Análise de Risco em TI

José Mário Parrot Bastos - Consultor

 

Introdução

Entende-se por risco o "evento ou condição incerta que, se acontecer, tem um efeito positivo ou negativo para a organização" [PMBOK], ou "a chance de algo acontecer e que terá impacto nos objetivos" [ASNZS]. Ainda, “A segurança da informação protege a informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio” [ISO1799].

 

O risco ...

 

Motivação para análise e gestão de riscos

Gestão de Riscos é um dos pilares da Governança, e seu conceito é garantir que qualquer falha nas operações não coloque em risco os objetivos estratégicos da corporação.

 

É importante considerar que os riscos relacionados às operações – operacionais, falhas e vulnerabilidades de segurança ou até mesmo em projetos e desenvolvimento – podem ter impactos no sucesso da corporação, seja em uma campanha ou iniciativa específica, seja em sua imagem.

 

Metodologia de Análise

Para que a análise dos riscos seja objetiva, deve-se, em primeiro lugar, ter a informação sobre os ativos e seus respectivos valores para os negócios da companhia. Na primeira abordagem do Plano de Segurança é feito esse levantamento, para mais tarde ser estruturado em uma base de dados. Em seguida devem-se estabelecer prioridades, geralmente sob as perspectivas lógica e física dos serviços de TI.

 

As fases deste processo são:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


Figura 1 - Processo de Análise e Gestão de Riscos, com início na Identificação.

Identificação dos riscos

A informação usada para estimar o impacto e a probabilidade da ocorrência de um evento, pode ser conseguida através de:

 

O objetivo da fase de identificação dos riscos é, portanto:

Priorização dos ativos

Inicialmente, devem ser considerados todos os ativos pertinentes às atividades relacionadas ao negócio, sem qualquer avaliação prévia, observado seus aspectos físicos e lógicos.

Na análise física levam-se em conta: o controle de acesso físico, localização geográfica, infra-estrutura predial e de comunicação, sistemas de monitoramento. Na análise lógica consideram-se a disponibilidade dos serviços, rotinas de backup, proteção por firewalls, atualização de versões de sistemas operacionais, e outras ações já implantadas.

 

Os ativos podem ser divididos em grupos, por exemplo, classificados por:

 

O bom senso, a experiência do executivo e o conhecimento do negócio são fundamentais na priorização, sendo necessário que a seleção dos profissionais entrevistados para os levantamentos seja cuidadosa, com supervisão direta da alta gerência da corporação.

 

Análise de Risco

Após estabelecidos os ativos e suas prioridades, procura-se associá-los aos processos de negócio, para que a análise possa ser feita à luz de impactos nos negócios, dado que não necessariamente o valor patrimonial de um ativo seria diretamente proporcional ao impacto nos negócios a ele relacionados, seja em valores financeiros, operacionais ou de imagem.

 

Faz-se, então, um conjunto de avaliações tal que se estabeleçam níveis de risco para cada ativo. Dentre as várias formas de classificação, define-se que Risco é função dos componentes conforme a equação geral abaixo:

 

RISCO = f (Valor, Ameaças, Vulnerabilidades, Probabilidade, Impacto)

 

sendo

Valor: o valor financeiro do ativo (Asset Value)

Ameaças: grandeza que traduz a quantidade ou nível de ameaças

Vulnerabilidades: grandeza que traduz a existência e eficiência das defesas

Probabilidade: probabilidade de ocorrência das ameaças, geralmente obtida por um histórico estatístico da empresa ou do mercado

Impacto: Perda ou ganho na ocorrência de uma ameaça

 

Os componentes acima podem ser considerados por ocorrência única, mensal ou anual; outras formas de avaliação consideram também a expectativa de perda, fator de exposição, perdas indiretas (imagem, por exemplo). Há diversos critérios

 

Tipos de análise

A análise pode ser feita por meio de duas abordagens: Análise Qualitativa ou Análise Quantitativa. Ambas podem produzir resultados úteis e são escolhidas conforme as condições e disponibilidades.

 

A análise quantitativa é adequada quando os ativos já são conhecidos, assim como seus valores patrimoniais, custos operacionais e de manutenção. Mas nem sempre este é o cenário encontrado e, se for necessário fazer um levantamento completo, o tempo dispendido pode ser um inibidor da escolha por esta abordagem.

 

Por outro lado, a análise qualitativa (os valores são, por exemplo, classificados como Alto, Médio ou Baixo) é feita geralmente em prazos menores, mas pode conduzir a resultados subjetivos e distorcidos.

 

Não existe uma fórmula precisa para determinar o melhor método, mas a prática tem mostrado que, quando não se tem um histórico nem levantamentos prévios, a análise qualitativa pode ser um ponto de partida, eventualmente refinado e complementado mais tarde por uma análise quantitativa de ativos selecionados dentre os de maior valor para o negócio e/ou os com maiores riscos.

 

Análise Qualitativa

Quando é preciso uma visão em curto espaço de tempo, esta técnica é apropriada, por ser uma avaliação inicial para identificar os riscos, que serão objetos de análise detalhada no futuro, onde existem aspectos não tangíveis do risco (reputação, imagem, cultura) e por falta de dados numéricos suficientes para uma abordagem estatística.

Análise Quantitativa

A abordagem quantitativa é adotada quando há um cenário que permita definir os valores financeiros, mesmo que aproximados, dos ativos priorizados, assim como dos impactos.

 

Portanto, adotamos a estratégia de Análise Quantitativa, considerando que:

 

Conseqüentemente, em nossa análise, classificaremos as ameaças, os impactos e riscos em termos de valores, que podem ser:

 

Exemplo prático

Aplicando a metodologia exposta, foi feito um levantamento na empresa XXX, junto às áreas de negócio, incluindo-se Presidência, Vendas, Marketing, Produtos, Operações, Contabilidade, Jurídico, Compliance e Audtoria.

 

Foi aplicado um questionário, por meio de entrevistas com os gestores das áreas seleionadas, utilizando as escalas expostas na Tabela 1 – Níveis dos Impactos e na Tabela 2 – Níveis das Probabilidades.

 

Nível

Impacto

Definição

5

Crítico

Um evento que, se ocorrer, pode causar a falha total de um processo. Incapacidade de atingir um mínimo aceitável dos requerimentos.

4

Sério

Um evento que, se ocorrer, pode causar grande impacto em um processo. Requerimentos secundários podem não ser atingidos.

3

Moderado

Um evento que, se ocorrer, pode causar  impacto moderado em um processo, mas funções importantes ainda assim são executadas.

2

Menor

Um evento que, se ocorrer, causa apenas um pequeno aumento de custo ou atraso operacional. Os requerimentos podem ser cumpridos.

1

Negligenciável

Um evento que, se ocorrer, não produz efeito na operação.

Tabela 1 – Níveis dos Impactos

 

Nível

Probabilidade

5

Altamente provável

4

Muito provável

3

Provável

2

Pouco provável

1

Improvável

 Tabela 2 – Níveis de Probabilidade

 


Questionário

O questionário, aplicado nas áreas definidas no escopo do Plano de Segurança, teve o seguinte modelo:

 

Nome

 

Função

 

Diretoria

 

Área

 

Principais Ativos de sua área

Prioridade

Descrição

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Selecione os 3 principais ativos de sua área

Ativo

Descrição

1

 

2

 

3

 

Ameaças possíveis aos ativos selecionados

Ativo

Descrição

1

 

2

 

3

 

Impacto no negócio em caso de ocorrência das ameaças

Ativo

Nível (usar Tabela 1)

1

 

2

 

3

 

Probabilidade das ameaças

Ativo

Nível (usar Tabela 2)

1

 

2

 

3

 

 


Compilação da Pesquisa

Após aplicação dos questionários, os dados foram compilados, tendo como resultado as tabelas a seguir.

 

Área

 

Ameaças

Impacto

Probab

Risco

 

1

Furto do notebook

5

2

10

Presidência

2

Espionagem

5

2

10

 

3

Indisponibilidade do ERP

3

1

3

 

4

Perda de cadastros de parceiros

5

1

5

Jurídico

5

Divulgação de Contratos

4

2

8

 

6

Divulgação de Processos

2

2

4

 

7

Fraude na emissão de boletos

4

1

4

Vendas

8

Falha no link com filiais

2

2

4

 

9

Indisponibilidade do SISVENDA

2

3

6

 

10

Indisponibilidade do web site

4

2

8

Marketing

11

Espionagem de campanha

3

2

6

 

12

Vírus

2

2

4

 

13

Espionagem de lançamentos

5

2

10

Produtos

14

Erros de sistemas novos

3

4

12

 

15

Indisponibilidade de sistemas

3

3

9

 

16

Indisponibilidade de sistemas

5

1

5

Operações

17

Queda do link com Call Center

5

2

10

 

18

Falha no link com filiais

4

3

12

 

19

Indisponibilidade de sistemas

5

2

10

Contabilidade

20

Queda no link com bancos

5

2

10

 

21

Lançamentos fraudulentos

3

1

3

 

22

Adulteração nos dados

4

2

8

Auditoria

23

Perda dos dados

5

1

5

 

24

Divulgação de relatórios

3

3

9

Tabela 3 - Resultado da pesquisa

 

Compilada a pesquisa, foi feita a priorização das ameaças, conforme o risco, mostrada na Tabela 4 abaixo.

 

Ameaças

Impacto

Probab

Risco

Erros de sistemas novos

3

4

12

Falha no link com filiais

4

3

12

Furto do notebook

5

2

10

Espionagem (Presidência)

5

2

10

Espionagem de lançamentos

5

2

10

Indisponibilidade de sistemas

5

2

10

Queda no link com bancos

5

2

10

Tabela 4 – Priorização


A tabela pode ser representada pelo diagrama abaixo, em que se pode destacar graficamente os maiores riscos da XXX, os quais vão exigir medidas de controle e proteção mais rígidas.

 

5

 

Furto Espionagem Sistemas Link Bancos

 

 

 

4

 

 

Link Filiais

 

 

Impacto

3

 

 

 

Erros

 

2

 

 

 

 

 

1

 

 

 

 

 

1

2

3

4

5

Probabilidade

 

Integrando Análise e Gerenciamento dos Riscos

Para integrar a análise com o gerenciamento de riscos, o método mais comum, o qual utilizamos, é o CRAMM (CCTA Risk Analysis and Management Method). A visão geral deste método é mostrada na figura abaixo.

CRAMM - Visão geral da abordagem metodológica

Gerenciamento dos Riscos

Com base na pesquisa realizada e na consolidação dos dados obtidos, é apresentado abaixo um quadro com três ativos selecionados, respectivamente com os controles indicados para suas principais vulnerabilidades.

Ativos
Riscos
Controles
Notebooks Furto Cadeados com segredo; cabos de segurança
Espionagem Telas de descanso; Temporizador com senha
Perda Backup diário; HD bloqueado com senha
Sistemas Indisponibilidade Sistemas de contingência; backup site
Erros Controle de qualidade, homologação
Fraude Controle acesso; restrições de acesso
Documentos estratégicos Divulgação Classificação; controle  "need-to-know"
Ataque Anti-spam; anti-virus; firewall; criptografia
Adulteração Repositório controlado; "read-only"; backups

 

Ciclo do Gerenciamento de Riscos

Uma vez implantado um processo de gerenciamento de riscos, este deve ser revisto sistematicamente, de forma a ser atualizado, melhorado e adaptado às mudanças dos ambientes operacionais, surgimento de novas ameaças e novos métodos de proteção.

 

 





Glossário

Para melhor entendimento dos conceitos relacionados ao assunto, inclui-se o glossário a seguir, com base na Referência Normativa da [ABNT].

 

Ativo - qualquer bem que tenha valor para a organização.

Aceitação do risco – decisão de aceitar um risco.

Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco.

Análise/Avaliação de riscos – processo completo de analise e avaliação de risco

Avaliação de riscos – processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco

Confiabilidade – propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados

Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização.

Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada

Evento de segurança da Informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação

Gestão de risco – atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (nota- A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos.

Incidente de Segurança da Informação – um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Integridade – propriedade de salvaguarda da exatidão e completeza de ativos.

Risco residual – risco remanescente após o tratamento de riscos.

Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.

SGSISistema de gestão da segurança da informação – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.

Tratamento do risco – processo de seleção e implementação de medidas para modificar um risco.


Bibliografia

Quando não por extenso, foram usadas as abreviaturas abaixo para designar uma referência bibliográfica.

 

[PMBOK]       Project Management Institute, A Guide to the Project Management Body of Knowledge (PMBOK Guide), Third Edition, Project Management Institute, 2004.

[ASNZS]         AS/NZS 4360:2004, Australian/New Zealand Risk Management Standards

[ABNT]           ABNT - ISO 27001:2006      

[BS17799]       ISO/IEC 17799:2000