os aspectos
tecnolgicos so considerados independentes das questes de negcio, isto , concentra-se
sobre o negcio e sobre o ambiente operacional e menos sobre os elementos tecnolgicos. Os
riscos decorrentes dessa anlise so considerados como categorias ou classes gerais. O
tratamento dos riscos caminha no sentido de propor controles organizacionais, considerando
os aspectos gerenciais de controles tcnicos. Logicamente, os riscos considerados graves

38
sero objetos de outras iteraes do processo de anlise/avaliao de riscos em que seus
componentes sero detalhados.
81

Os instrumentos foram desenvolvidos para as seguintes atividades do processo de gesto
de risco de segurana da informao conforme a ISO/IEC 27005:
i. Definio do contexto: definio do escopo e dos critrios de risco;
ii. Anlise/Avaliao de riscos;
! Identificao de riscos: os ativos, processos, ameaas, vulnerabilidades e o impacto
dos cenrios de riscos so identificados;
! Estimativa de riscos: o nvel de impacto, probabilidade e nvel de risco so definidos;
! Avaliao de riscos: os cenrios de incidentes so priorizados conforme os critrios
de risco;
As outras atividades da GRSI, aceitao do risco, comunicao do risco, e monitoramento
e anlise crtica dos riscos, seguiro as orientaes da norma ISO/IEC 27005:2008.
4.1 Definio do contexto
A definio do contexto um dos principais fatores do sucesso da gesto de risco.
Envolve a definio dos critrios bsicos de risco, a definio do escopo e limites da gesto
de riscos.
4.1.1 Definio do escopo
A norma ISO/IEC 27005 sugere tacitamente que os critrios bsicos sejam definidos
antes do escopo, porm o sentido natural do processo parece ser o contrrio. Para especificar
os critrios preciso considerar os processos estratgicos da organizao, os ativos crticos,
dentre outras informaes que necessariamente devero estar no escopo. Alm disso, os
critrios devem ser estabelecidos observando as caractersticas da organizao e tambm as
especificidades do escopo.
O processo de gesto de risco envolve algumas escolhas em termos de abrangncia. O
escopo o conjunto de ativos que ser coberto pelo processo. Um fator crtico para uma

81
As diretrizes para uma metodologia de anlise/avaliao de riscos com um enfoque de alto nvel so descritos
no Anexo E da norma ISO/IEC 27005:2008.

39
organizao que est comeando um processo de gesto de risco o tamanho do escopo.
Escopos pequenos podem no ser eficientes, por no cobrirem todos os ativos crticos da
organizao e escopos muito grandes podem gerar projetos que no acabam nunca.
82

O enfoque de alto nvel como primeira iterao do processo de gesto de risco visa
organizao como um todo. Porm no ser preciso uma anlise exaustiva de todos os
elementos presentes no escopo, j que a abordagem concentra-se em aspectos gerais da
organizao. Todavia, vale destacar que o escopo deve ser definido de modo que o processo
de gesto de risco seja sustentvel.
Um ponto crtico da abordagem proposta o potencial de menos preciso por utilizar
uma estimativa qualitativa para os riscos, ento pode haver o perigo de algum ativo no ser
identificado entre aqueles que requerem uma segunda iterao. Isso pode ser contornado se o
levantamento de informaes sobre a organizao for adequado.
Uma forma de definir o escopo a elaborao de um documento com a estrutura
conforme a indicada abaixo ou que aborde os mesmos itens.
83

1. Identificao da organizao
Negcio pblico: (Definido pelas tcnicas e know-how de seus funcionrios,
viabiliza o cumprimento de sua misso. especfico rea de atividade da
organizao e freqentemente define sua cultura).
Misso: (A organizao atinge seu propsito ao cumprir sua misso. Para bem
identific-la os servios prestados devem ser relacionados aos seus pblicos-alvos)
Valores: (So os princpios fundamentais ou um cdigo de conduta bem
definido, aplicados na rotina de um negcio pblico. Normalmente, incluem os
recursos humanos, as relaes com agentes externos, a qualidade dos produtos
fornecidos ou dos servios prestados. A APF possui seu cdigo de tica em que
muitos desses valores podem ser encontrados, todavia vlido verificar se os
valores apontados so de fato aplicados a rotina do rgo).
Organograma: ( a estrutura da organizao esquematizada. Essa
representao precisa deixar claro quem se reporta a quem, destacando tambm a
linha de comando que legitima a delegao de autoridade. Convm que inclua
tambm outros tipos de relacionamentos, os quais, mesmo que no sejam
baseados em uma autoridade oficial, criam de qualquer forma caminhos para o
fluxo de informao).
Objetivos: (So as metas, o que se pretende alcanar).
Estratgia: ( a expresso formalizada dos princpios que norteiam a
organizao).
Localidade e caractersticas geogrficas: (So as caractersticas da regio ou

82
RAMOS, A. et al. Security Officer 1: guia oficial para a formao de gestores de segurana da
informao. Porto Alegre: Zouk, 2006.
83
Alguns itens foram retirados do Anexo A da norma ISO/IEC 27005:2008.

40
vizinhana onde a organizao est instalada).
2. Legislao aplicvel organizao: (So leis, decretos, portarias e
regulamentos internos que dizem respeito organizao. Englobam tambm
contratos, acordos e, mais genericamente, qualquer obrigao de natureza legal ou
regulatria).
3. Limites do escopo: (So os limites organizacionais e fsicos do escopo, como
por exemplo uma frao ou unidade da organizao, um processo ou servio
especfico ou uma certa localidade geogrfica).
4. Ativos de informao: (Neste ponto so listados os ativos de informao que
faro parte do escopo. Os ativos primrios e os de suporte e infra-estrutura podero
ser relacionados em categorias conforme a profundidade que se que imprimir na
anlise, embora em uma abordagem de alto nvel no convenha descries muito
detalhadas. importante que sejam elencados tambm os processos estratgicos da
organizao relacionados ao escopo, visto que os ativos que os suportam so
considerados mais relevantes).
5. Caractersticas da organizao
Restries que afetam a organizao: (As restries que afetam a
organizao e determinam o direcionamento da segurana da informao devem
ser elencadas. As suas origens podem ser encontradas na prpria organizao, o
que lhe d um certo controle sobre as restries ou talvez sejam externas
organizao, o que as tornariam, provavelmente, inegociveis)
Expectativa das partes interessadas: (So as expectativas dos entes
interessados nas atividades da organizao. No caso da Administrao Pblica
temos os cidados, a opinio pblica, o governo, outros rgos pblicos, entidades
de classe, empresas, etc.).

Dentre esses requisitos de informao vale destacar algumas especificidades da
Administrao Pblica Federal.
4.1.1.1 Especificidades da Administrao Pblica Federal
A Administrao Pblica de modo geral tem sua atuao marcadamente distinta da
iniciativa privada. O ponto de maior destaque o princpio da legalidade que determina que a
eficcia da atividade administrativa esteja condicionada ao atendimento da lei. Enquanto na
iniciativa privada permitido fazer tudo que a lei no probe, na administrao pblica s
permitido fazer o que a lei autoriza.
84
Nesse quesito h uma gama de diplomas legais relativos
segurana da informao, a contratao de servios e de pessoal, bem como a compra de
materiais, que os rgos pblicos devem observar.

84
MEIRELLES, op. cit. p. 88.

41
H ainda algumas restries que so comuns aos rgos pblicos que valem ser
destacadas:
! Restries de natureza poltica: a Administrao Pblica precisa aplicar as decises
governamentais relativas a orientaes estratgicas, operacionais, ou a polticas
pblicas. Nesta questo merece destaque a descontinuidade administrativa. As
mudanas de direo normalmente so marcadas pelo rompimento de atividades e
programas, por modificaes na estrutura rgo, e nas chefias intermedirias. A troca
de governo, ou de gestor, vista como um momento em que naturalmente tudo vai
mudar, atividades e programas so rompidos, independentemente de poltica pblica,
partido ou sua efetividade anterior. O pressuposto dessa prtica que o novo novo e
o anterior passado, para o novo se estabelecer necessrio ignorar o anterior.
Conseqentemente, o novo se concebe virando a pgina para comear com uma
pgina em branco; os demais esperam para ver as novas direes aceitando a
autoridade do novo mandatrio.
85
Portanto, o planejamento de uma ao sistemtica
de gesto de risco ou de gesto de segurana da informao deve procurar se
estabelecer de modo formal e bem fundamentado para que no fique ao sabor das
mudanas ocasionadas pela descontinuidade administrativa.
! Restries oramentrias: a gesto do dinheiro pblico um processo complicado,
regido pelo Sistema de Planejamento e de Oramento Federal, o qual formado por
um conjunto de agentes, mtodos e processos, tecnologias, recursos, normas tcnicas,
articulados entre si, orientados para as atividades de elaborao, acompanhamento e
avaliao de planos, programas e oramento. O modelo oramentrio do governo
composto por trs instrumentos bsicos o plano plurianual, a lei de diretrizes
oramentrias e a lei oramentria anual, os quais correspondem respectivamente aos
nveis estratgico, ttico e operacional.
86
A principal implicao desse sistema que a
dotao oramentria anual dos rgos pblicos feita com antecedncia. Ento a
previso de gastos com a gesto de riscos, implementao de controle, dentre outros,
precisa ser feita com a mesma antecedncia.

85
SPINK, Peter. Continuidade e Descontinuidade Administrativa. So Paulo: FGV, 2001.
86
VOLPE, Ricardo Alberto. Viso abrangente do processo poltico e institucional de planejamento e
oramento. Disponvel em: <http://www.amefpp.org.mx/centrodoc/XXIXSemIPP/RicardoV.pdf>. Acesso em
10 out. 2008.

42
! Restries relativas aos recursos humanos: a Constituio diz que a investidura em
cargo ou emprego pblico depende de aprovao prvia em concurso pblico de
provas ou de provas e ttulos, de acordo com a natureza e a complexidade do cargo ou
emprego. A realizao de um concurso pblico um processo demorado, precisa de
diversas autorizaes e estudos, por isso a contratao de pessoal para atender as
demandas da gesto de risco ou da segurana da informao pode se tornar um
processo intricado. Todavia, possvel a contratao de servidores temporrios,
mediante processo seletivo simplificado, para atender necessidade transitria de
excepcional interesse pblico, no caso em que a demora do procedimento do concurso
pblico pode ser incompatvel com as exigncias imediatas da Administrao. A
contratao de terceirizados possvel para os servios de vigilncia, de conservao e
limpeza, bem como para servios especializados ligados atividade-meio da
organizao, desde que no exista a pessoalidade e a subordinao direta do
trabalhador terceirizado. A subordinao aqui tratada no tcnica, o terceirizado no
pode ter seu trabalho dirigido diretamente pela organizao, isto , recebendo ordens e
submetendo-se ao poder disciplinar da organizao. Com relao pessoalidade
pressupe a realizao da atividade por sujeito que no seja certo nem determinado.
irrelevante a identidade do agente que desempenha a atividade, dado que a finalidade
da contratao limita-se obteno do resultado material pactuado. Vale destacar que
o inadimplemento das obrigaes trabalhistas, por parte do empregador, implica a
responsabilidade subsidiria da Administrao Pblica.
87


4.1.2 Critrios de risco
Os critrios de risco so termos de referncia por meio dos quais a significncia do risco
avaliada. A definio de critrios est relacionada de maneira ntima a atividade
desempenhada pela organizao e ao escopo do processo de gesto de risco. De modo que
invivel determinar critrios que sejam aplicveis indiscriminadamente a todos os rgos da
Administrao Pblica Federal.

87
DI PIETRO, op.cit.

43
Os critrios de risco subsidiam a deciso do gestor pblico quanto s opes de
tratamento do risco, por isso importante que eles sejam bem fundamentados para que o
gestor possa justificar suas decises e atender aos princpios da Administrao Pblica.
A norma ISO/IEC 27005 sugere pelo menos trs tipos: critrios para avaliao de riscos,
critrios de impacto e critrios para aceitao do risco.
Critrios para a avaliao de riscos: eles so utilizados para determinar as
prioridades de tratamento dos riscos, serve para especificar os riscos que so
considerados mais significativos para a organizao. Por exemplo, os incidentes que
envolvam determinado processo ou conjunto de ativos crticos podem ser
considerados mais importantes que outros, ou incidentes que envolvam a perda da
confidencialidade so mais graves do que aqueles que comprometem a
disponibilidade.
A planilha abaixo representa uma forma de avaliar riscos e de prioriz-los. O
momento de utiliz-la ser na etapa de avaliao de riscos, aps os riscos terem sido
identificados e mensurados. O primeiro elemento da planilha o cenrio de incidente,
isto , a descrio da ameaa explorando a vulnerabilidade de um ativo. Em seguida
h o nvel de risco (NR), que a referncia da combinao da probabilidade e do
impacto da ocorrncia do cenrio de incidente. O NR um ndice muito importante
para a avaliao e priorizao dos riscos. As respostas aos quesitos que vem em
seguida na planilha ajudam a definir a ordem de prioridade de tratamento dos riscos
identificados, a qual ser indicada na ltima coluna. Os quesitos devem ser adaptados
conforme as necessidades da organizao.

Cenrio de incidente NR
A
t
i
n
g
e

a
l
g
u
m

p
r
o
c
e
s
s
o

e
s
t
r
a
t

g
i
c
o
?

A
t
i
n
g
e

a
l
g
u
m

a
t
i
v
o

c
r

t
i
c
o
?

V
i
o
l
a

a
l
g
u
m

r
e
q
u
i
s
i
t
o

l
e
g
a
l
?

C
a
u
s
a

d
a
n
o

a

i
m
a
g
e
m

o
u

r
e
p
u
t
a

o

d
a

o
r
g
a
n
i
z
a

o
?

C
a
u
s
a

d
a
n
o

a

i
m
a
g
e
m

a

d
o

g
o
v
e
r
n
o

o
u

d
o

p
a

s
?

V
i
o
l
a

q
u
a
l

a
t
r
i
b
u
t
o

d
a

s
e
g
u
r
a
n

a

d
a

i
n
f
o
r
m
a

o
?

P
r
i
o
r
i
z
a

o

d
o
s

r
i
s
c
o
s
.


Tabela 1 Critrio para a avaliao de risco.

44

! Critrios de impacto: determinam a gravidade das conseqncias de um incidente,
so desenvolvidos em funo do valor de reposio do ativo e da conseqncia para o
negcio pblico relacionada perda do ativo. O primeiro est relacionado criticidade
do ativo, ao seu custo e tempo de recuperao ou de reposio da informao. O
segundo refere-se aos prejuzos organizacionais, como violao de segurana da
informao, violao de requisitos legais, perda de oportunidades, comprometimento
de operaes, perda da eficincia, dano a reputao. A tabela abaixo representa uma
forma como os critrios de impacto podem ser apresentados. Sero elaboradas
definies para os graus de importncia dos ativos como um todo e para a graduao
da conseqncia para a atividade do rgo.

Critrio Alta Mdia Baixa
Valor de reposio
do ativo

Conseqncia para o
negcio pblico
relacionada perda
do ativo

Tabela 2 Critrio de impacto.

Vale ressaltar que os prejuzos intangveis, como danos a reputao, tomam uma
proporo diferente quando se trata da Administrao Pblica. Uma empresa privada
quando sofre um incidente que prejudica sua reputao, por exemplo, pode perder a
confiana de seus clientes, oportunidades, dentre outras coisas, porm o prejuzo quase
sempre restrito apenas a empresa. Para a Administrao Pblica as conseqncias
vo alm do rgo atingido, podem alcanar o governo e at o prprio pas.
! Critrios para aceitao do risco: o estabelecimento desses critrios depende dos
marcos legais, polticas, metas e objetivos da organizao. Outros aspectos tambm
devem ser observados como critrios de negcio, finanas, tecnologia, fatores sociais
e humanitrios. Podem ser estabelecidos limites diferentes para partes especficas do

45
escopo, assim como um risco pode ser aceito mediante um compromisso de
tratamento em um tempo futuro.
importante que seja definida uma escala de nveis de aceitao de risco. Desse
modo, o NR variar de 1 a 25 e dentro desse intervalo defini-se uma classificao
geral da grandeza do risco, como por exemplo, riscos alto, mdio e baixo. Esses
degraus podem ser ajustados de modos diferentes para atender as necessidades da
organizao ou do escopo. A tabela abaixo representa uma forma de sistematizar os
critrios de aceitao de risco. A organizao pode definir, por exemplo, que de
maneira geral os riscos alto e mdio no sero aceitos, todavia, possvel que sejam
postas excees e diferentes nveis de aceitao de risco. Vale destacar que as
excees devem ser justificadas.

Nvel de risco
(1 25)
Descrio Aceitabilidade Excees Observaes
Alto (15 25)

Mdio (4 12)

Baixo (1 4)

Justificativa das excees:
Tabela 3 Critrio para a aceitao de risco.

A definio de critrios de aceitao de riscos suscita uma discusso sobre o apetite de
risco na Administrao Pblica Federal. At onde um gestor pblico pode aceitar
riscos? De um modo geral a finalidade da administrao pblica
88
o bem comum da
coletividade administrada. Toda a atividade do gestor pblico deve ser orientada para
esse objetivo
89
. Assim, um risco que contrarie essa premissa no pode ser aceito, do
mesmo modo que um risco que implique em violao de qualquer dos princpios da
administrao pblica. Logo, riscos que, por exemplo, impliquem em violao da

88
Refere-se atividade administrao pblica e no aos seus rgos, por isso foi escrita em letras minsculas.
89
MEIRELLES, op. cit. p.86.

46
legislao, que comprometa a eficincia ou a continuidade da prestao do servio
pblico no podero ser aceitos.

4.2 Anlise/avaliao de riscos
4.2.1 Anlise de riscos
O processo de anlise de risco em um enfoque de alto nvel parte de uma premissa
generalizante. Os ativos, ameaas, vulnerabilidades e por conseguinte os riscos sero visto por
uma perspectiva mais ampla. A abordagem qualitativa, define o nvel de risco (NR)
multiplicando o valor do nvel de impacto (NI) pelo nvel de probabilidade (NP). O valor de
NI e de NP so definidos por meio de uma matriz de valores pr-definidos que relacionam
duas variveis, como ser visto no tpico estimativa de riscos. Para cada ativo identificado
sero elencados as ameaas as vulnerabilidades e o impacto do respectivo cenrio. A
sistematizao da anlise de riscos poder ser feita em uma tabela como a ilustrada abaixo.

ANLISE DE RISCOS
Identificao de riscos Estimativa de riscos
Ativo Ameaa Vulnerabilidade Impacto NI NP
Nvel
de risco

Tabela 4 Anlise de riscos.

4.2.1.1 Identificao de riscos
O objetivo da identificao de riscos determinar os cenrios de incidente que a
organizao est exposta, determinar os eventos que possam causar uma perda potencial. Para
este fim preciso coletar dados que vo subsidiar a estimativa de risco. Para cada ativo
identificado sero elencadas as ameaas, vulnerabilidades e conseqncias correspondentes,
essas informaes sero organizadas conforme a tabela acima.

47
! Identificao dos ativos: no enfoque de alto nvel os ativos so identificados sem
muitos pormenores, no interesse detalhar ativos que podero ser melhor
especificados em outras interaes do processo de anlise/avaliao de riscos. Os
ativos podem ser identificados por meio de categorias ou conjuntos de ativos que
podem ser avaliados simultaneamente. A norma ISO/IEC 27005 sugere a seguinte
classificao de ativos
90
:
o Ativos primrios: informaes e processos de negcio;
o Ativos de suporte e infra-estrutura: hardware, software, rede, recursos
humanos, instalaes fsicas e estrutura da organizao.
! Identificao das ameaas: um ativo pode ser alvo de uma infinidade de ameaas, as
quais mudam e evoluem constantemente. Por isso as ameaas so identificadas de
modo genrico, por classes, como por exemplo: dano fsico ou comprometimento da
informao. Desse modo, diferentes formas de uma ameaa causar um dano sero
consideradas, inclusive as que ainda esto sendo descobertas. Catlogos de ameaas
podem ser utilizados, porm preciso atentar para a atualidade das informaes. Vale
destacar o trabalho de Murilo Cunha e de Mauro Soares
91
que caracteriza uma ameaa
ainda comum na Administrao Pblica: o desvio tico. Essa ameaa pode causar
vrios tipos incidentes de segurana relacionados perda da confidencialidade,
integridade ou disponibilidade de ativos de informao.
! Identificao das vulnerabilidades: vulnerabilidade a fragilidade de um ativo que
pode ser explorada por uma ameaa acarretando prejuzo. Para a abordagem proposta
as vulnerabilidades podem ser procuradas nas seguintes reas:
o Organizao: est ligado a problemas relacionados a procedimentos, processos,
normas ou a questes inerentes a organizao. Exemplos:
92
inexistncia de
auditorias peridicas, provises relativas segurana insuficientes ou
inexistentes, inexistncia de um plano de continuidade, atribuio inadequada

90
Esta classificao sugerida no anexo B da norma ISO/IEC 27005, os anexos possuem valor apenas
informativo. Outras classificaes so possveis e devem ser ajustadas ao contexto especfico da organizao.
91
CUNHA, M., SOARES, M. Um estudo introdutrio para mensurar o grau de exposio dos rgos
governamentais ao risco do desvio tico. In: COMISSO DE TICA PBLICA, Desvios ticos: risco
institucional. Braslia, 2002.
92
Os exemplos deste tpico e dos que se seguem foram extrados do Anexo D da norma ISO/IEC 27005.

48
das responsabilidades pela segurana da informao, inexistncia de anlises
crticas peridicas por parte da direo;
o Recursos humanos: so falhas na gesto das pessoas no que se refere a
segurana. Exemplos: ausncia de recursos humanos, inexistncia de
mecanismos de monitoramento, treinamento insuficiente em segurana, falta
de conscientizao em segurana, trabalho no supervisionado de pessoal de
limpeza ou de terceirizados;
o Ambiente fsico: refere-se localizao do imvel, caractersticas da
edificao e servios essenciais. Exemplos: uso inadequado ou sem os
cuidados necessrios dos mecanismos de controle do acesso fsico a prdios e
aposentos, localizao em rea suscetvel a inundaes, fornecimento de
energia instvel, inexistncia de mecanismos de proteo fsica no prdio,
portas e janelas.
o Hardware, software e equipamentos de comunicao: so as vulnerabilidades
ligadas aos sistemas de informao e infra-estrutura de tecnologia da
informao. Exemplos: manuteno insuficiente, sensibilidade a variaes de
voltagem, sensibilidade a variaes de temperatura, falta de cuidado durante o
descarte, procedimentos de teste de software insuficientes ou inexistentes,
inexistncia de uma trilha de auditoria, download e uso no controlado de
software, inexistncia de cpias de segurana, inexistncia de evidncias que
comprovem o envio ou o recebimento de mensagens, linhas de comunicao
desprotegidas, arquitetura insegura da rede.
! Identificao das conseqncias: as conseqncias so identificadas a partir dos
cenrios de incidentes, que so a descrio de uma ameaa explorando uma
vulnerabilidade ou um conjunto delas. A norma ISO/IEC 27005 sugere que sejam
identificadas as conseqncias operacionais dos cenrios de incidentes em funo de:
o Investigao e tempo de reparo
o Tempo de trabalho perdido
o Oportunidade perdida
o Sade e segurana

49
o Custo financeiro das competncias especficas necessrias para reparar o
prejuzo
o Imagem e reputao.
Na coluna impacto da Tabela 4 devero ser descritas as conseqncias dos respectivos
cenrios de incidente.
4.2.1.2 Estimativa de riscos
A estimativa de risco compreende trs atividades: avaliao das conseqncias, avaliao
da probabilidade dos incidentes e estimativas dos nveis de risco.
! Avaliao das conseqncias: para avaliar as conseqncias prope-se uma matriz
com valores pr-definidos que relaciona duas variveis para definir o nvel de
impacto: a importncia do ativo e a conseqncia para o negcio. Para cada uma
dessas variveis so estipulados trs nveis (baixo, mdio ou alto) e a sua combinao
define o nvel de impacto do cenrio de incidente. O critrio de impacto conforme
apontado anteriormente trar descries dos nveis de cada uma das variveis.

Valor de reposio do ativo Baixa Mdia Alta
Conseqncia para o
negcio pblico relacionada
perda do ativo
B M A B M A B M A
Nvel de impacto (NI) 1 2 3 2 3 4 3 4 5
Tabela 5 Determinao do nvel de impacto.

! Avaliao da probabilidade dos incidentes: a probabilidade da ocorrncia de um
cenrio de incidente decorre de dois elementos: probabilidade da ocorrncia da
ameaa
93
e facilidade da explorao da vulnerabilidade. Essas variveis devem ser
descritos em trs nveis (baixo, mdio ou alto), conforme a tabela abaixo.


93
Segundo Cunha e Soares (2002), a probabilidade da ameaa de desvio tico proporcional ao poder de
regulamentao das atividades econmicas e civis e ao poder de aquisio de bens e servios do rgo pblico
em questo.

50
Critrio Alto Mdio Baixo
Probabilidade da ameaa

Facilidade de explorao
da vulnerabilidade

Tabela 6 Avaliao da probabilidade dos incidentes.

Em seguida e a combinao dessas variveis define o nvel de probabilidade do cenrio
de incidente conforme a tabela abaixo.

Probabilidade da ameaa Baixa Mdia Alta
Facilidade de explorao da
vulnerabilidade
B M A B M A B M A
Nvel de probabilidade (NP) 1 2 3 2 3 4 3 4 5
Tabela 7 Determinao do nvel de probabilidade.

Segundo a norma ISO/IEC 27005 importante considerar na avaliao da
probabilidade dos incidentes as experincias passadas, a motivao, as competncias e
os recursos disponveis para possveis atacantes, bem como a percepo da
vulnerabilidade e o poder de atrao dos ativos para um possvel atacante.
! Estimativa do nvel de risco: o nvel de risco ser calculado multiplicando o nvel de
impacto pelo nvel de probabilidade (NR = NI x NP). A matriz abaixo representa a
evoluo do nvel de risco.







51
Probabilidade (NP) Muito baixa (1) Baixa (2) Mdia (3) Alta (4) Muito alta (5)
Muito alto (5) 5 10 15 20 25
Alto (4) 4 8 12 16 20
Mdio (3) 3 6 9 12 15
Baixo (2) 2 4 6 8 10
Impacto
(NI)
Muito baixo (1) 1 2 3 4 5
Tabela 8 Matriz do nvel de risco.

4.2.2 Avaliao de riscos
Neste ponto os riscos encontrados so comparados com os critrios de avaliao de riscos
e com os critrios de aceitao de risco, os quais foram estabelecidos na definio do
contexto. O principal produto dessa etapa a tomada de decises sobre aes futuras, por
meio da determinao de prioridades para o tratamento do risco e da indicao dos riscos que
precisaro passar por uma segunda iterao do processo. A Tabela 1, referente aos critrios de
aceitao do risco, elenca alguns quesitos que ajudaro nessa atividade.
Aps a avaliao de riscos est o primeiro ponto de deciso, se a anlise/avaliao de
riscos foi satisfatria. Para uma abordagem de alto nvel esse momento tem uma importncia
singular, visto que alguns riscos encontrados podem merecer um maior aprofundamento em
uma segunda iterao do processo. Isso seria requerido para os casos em que o ativo ou
conjunto de ativos atingidos necessitem de um nvel alto investimento para reposio,
manuteno ou desenvolvimento, ou ainda para os ativos que suportem processos estratgicos
da organizao. De um modo geral, quando o incidente de segurana resultar em um impacto
significativo para a organizao, uma segunda iterao do processo, mais especfica e
detalhada, necessria.
A sada da atividade de avaliao de risco uma lista de riscos ordenados por prioridade
de tratamento.
4.3 Tratamento do risco
O tratamento do risco em uma abordagem de alto nvel preconiza a relao entre tipos ou
classes de ameaas ou de cenrios de incidente e determinados controles. Notadamente os

52
controles organizacionais e os aspectos gerenciais de controles tcnicos. Destaca-se a
necessidade de trabalhos futuros que estabeleam uma classificao de ameaas prprias para
a administrao pblica e sua relao com os referidos controles.

53
5 EXEMPLO DE APLICAO
Com a finalidade de avaliar os instrumentos propostos foi elaborado um exemplo de
aplicao em cima de uma organizao fictcia. Trata-se do Hospital Universitrio do Distrito
Federal (HUDF) ligado a uma universidade pblica federal.
O HUDF considerado um hospital de grande porte e de alta complexidade, tem a
capacidade para realizar cerca de 800 atendimentos ambulatoriais e de emergncia por dia,
alm de uma mdia de 30 cirurgias dirias. Circulam pelas instalaes do hospital cerca de 8
mil pessoas por dia. O HUDF conta com 250 leitos ativos (20 de UTI), 15 enfermarias, 12
salas cirrgicas gerais, seis salas cirrgicas ambulatoriais e servios de laboratrio e de
diagnstico.
1. Definio do contexto
1.1 Definio do escopo
a. Identificao da organizao
Negcio pblico: Assistncia, ensino e pesquisa na rea de sade para o
desenvolvimento da regio.
Misso:
Preservar e manter a vida, promovendo a sade, formando profissionais, produzindo e
socializando conhecimentos, com tica e responsabilidade social.
Valores:
! Respeito ao ser humano e aos seus direitos;
! Oferecer tratamento humanizado e personalizado, valorizando as pessoas;
! Compromisso com a funo social;

54
! tica nas relaes internas e externas;
! Respeito aos princpios do Sistema nico de Sade (SUS): integralidade,
universalidade, eqidade, resolutividade;
! Valorizao, qualificao e competncia profissional.
Organograma:

Figura 5 Organograma do HUDF.

Objetivos:
! Prestar assistncia populao, por meio da aplicao de medidas de proteo e
recuperao da sade;
! Prestar assistncia sade da populao, sem distino de qualquer natureza, agindo
com o mximo zelo e capacidade profissional;
! Prestar assistncia integral ao paciente e famlia, desenvolvendo aes de promoo,
preveno, recuperao e reabilitao, no processo sade-doena;
Conselho de
Administrao
Direo
Geral
Diretoria
Clnica
Diretoria de
Enfermagem

Diretoria
Administrativa

Diretoria de
Ensino e Pesquisa

Coordenao de
Tecnologia da
Informao
Assessoria de
Planejamento

55
! Operar de forma articulada com outras unidades de sade, atendendo s demandas
tcnico-cientficas do SUS;
! Servir de campo de treinamento para o ensino de graduao das profisses de sade no
que se refere assistncia de mdia e alta complexidade;
! Propiciar a realizao de cursos de ps-graduao e de especializao das unidades
docentes, enfatizando os programas de Residncia Mdica e Residncia
Interdisciplinar;
! Treinar pessoal de nvel mdio e auxiliar com vistas ao aprimoramento da qualidade
dos prprios servios e no Sistema de Sade e manuteno de bons padres de rotina
de atendimento;
Estratgia:
! Satisfao dos clientes:
! Nosso esforo deve estar centrado s necessidades do cliente externo e interno
e a qualidade na prestao de servios.
! Informatizao global em rede de todos os processos.
! Fornecedores:
! Passar aos fornecedores, a responsabilidade e o compromisso com toda
comunidade, dos produtos aqui ofertados.
! Honrar os compromissos dentro do prazo estabelecido.
! Assistncia, Ensino e Pesquisa:
! Integrar ensino e assistncia;
! Impulsionar as atividades de pesquisa;
! Incentivar o comprometimento dos servios;
! Incentivar e fomentar reas de excelncia;
! Priorizar a manuteno, reposio e ampliao da estrutura a fim de dar
prosseguimento ao desenvolvimento institucional;



56
Localidade e caractersticas geogrficas:
O HUDF est localizado no Setor Mdico Hospitalar Sul (SMHS) na regio central de
Braslia. Nas proximidades do hospital h prdios comerciais, um shopping, quadras
residncias e vias de grande circulao de veculos.

b. Legislao aplicvel organizao:
! Constituio Federal (artigos 196 a 200)
! Lei n 8.142, de 28 de dezembro de 1990. Dispe sobre a participao da comunidade
na gesto do Sistema nico de Sade (SUS) e sobre as transferncias
intergovernamentais de recursos financeiros na rea da sade e d outras providncias.
! Lei n 8.080, de 19 de setembro de 1990. Lei orgnica da Sade que dispe sobre as
condies para a promoo, proteo e recuperao da sade, a organizao e o
funcionamento dos servios correspondentes e d outras providncias.
! Portaria n 373, de 27 de fevereiro de 2002. Aprova a Norma Operacional da
Assistncia Sade (NOAS-SUS 01/2002) que amplia as responsabilidades dos
municpios na Ateno Bsica; estabelece o processo de regionalizao como
estratgia de hierarquizao dos servios de sade e de busca de maior eqidade; cria
mecanismos para o fortalecimento da capacidade de gesto do SUS e atualiza os
critrios de habilitao de estados e municpios.
! Portaria n 2.203, de 5 de novembro de 1996. Aprova a Norma Operacional Bsica
(NOB 01/96), que redefine o modelo de gesto do Sistema nico de Sade,
constituindo instrumento imprescindvel viabilizao da ateno integral sade da
populao e ao disciplinamento das relaes entre as trs esferas de gesto do Sistema.
! Outras portarias do Ministrio da Sade.
! Regimento interno do hospital e da universidade.

c. Limites do escopo:
A gesto de riscos ser limitada aos ativos de informao especficos da Diretoria
Clnica. Os servios de conexo a internet, e-mail e os sistemas administrativos esto fora do
escopo, embora sejam utilizados tambm pelos servidores da Diretoria Clnica.

57
d. Ativos de informao:
A Diretoria Clnica possui trs processos fundamentais: servios clnicos
94
, servios
cirrgicos e servios complementares de diagnsticos. Os ativos relacionados a seguir do
suporte a essas atividades.
! Sistema de informaes mdicas de pacientes (SIMP): uma aplicao distribuda que
possui um servidor exclusivo e uma rede compartilhada por computadores dispostos
pelo hospital. Os componentes apiam uma variedade de aplicaes mdicas e de
bases de dados. Alm disso, integrado com o Sistema de anlises laboratoriais,
imagem e diagnstico (SALID), descrito a baixo, de maneira que os resultados dos
exames realizados no hospital podem ser consultados pelo SIMP. Os dados de
paciente podem ser inseridos a qualquer momento a partir de qualquer estao de
trabalho. Mdicos, funcionrios administrativos, tcnicos de laboratrio, e enfermeiros
tm autorizao para introduzir dados no SIMP.
! Sistema de anlises laboratoriais, imagem e diagnstico (SALID): um sistema que
permite a gesto dos resultados de exames laboratoriais, a edio de laudos, a captura
de imagens e de vdeos digitais integrados aos exames. Alem disso, por meio do SIMP
possvel visualizar essas informaes.
! Sistema de documentao de equipamentos mdicos (SDOC): esse sistema rene as
informaes dos equipamentos mdicos desde sua entrada no hospital at o momento
em que so descartados, por exemplo, manuais de operao, procedimentos de
calibrao e ajuste, peas trocadas, acidentes que envolveram o equipamento,
relatrios de manuteno. Trata-se de um sistema de gerenciamento eletrnico de
documentos que permite gerar ou implantar, controlar, armazenar, compartilhar e
recuperar as informaes constantes nos documentos.
! Computadores fixos: distribudos nos consultrios, salas de exame, laboratrios e
ambulatrio.
! Equipamentos de processamentos de dados dedicados ao SIMP, ao SALID e ao
SDOC.
! Recursos humanos: usurios e pessoal da manuteno e gestores dos sistemas.

94
Os servios clnicos referem-se ao atendimento mdico normal nas diferentes especialidades e ao atendimento
ambulatorial.

58
e. Caractersticas da organizao
Restries que afetam a organizao:
! Descontinuidade administrativa: mudanas nos cargos de direo e nas polticas
pblicas.
! A gesto oramentria, financeira e de pessoal atrelada a da universidade, no h
autonomia.
! No h autorizao governamental para a realizao de concurso pblico em curto ou
mdio prazo.
! Nmero insuficiente de mdicos e de servidores tcnico-administrativos do quadro
permanente. Alguns servios esto sendo desativados devido a no reposio de
pessoal, bolsistas esto substituindo profissionais do quadro efetivo, servidores
desmotivados.
Corporativismo em determinadas categorias profissionais.
Expectativa das partes interessadas:
Os cidados usurios do HUDF esperam um acesso ordenado e organizado aos servios
do hospital; um tratamento adequado e efetivo para seu problema; um atendimento
humanizado, acolhedor e livre de qualquer discriminao; e um atendimento que respeite a
sua pessoa, seus valores e seus direitos.
Os alunos dos cursos realizados no hospital esperam encontrar um ambiente de estmulo
aprendizagem e pesquisa.
O governo espera que hospital alcance suas metas, realize seus objetivos para o
cumprimento de sua misso.

1.2 Critrios bsicos
a. Critrio para avaliao de risco:
! A tabela 16 ser utilizada para ponderar a prioridade dos riscos.
! Os cenrios de incidente que tenham o nvel de risco (NR) mais elevado devem ser
considerados primeiro.

59
! Os riscos que envolvam a perda da disponibilidade e da integridade das informaes
mdicas dos pacientes so considerados graves.
! Os riscos que impliquem violao da legislao so considerados graves.
! Os riscos que causem dano a imagem e reputao do hospital ou dano a imagem do
governo ou do pas so considerados graves.

b. Critrio de impacto
CRITRIO ALTA MDIA BAIXA
VALOR DE REPOSIO
DO ATIVO
Ativos de grande valor
financeiro ou de difcil
recuperao.
A compra de ativos
desse tipo exige uma
dotao oramentria
especfica que normal-
mente s possvel
para o ano seguinte.
Ativos de valor
financeiro mdio.
Sua reposio normal-
mente pode ser feita
no mesmo ano fiscal,
porm pode haver
necessidade de
licitao.
Ativos de fcil
reposio.
CONSEQNCIA PARA
O NEGCIO PBLICO
RELACIONADA
PERDA DO ATIVO
Paralisao de
processos crticos da
do hospital
Alguns processos
podem ser afetados.
Perda de eficincia em
alguns servios.
Efeitos mnimos para
o negcio.
Tabela 9 Critrio de impacto.











60
c. Critrio para aceitao de risco
NVEL DE
RISCO
(1 25)
DESCRIO ACEITABILIDADE EXCEES OBSERVAES
ALTO
(15 25)
A maioria dos objetivos
no pode ser atingida.
Paralisao dos servios
populao.
Dano grave a imagem
do hospital e do
governo.
Inaceitvel,
requer ao
imediata para
manejar o risco.

MDIO
(4 12)
Alguns objetivos no
podem ser atingidos.
Alguns processos
podem ser afetados.
No pode ser
aceito, requer
ao para
manejar o risco.
O NR igual a 4 formado
por NI 1 e NP 4 e vice
versa so considerados
risco mdio.
O manejo desse tipo de
risco pode ser condicio-
nado a um tratamento
futuro.
BAIXO
(1 4)
Efeitos menores que
so facilmente
remediados
Risco aceitvel,
nenhuma ao
requerida.
O NR igual a 4 formado
por NI 2 e NP 2
considerado risco baixo.
Justificativa das excees:
Tabela 10 Critrio para a aceitao de risco.

2. Anlise/avaliao de riscos

2.1 Tabelas de referncia

Valor de reposio do ativo Baixa Mdia Alta
Conseqncia para o
negcio pblico relacionada
perda do ativo
B M A B M A B M A
Nvel de impacto (NI) 1 2 3 2 3 4 3 4 5
Tabela 11 Determinao do nvel de impacto.



61
Critrio Alto Mdio Baixo
Probabilidade da ameaa
Ameaas comuns
que ocorrem rotinei-
ramente no coti-
diano do hospital.
Ameaas com uma
freqncia varivel,
mas que no ultra-
passa trs ocorrn-
cias por ano.
Ameaas raras, sua
freqncia de uma
ocorrncia a cada
cinco ou dez anos.
Facilidade de explorao
da vulnerabilidade
Vulnerabilidades
facilmente explo-
radas e de amplo
conhecimento.
Em alguns casos, h
ferramentas pr-
prias ou tutoriais
para sua explorao.
Vulnerabilidades
recm descobertas
e/ou que precisam
de certo conhe-
cimento tcnico
para sua explorao.
Vulnerabilidades de
difcil explorao.
Existe a necessidade
de um amplo conhe-
cimento tcnico ou
de uma grande
capa-cidade de
proces-samento
para sua explorao.
Tabela 12 Avaliao da probabilidade dos incidentes.

Probabilidade da ameaa Baixa Mdia Alta
Facilidade de explorao da
vulnerabilidade
B M A B M A B M A
Nvel de probabilidade (NP) 1 2 3 2 3 4 3 4 5
Tabela 13 Determinao do nvel de probabilidade.

Probabilidade (NP) Muito baixa (1) Baixa (2) Mdia (3) Alta (4) Muito alta (5)
Muito alto (5) 5 10 15 20 25
Alto (4) 4 8 12 16 20
Mdio (3) 3 6 9 12 15
Baixo (2) 2 4 6 8 10
Impacto
(NI)
Muito baixo (1) 1 2 3 4 5
Tabela 14 Matriz do nvel de risco.

62
2.1 Anlise de risco
ANLISE DE RISCOS
Identificao de riscos Estimativa de riscos
N Ativo Ameaa Vulnerabilidade Conseqncia NI NP
Nvel de
risco
1 SIMP Comprometimento
de dados
Falhas conhecidas no
software
Perda da confidencialidade e integridade
de dados.
Comprometimento dos servios clnicos.
Violao da legislao que protege o sigilo
das informaes referentes vida privada
das pessoas.
4 4 16
2 SIMP Gerenciamento de
senhas mal feito
Forjamento de direitos Perda da confidencialidade, integridade e
disponibilidade de dados.
Comprometimento dos servios clnicos.
Violao da legislao que protege o sigilo
das informaes referentes vida privada
das pessoas.
4 4 16
3 SIMP Abuso de direitos Inexistncia de uma
trilha de auditoria
Prejudica a implementao de controles.
Prejudica a investigao de eventos de
segurana.
3 3 9
4 SALID Erro durante o uso Interface de usurio
complicada
Perda da integridade de dados.
Perda de eficincia.
4 2 8

63

ANLISE DE RISCOS
Identificao de riscos Estimativa de riscos
N Ativo Ameaa Vulnerabilidade Conseqncia NI NP
Nvel de
risco
5 SALID Defeito de software Software novo ou
imaturo
Perda da confidencialidade, integridade e
disponibilidade de dados.
3 2 6
6 SALID Forjamento de
direitos
Tabelas de senhas
desprotegidas
Perda da confidencialidade, integridade e
disponibilidade de dados.
Comprometimento dos servios clnicos.
Violao da legislao que protege o sigilo
das informaes referentes vida privada
das pessoas.
4 4 16
7 SDOC Erro durante o uso Documentao
inexistente
Perda da integridade de dados.
Perda de eficincia.
4 2 8
8 SDOC Comprometimento
de dados
Inexistncia de cpias de
segurana
Perda da disponibilidade de dados.
Comprometimento dos servios clnicos e
cirrgicos.
5 3 15
9 Computadores
fixos
Destruio de
equipamento
Falta de uma rotina de
substituio peridica
Perda da eficincia.
Comprometimento dos servios clnicos.
2 3 6


64
ANLISE DE RISCOS
Identificao de riscos Estimativa de riscos
N Ativo Ameaa Vulnerabilidade Conseqncia NI NP
Nvel de
risco
10 Computadores
fixos
Furto de mdia ou
documentos
Armazenamento no
protegido
Perda da confidencialidade de dados.
Perda da eficincia.
Violao da legislao que protege o sigilo
das informaes referentes vida privada
das pessoas.
3 4 12
11 Equipamentos de
processamentos
de dados
Poeira, corroso,
temperatura
elevada
Sensibilidade umidade,
poeira, sujeira e
temperatura
Perda da disponibilidade de dados.
Comprometimento dos servios clnicos e
cirrgicos.
4 4 16
12 Recursos
humanos
Erro durante o uso
de software
Treinamento insuficiente
em segurana
Perda da confidencialidade e integridade
de dados.
Perda da eficincia.
3 2 6
13 Recursos
humanos
Comprometimento
de dados
Falta de conscientizao
em segurana
Perda da confidencialidade de dados.
Perda da eficincia.
Violao da legislao que protege o sigilo
das informaes referentes vida privada
das pessoas.
3 4 12
Tabela 15 Anlise de riscos.


65
2.2 Avaliao de risco

N Cenrio de risco NR
A
t
i
n
g
e

a
l
g
u
m

p
r
o
c
e
s
s
o

e
s
t
r
a
t

g
i
c
o
?

A
t
i
n
g
e

a
l
g
u
m

a
t
i
v
o

c
r

t
i
c
o
?

V
i
o
l
a

a
l
g
u
m

r
e
q
u
i
s
i
t
o

l
e
g
a
l
?

C
a
u
s
a

d
a
n
o

a

i
m
a
g
e
m

o
u

r
e
p
u
t
a

o

d
a

o
r
g
a
n
i
z
a

o
?

C
a
u
s
a

d
a
n
o

a

i
m
a
g
e
m

a

d
o

g
o
v
e
r
n
o

o
u

d
o

p
a

s
?

V
i
o
l
a

q
u
a
l

a
t
r
i
b
u
t
o

d
a

s
e
g
u
r
a
n

a

d
a

i
n
f
o
r
m
a

o
?

P
r
i
o
r
i
z
a

o

d
o
s

r
i
s
c
o
s
.

1 Comprometimento de dados do
SIMP devido a falhas conhecidas
no software.
16 Sim Sim Sim Sim No C/I 2
2 Forjamento de direitos do SIMP
devido ao gerenciamento de
senhas mal feito.
16 Sim Sim Sim Sim No C/I/D 1
6 Forjamento de direitos do
SALID devido s tabelas de
senhas desprotegidas.
16 Sim Sim Sim Sim No C/I/D 3
11 Equipamentos de processamen-
tos de dados sujeitos a poeira,
corroso e temperatura elevada.
16 Sim Sim No Sim No D 4
8 Comprometimento de dados do
SDOC devido inexistncia de
cpias de segurana.
15 Sim Sim No Sim No D 5
10 Furto de mdia ou documentos
de computadores fixos devido ao
armazenamento no protegido.
12 No No Sim Sim No C 7
13 Comprometimento de dados
devido falta de conscientizao
em segurana dos usurios.
12 Sim Sim No No No C 6
3 Abuso de direitos no SIMP
devido inexistncia de trilhas
de auditoria.
9 No Sim No No No No 8
4 Erro durante o uso do SALID
devido interface de usurio
complicada.
8 Sim Sim No No No I 10
7 Erro durante o uso do SDOC
devido documentao
inexistente.
8 Sim No Sim Sim No I 9
5 Defeito no SALID por ser um
software novo.
6 No Sim No No No C/I/D 11
9 Destruio dos computadores
fixos devido falta de uma
rotina de substituio peridica.
6 Sim No No Sim No No 13
12 Erro durante o uso de software
devido ao treinamento
insuficiente em segurana.
6 No Sim No No No C/I 12
Tabela 16 Critrio para a avaliao de risco.

66
3. Lista de riscos ordenados por prioridade
1
Forjamento de direitos do SIMP devido ao gerenciamento de
senhas mal feito.
2
Comprometimento de dados do SIMP devido a falhas conhecidas
no software.
3
Forjamento de direitos do SALID devido s tabelas de senhas
desprotegidas.
4
Equipamentos de processamen-tos de dados sujeitos a poeira,
corroso e temperatura elevada.
5
Comprometimento de dados do SDOC devido inexistncia de
cpias de segurana.
6
Comprometimento de dados devido falta de conscientizao
em segurana dos usurios.
7
Furto de mdia ou documentos de computadores fixos devido ao
armazenamento no protegido.
8
Abuso de direitos no SIMP devido inexistncia de trilhas de
auditoria.
9 Erro durante o uso do SDOC devido documentao inexistente.
10
Erro durante o uso do SALID devido interface de usurio
complicada.
11 Defeito no SALID por ser um software novo.
12
Erro durante o uso de software devido ao treinamento
insuficiente em segurana.
13
Destruio dos computadores fixos devido falta de uma rotina
de substituio peridica.
Tabela 17 Riscos ordenados por prioridade.

Aps a identificao dos elementos constitutivos do risco (ativo, ameaa,
vulnerabilidade e conseqncia) e aps a estimativa do impacto e da probabilidade dos
cenrios de incidentes, os riscos foram avaliados segundo os critrios elencados na Tabela 16.
O resultado desse percurso uma lista de riscos ordenados por prioridade de tratamento
conforme a tabela acima. Desse modo, os riscos encontrados por meio de uma
anlise/avaliao de riscos com enfoque de alto nvel apontam para os principais problemas
de segurana da informao do escopo considerado.

67
6 CONCLUSO E TRABALHOS FUTUROS
A Administrao Pblica Federal um conjunto de instituio que se dedicam a
atividades completamente diversas, desde atividades de fomento a iniciativa privada, de
polcia administrativa e de prestao de servios pblicos. Mesmo considerando toda a sua
amplitude e diversidade possvel, conforme demonstrado, que haja um mtodo de
anlise/avaliao de riscos, em um enfoque de alto nvel, que seja capaz de atender a maioria
dessas instituies na primeira iterao do processo de gesto de risco de segurana da
informao.
possvel porque a APF precisa perseguir um nico objetivo: o bem comum da
coletividade administrada. E para alcanar tal fim a APF pauta seus atos em princpios que
so regras de observncia permanente e obrigatria, dentre eles destacam-se a legalidade, a
moralidade, a eficincia, a proporcionalidade, a publicidade, a continuidade do servio
pblico e a supremacia do interesse pblico. Esse delineamento bsico da APF permite
visualizar um mtodo anlise/avaliao de risco genrico o suficiente para detectar os
principais problemas de segurana da informao relacionados a esses princpios.
Vale destacar que a partir de uma segunda iterao do processo de gesto de risco com o
detalhamento dos ativos a especificidade de cada instituio obriga a criao ou adaptao de
um mtodo prprio para analisar e avaliar seus riscos.
As vantagens de uma abordagem com enfoque de alto nvel so a facilidade de
compreenso do mtodo e de seus resultados, a rapidez e o baixo custo em relao a uma
anlise detalhada dos ativos e seus riscos. Alm disso, a organizao oramentria da APF
exige ordinariamente um planejamento antecipado dos gastos. Isto refora a necessidade de
um mtodo simples, gio e eficaz que aponte os principais problemas de segurana da
informao em que ser necessria a alocao de recursos.

68
Todavia, a principal limitao da abordagem proposta a dependncia de escalas
subjetivas que podem diminuir a preciso dos resultados. A utilizao de critrios subjetivos
inerente a primeira iterao do processo de gesto de risco em um enfoque de alto nvel
conforme a ISO/IEC 27005. O seu objetivo no apontar os riscos com uma preciso
refinada, antes, porm, os seus achados so como categorias de riscos que precisaram ser
dissecadas em futuras iteraes.
Desse modo, os objetivos desse trabalho foram alcanados j que os instrumentos
propostos de anlise e avaliao de riscos contribuem na sistematizao de um mtodo que
compreenda a APF numa perspectiva genrica conforme demonstrado no exemplo de
aplicao dos instrumentos.
Dentro da temtica pesquisada existem ainda vrias lacunas que precisam ser preenchidas
com trabalhos monogrficos, foram destacadas algumas como sugestes de trabalhos futuros.
! Um aprofundamento das especificidades e restries prprias da Administrao
Pblica em relao segurana da informao;
! A elaborao de uma ontologia das ameaas prprias ao setor pblico, sua tipificao,
agentes, origem e motivao.
! A elaborao de um mtodo que relacione e sistematize a dependncia entre ativos e a
relao entre eventos de segurana para a composio de cenrios de incidentes. Vale
lembra que o mtodo Octave de anlise e avaliao de riscos traz uma interessante
abordagem desse tpico.


69
REFERNCIAS BIBLIOGRFICAS
Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001:2006. Sistema de gesto
de segurana da informao requisitos. Rio de Janeiro, 2006.
__________. NBR ISO/IEC 27002: Cdigo de Prtica para a gesto da segurana da
informao. Rio de Janeiro, 2005.
__________. NBR ISO/IEC 27005: Gesto de risco de segurana da informao. Rio de
Janeiro, 2008.
BEAL, A. Segurana da informao: princpios e melhores prticas para a proteo dos
ativos de informao nas organizaes. So Paulo: Atlas, 2005.
BERNSTEIN, P. L. Desafio aos deuses: a fascinante histria do risco. Rio de Janeiro:
Campus, 1997.
BRASIL, Ministrio da Sade. Segurana no Ambiente Hospitalar. Braslia, 1995.
BRASILIANO, A. C. R. Anlise de risco corporativo. So Paulo: Sicurezza, 2007.
CENTRO CANADENSE PARA O DESENVOLVIMENTO DA GESTO. Uma base para o
desenvolvimento de estratgias de aprendizagem para a gesto de riscos no servio
pblico / Stephen Hill, Geoff Dinsdale; traduzido por Lus Marcos B. L. de Vasconcelos.
Braslia: ENAP, 2003 (Cadernos ENAP, 23).
CHERUBIN, N. A. Fundamentos da Administrao Hospitalar. So Paulo: Hospital So
Camilo, 1977.
CUNHA, M., SOARES, M. Um estudo introdutrio para mensurar o grau de exposio
dos rgos governamentais ao risco do desvio tico. In: COMISSO DE TICA
PBLICA, Desvios ticos: risco institucional. Braslia, 2002.
DI PIETRO, M. S. Z. Direito Administrativo. So Paulo: Atlas, 2006.
FERNANDES, J. H. C. Introduo Gesto de Riscos de Segurana da Informao. 75 f.
Texto desenvolvido para suporte das atividades de Ensino do Programa de Pesquisas e
Formao de Especialistas. Universidade de Braslia (UnB), Braslia, 2009.
FILHO, J. S. C. Manual de Direito Administrativo. Rio de Janeiro: Lmen Juris, 2006.
FONTINELE, K. Administrao Hospitalar. Goinia: AB Editora, 2002.
FRAGA FILHO, C. A Implantao do Hospital Universitrio da UFRJ. Rio de Janeiro:
FUJB, 2000.

70
Hospital Universitrio da Universidade Federal de Juiz de Fora. Juiz de Fora, desenvolvido
por Joo Carlos Gonzaga, 2007. Portal da instituio. Disponvel em:
<http://www.hu.ufjf.br/>. Acesso em 10 jan. 2009.
Hospital Universitrio Clementino Fraga Filho. Rio de janeiro. Portal da instituio.
Disponvel em: <http://www.hucff.ufrj.br/>. Acesso em 10 jan. 2009.
Hospital Universitrio de Braslia. Braslia. Portal da instituio. Disponvel em:
<http://www.hub.unb.br>. Acesso em 10 jan. 2009.
Hospital Universitrio Ernani Polydoro So Thiago. Florianpolis. Portal da instituio.
Disponvel em: <http://www.hu.ufsc.br>. Acesso em 10 jan. 2009.
LORENS, E. M. Aspectos normativos da segurana da informao: um modelo de cadeia
de regulamentao. 2007. 128 f. Dissertao (mestrado) Departamento de Cincia da
Informao e Documentao, Universidade de Braslia (UnB), Braslia, 2007. Disponvel em:
<http://bdtd.bce.unb.br/tedesimplificado/tde_busca/arquivo.php?codArquivo=2504>. Acesso
em: 07 ago. 2008.
MANDARINI, M. Segurana Corporativa Estratgica: fundamentos. Barueri: Manole,
2005.
MARCIANO, J. L. P. Segurana da Informao: uma abordagem social. 2006. 211 f. Tese
(Doutorado) Departamento de Cincia da Informao e Documentao, Universidade de
Braslia (UnB), Braslia, 2006. Disponvel em:
<http://www.enancib.ppgci.ufba.br/premio/UnB_Marciano.pdf>. Acesso em: 07 ago. 2008.
MARCONI, M. A., LAKATOS, E. M. Metodologia Cientfica. So Paulo: Atlas, 2000.
__________. Tcnicas de Pesquisa. So Paulo: Atlas, 2002.
MEIRELLES, H. L. Direito Administrativo Brasileiro. So Paulo: Malheiros, 2005.
NASCIMENTO, M. S. O. Proteo ao Conhecimento: uma proposta de fundamentao
terica. 2008. 181 f. Dissertao (mestrado) Departamento de Cincia da Informao e
Documentao, Universidade de Braslia (UnB), Braslia, 2008.
PDUA, E. M. M. Metodologia da pesquisa: abordagem terico-prtica. Campinas:
Papirus, 2007.
PARRA, D. F., SANTOS, J. A. Apresentao de trabalhos cientficos: monografia, TCC,
teses e dissertaes. So Paulo: Futura, 2000.
PEREIRA, J. C. R. Anlise de dados qualitativos: estratgias para as cincias da sade,
humanas e sociais. So Paulo: Edusp, 2001.
RAMOS, A. et al. Security Officer 1: guia oficial para a formao de gestores de
segurana da informao. Porto Alegre: Zouk, 2006.
RAMPAZZO, L. Metodologia Cientfica. So Paulo: Loyola, 2002.
SCHAUER, H. ISO/CEI 27005: la norme du consensus. Global Security Mag. N4, p. 52-
55, Set. 2008. Disponvel em:
<http://www.hsc.fr/presse/globalsecuritymag/HS_iso27005.pdf>. Acesso em 15 nov. 2008.
SMOLA, M. Gesto da Segurana da Informao: uma viso executiva. Rio de Janeiro:
Elsevier, 2003.
SPINK, Peter. Continuidade e Descontinuidade Administrativa. So Paulo: FGV, 2001.
TRIBUNAL DE CONTAS DA UNIO. Acrdo 1603/2008. Braslia, 2008.

71
VOLPE, Ricardo Alberto. Viso abrangente do processo poltico e institucional de
planejamento e oramento. Disponvel em:
<http://www.amefpp.org.mx/centrodoc/XXIXSemIPP/RicardoV.pdf>. Acesso em 10 out.
2008.
ZAMITH, J. L. C. Gesto de Riscos e Preveno de Perdas. Rio de Janeiro: FGV, 2007.