proposta de dissertação de mestrado - repositorio.ufpe.br · diretrizes estratÉgicas de gestÃo...
TRANSCRIPT
Pós-Graduação em Ciência da Computação
JOILSON DANTAS SIQUEIRA SILVA
DIRETRIZES ESTRATÉGICAS DE GESTÃO DE RISCOS DE
SEGURANÇA DA INFORMAÇÃO PARA INSTITUIÇOES FEDERAIS DE
ENSINO SUPERIOR
Universidade Federal de Pernambuco
[email protected] www.cin.ufpe.br/~posgraduacao
RECIFE
2017
Joilson Dantas Siqueira Silva
DIRETRIZES ESTRATÉGICAS DE GESTÃO DE RISCOS DE
SEGURANÇA DA INFORMAÇÃO PARA INSTITUIÇÕES FEDERAIS DE
ENSINO SUPERIOR
Dissertação apresentada como requisito para a
obtenção do título de Mestre, pelo Programa de
Pós-Graduação em Ciência da Computação do
Centro de Informática da Universidade Federal de
Pernambuco.
Orientador: Prof. Dr. José Gilson de Almeida Teixeira
Filho
RECIFE
2017
Catalogação na fonte Bibliotecária Monick Raquel Silvestre da S. Portes, CRB4-1217
S586d Silva, Joilson Dantas Siqueira
Diretrizes estratégicas de gestão de riscos de segurança da informação para instituições federais de ensino superior / Joilson Dantas Siqueira Silva. – 2017.
150 f.: il., fig. Orientador: José Gilson de Almeida Teixeira Filho. Dissertação (Mestrado) – Universidade Federal de Pernambuco. CIn,
Ciência da Computação, Recife, 2017. Inclui referências e apêndices.
1. Segurança da informação. 2. Gestão de riscos. I. Teixeira Filho, José Gilson de Almeida (orientador). II. Título. 005.8 CDD (23. ed.) UFPE- MEI 2017-72
Joilson Dantas Siqueira Silva
Diretrizes Estratégicas de Gestão de Riscos de Segurança da Informação para
Instituições Federais de Ensino Superior
Dissertação apresentada ao Programa de Pós-
Graduação em Ciência da Computação da
Universidade Federal de Pernambuco, como
requisito parcial para a obtenção do título de Mestre
Profissional em 15 de fevereiro de 2017.
Aprovado em: 15/02/2017.
BANCA EXAMINADORA
_______________________________________________
Prof. Dr. Leandro Maciel Almeida
Centro de Informática / UFPE
_______________________________________________
Prof. Dr. Décio Fonseca
Centro de Ciências Sociais e Aplicadas / UFPE
_______________________________________________
Prof. Dr. José Gilson Teixeira de Almeida Filho
Centro de Ciências Sociais e Aplicadas / UFPE
(Orientador)
Quando investidores compram ações, cirurgiões realizam operações, engenheiros projetam
pontes, empresários abrem os seus negócios e políticos concorrem a um cargo eletivo, o risco é
seu parceiro inevitável. Contudo suas ações revelam que o risco não precisa ser tão temido:
administrar o risco é sinônimo de desafio e oportunidade”
Peter Bernstein.
AGRADECIMENTOS
Inicialmente gostaria de agradecer a Deus pelo dom da vida e de me proporcionar realizar
tamanho feito o qual nunca imaginei realizar em minha vida.
Agradeço aos meus pais Joildo Siqueira e Socorro Dantas por sempre me incentivarem a
estudar, pelo amor sincero, exemplo de perseverança, por vencermos juntos todas as dificuldades
até aqui enfrentadas. Aos meus irmãos Joilton Dantas e Jossandra Dantas pelas brincadeiras e
discussões, pelos momentos alegres e tristes que nos fazem mais fortes a cada dia. Ao meu cunhado
Renato por fazer parte desta família.
A minha namorada Tatiane Almeida pelo convívio, incentivo nos momentos difíceis e pela
compreensão nas ausências.
A minha prima Pâmela pelo apoio psicológico prestado nos momentos de surto.
Ao meu orientador, PhD. José Gilson de Almeida Teixeira Filho, pela oportunidade e por
ter me guiado na realização desta pesquisa com seus ensinamentos, apoio acadêmico e dedicação.
Aos queridos colegas do Instituto Federal de Educação, Ciência e Tecnologia,
principalmente ao Fabio Mamoré Conde, Jhordano Malacarne Bravin e Orlivaldo Kleber, meu
muito obrigado pelo apoio na realização desta pesquisa.
Ao Instituto Federal de Educação, Ciência e Tecnologia Baiano, principalmente aos
gestores, pelo apoio e incentivo.
Aos colegas e agora amigos Denílson Souza, Evandro Cordeiro, Orlivaldo Kleber e
Gleidson Antonio pelos momentos compartilhados. E aos demais colegas da turma do mestrado
pelo convívio e aprendizado. Foi um prazer!
Finalmente, agradeço a todos os colaboradores do Centro de Informática da UFPE que
contribuíram de forma direta ou indireta com a realização desse curso de mestrado.
RESUMO
Esta dissertação tem como objetivo identificar as principais diretrizes estratégicas de gestão de
riscos de segurança da informação para instituições federais de ensino superior, baseadas nas
normas ISO/IEC 27005:2011, ISO 31000:2009, no framework COBIT 5 for Risk e no material
bibliográfico utilizado nesta dissertação, auxiliando estas instituições na potencialização do nível
de gestão de riscos e consequentemente elevando seu nível de gestão de segurança da informação.
Como metodologia da pesquisa utilizou-se a abordagem qualitativa e quantitativa, empregando
procedimentos metodológicos com o uso da revisão sistemática da literatura. Foi realizada pesquisa
de natureza exploratório-descritiva e utilizou-se como delineamento questionário survey. Com os
dados obtidos através do survey foi possível realizar o diagnóstico das instituições federais de
ensino superior no tocante a Gestão de Riscos e buscar diretrizes que pudessem ser aplicadas para
elevar o nível de gestão de riscos destas instituições. A pesquisa revelou que apenas 2% das
instituições pesquisadas utilizam uma política/diretriz de gestão de riscos de forma integral,
demonstrando que as instituições federais de ensino superior estão em um patamar abaixo dos
demais órgãos da Administração Pública Federal que obtiveram um percentual de 8% no ano de
2014, conforme Acórdão 3.117/14 do Tribunal de Contas da União. Notou-se através da pesquisa
que o apoio da alta administração, definição de papéis e responsabilidades, comprometimento da
direção, conscientização dos stakeholders a respeito da gestão de riscos e mapeamento dos riscos
foram consideradas as diretrizes estratégicas mais importantes para obtenção da gestão de riscos
para estas instituições.
Palavras-chave: Gestão de Riscos da Segurança da Informação. Diretrizes. Segurança da
Informação. COBIT 5. ISO/IEC 27005:2011.
ABSTRACT
This dissertation aims to identify the main strategic guidelines for the management of
information security risks for Federal Institutions of Higher Education, based on the ISO/IEC
27005:2011, ISO 31000:2009, in COBIT 5 for Risk framework and in the bibliographic material
used in this dissertation, helping these institutions to enhance the level of risk management and
consequently raising their level of information security management. The research methodology
used was the qualitative and quantitative approach, using methodological procedures with the use
of the systematic review of the literature. Exploratory-descriptive research was carried out and the
survey questionnaire was used as a delineation. With the obtained data through the survey, it was
possible to make a diagnosis of the Federal Institutions of Higher Education regarding Risk
Management and to seek guidelines that could be applied to raise the level of risk management of
these institutions. The research revealed that only 2% of the institutions surveyed use a
comprehensive risk management policy/guidelines, demonstrating that the Federal Institutions of
Higher Education are at a level below the other Federal Public Administration agencies that
obtained a percentage of 8% in the year 2014, according to Judgment 3.117/14 of the Brazilian
Court of Audit. It was noted through the research that the high management support, definition of
roles and responsibilities, management commitment, stakeholder awareness and risk mapping were
considered the most important strategic guidelines for obtaining risk management for these
institutions.
Keywords: Information Security Risk Management. Guidelines. Information Security. COBIT 5.
ISO/IEC 27005:2011.
LISTA DE FIGURAS
Figura 1: Resultados apurados para as práticas de governança relativas aos riscos de TI 17
Figura 2: Resultados apurados para as práticas de governança relativas aos riscos de TI 18
Figura 3: Etapas da pesquisa .............................................................................................. 23
Figura 4: Processo de Gestão de Riscos segundo a ISO 31000:2009 ................................ 30
Figura 5: Processo de Gestão de Riscos ............................................................................ 31
Figura 6: Processo de Gestão de Riscos ............................................................................ 35
Figura 7: Componentes do COSO ..................................................................................... 37
Figura 8: Processo elaboração revisão sistemática ............................................................ 40
Figura 9: Fórmula para cálculo de Amostra Finita ............................................................ 62
Figura 10: Cálculo de Amostra Finita ............................................................................... 63
Figura 11: Percentual de Respostas ................................................................................... 64
Figura 12: Instituições respondentes por localização geográfica ...................................... 65
Figura 13: Cargo/função do respondente ........................................................................... 66
Figura 14: Existência de setor especifico para segurança da informação.......................... 67
Figura 15: Importância da Pesquisa ................................................................................... 67
Figura 16: Existência Sistema/Política de Gestão de Riscos ............................................. 72
Figura 17: Participação da Alta administração no desenvolvimento do SGRSI ............... 74
Figura 18: Revisão da política ........................................................................................... 75
Figura 19: Execução do Processo Gestão de Riscos ......................................................... 76
Figura 20: Uso da norma 27005:2011 ............................................................................... 76
Figura 21: Questões referentes a seção 07 da ISO 27005 ................................................. 78
Figura 22: Questões referentes a ABNT ISO/IEC 27005-Seção 08 .................................. 80
Figura 23: Questões referentes a ABNT ISO/IEC 27005-Seção 08 .................................. 81
Figura 24: Questões referentes a ABNT ISO/IEC 27005 – Seção 09 ............................... 84
Figura 25: Comunicação e Consulta sobre os riscos ......................................................... 85
Figura 26: Gerenciamento de Riscos por Níveis ............................................................... 86
Figura 27: Fluxograma de atividades ................................................................................ 88
Figura 28: Diretrizes Estratégicas ...................................................................................... 90
Figura 29: Diretrizes Estratégicas ...................................................................................... 91
Figura 30 - Fórmula do Grau de Concordância ................................................................. 92
Figura 31: Diretrizes Estratégicas aplicadas nas Instituições ............................................ 94
Figura 32: Cálculo para obtenção do ranking .................................................................... 95
Figura 33: Exemplo do cálculo para se obter a nota da IFES. ........................................... 95
Figura 34: :Ranking Geral IFES ........................................................................................ 95
Figura 35: Cálculo de Amostra Finita ............................................................................... 96
Figura 36:Diretrizes Estratégicas prioritárias .................................................................... 97
Figura 37:Diretrizes Estratégicas e ISO .......................................................................... 100
Figura 38: Exemplo do cálculo para se obter a nota da IFES. ......................................... 101
LISTA DE QUADROS
Quadro 1: Metodologia Aplicada ...................................................................................... 20
Quadro 2: Conceitos inerentes a Gestão de Riscos ........................................................... 28
Quadro 3: Quadro comparativo entre normas e metologias .............................................. 38
Quadro 4: Resultado da pesquisa nas bases eletrônicas .................................................... 41
Quadro 5: Questões utilizadas na pesquisa ........................................................................ 60
Quadro 6: Quantitativo de Respostas ................................................................................ 64
Quadro 7: Critério de respostas ......................................................................................... 70
Quadro 8: Diretrizes e Referencias .................................................................................... 89
Quadro 9: Grau de Concordância das Diretrizes Estratégicas ........................................... 92
Quadro 10: Hierarquia das Diretrizes Estratégicas ............................................................ 92
Quadro 11: Ranking Instituições Dir. Estratégicas ............................................................ 96
Quadro 12:Critérios x Pesos ............................................................................................ 100
Quadro 13: Resultados das respostas ............................................................................... 101
Quadro 14: Sugestões de Diretrizes Estratégicas dos Entrevistados ............................... 103
LISTA DE ABREVIATURAS E SIGLAS
ABNT – Associação Brasileira de Normas Técnicas
APF – Administração Pública Federal
ARO - Annualized Rate of Occurrence
ATI – Instituto de Tecnologia Avançada
BIA - Business Impact Analysis
CIO – Chief Information Officer
COBIT – Control Object for Information Technology
DSIC - Departamento de Segurança da Informação e Comunicações
GRSI – Gestão de Riscos de Segurança da Informação
GSIPR - Gabinete de Segurança Institucional da Presidência da República
IFES – Instituição Federal de Ensino Superior
ISO – International Organization for Standardization
NIST – National Institute of Standards and Technology
OCTAVE – Operationally Critical Threat, Asset and Vulnerability Evaluation
PDCA – Plan, Do, Check, Act
PMBOK – Project Management Body of Knowledge
PSR - Probabilidade x Severidade x Consequência
ROI – Retorno sobre Investimento
SISP – Sistema de Administração dos Recursos de Informação e Informática
SLTI – Secretaria de Logística e Tecnologia da Informação
TAM - Technology Acceptance Model
TCU – Tribunal de Contas da União
TI – Tecnologia da Informação
SUMÁRIO
1 INTRODUÇÃO .................................................................................................................................... 14
1.1 MOTIVAÇÃO....................................................................................................................................... 15
1.2 OBJETIVOS ......................................................................................................................................... 19
1.3 METODOLOGIA DE PESQUISA ADOTADA ......................................................................................... 19
1.4 ESTRUTURA DO TRABALHO .............................................................................................................. 23
2 REVISÃO BIBLIOGRÁFICA ........................................................................................................... 25
2.1 GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO .................................................................. 25
2.2 NORMAS E MODELOS ........................................................................................................................ 29
2.3 REVISÃO SISTEMÁTICA DA LITERATURA ........................................................................................ 38
2.4 CONCLUSÃO DO CAPÍTULO ............................................................................................................... 55
3 COLETA DOS DADOS ...................................................................................................................... 57
3.1 AS INSTITUIÇÕES FEDERAIS DE ENSINO SUPERIOR (IFES) ............................................................ 57
3.2 COLETA DOS DADOS .......................................................................................................................... 58
3.3 POPULAÇÃO E AMOSTRA .................................................................................................................. 62
3.4 ORGANIZAÇÃO DOS DADOS .............................................................................................................. 63
3.5 PERFIL DOS RESPONDENTES ............................................................................................................. 64
3.6 CONCLUSÃO DO CAPÍTULO ............................................................................................................... 68
4 DIRETRIZES ESTRATÉGICAS PARA GESTÃO DE RISCOS EM SEGURANÇA DA
INFORMAÇÃO ......................................................................................................................................... 69
4.1 SISTEMA DE GESTÃO DE RISCOS ...................................................................................................... 70
4.2 GESTÃO DE RISCOS NAS IFES .......................................................................................................... 77
4.3 PROPOSTA DE DIRETRIZES ESTRATÉGICAS DE GESTÃO DE RISCOS ............................................. 86
4.4 DIRETRIZES ESTRATÉGICAS ........................................................................................................... 104
4.5 CONCLUSÃO DO CAPÍTULO ............................................................................................................. 115
5 CONCLUSÃO E TRABALHOS FUTUROS .................................................................................. 117
5.1 CONCLUSÃO. .................................................................................................................................... 117
5.2 CONTRIBUIÇÕES .............................................................................................................................. 119
5.3 TRABALHOS FUTUROS .................................................................................................................... 119
5.4 LIMITAÇÕES..................................................................................................................................... 120
REFERÊNCIAS ....................................................................................................................................... 121
APÊNDICE A – REVISÃO SISTEMÁTICA ........................................................................................ 126
APÊNDICE B – RANKING IFES GESTÃO DE RISCOS .................................................................. 149
APÊNDICE C – RANKING IFES ISO 27005 ....................................................................................... 150
14
1 INTRODUÇÃO
Atualmente, a estrutura e os elementos organizacionais das empresas têm sido
transformados com o reflexo da era da informática, e a Tecnologia da Informação (TI) vem sendo
associada ao sucesso dos negócios, uma vez que essa área de conhecimento tem sido responsável
não apenas pela incorporação de novos recursos tecnológicos nas organizações, como também pela
utilização estratégica das informações nas suas unidades de negócio (DANTAS, 2011).
Com essa revolução que vem ocorrendo, empresas do setor público e privado no exterior e
no Brasil têm investido altas somas em TI buscando melhorias nos seus processos, na qualidade da
informação e na competitividade (ALBERTIN, 1999).
Desta forma, percebe-se uma crescente demanda por sistemas tecnológicos, cada vez mais
complexos, nas mais diversas áreas, tanto pública quanto privada, tornando necessária uma Gestão
de Segurança da Informação atuante de forma que possa prevenir e proteger a organização de
ataques e perda de dados e informações.
As IFES apresentam peculiaridades quando comparadas a outros órgãos da administração
pública federal (APF), assim como nos órgãos da APF seus dados devem estar disponíveis para o
público que tem autorização para acessá-lo. Este é um dos princípios constitucionais presentes na
constituição federal de 1988, art. 37, caput, que expressa o princípio da publicidade como de
observância obrigatória na administração pública.
Diante deste fato surgem peculiaridades inerentes a certos trabalhos que são desenvolvidos
pelas IFES. Estes trabalhos advém de pesquisas científicas que geram capital intelectual, além de
proporcionar ganhos estratégicos para o Brasil, através da divulgação de patentes, desenvolvimento
de novos produtos e descobertas científicas e industriais, devendo com isto serem resguardados,
tanto contra seu uso indevido, quanto pela sua divulgação.
Com base nestes fatores citados sobre a necessidade da proteção da informação gerada, a
Gestão de Riscos de Segurança da Informação surge como uma aliada na prevenção e na busca
pela segurança e salvaguarda da informação que pode ser considerada como o bem mais precioso
de uma organização.
15
Gestão de Riscos de Segurança da Informação é o processo de busca e identificação dos
riscos de uma organização de forma a analisar e propor estratégias para o tratamento, mitigação ou
aceitação destes riscos. Para a norma ABNT ISO/IEC 27005 o risco de segurança pode ser medido
pela função da combinação entre a probabilidade de um impacto e a consequência do mesmo
(ABNT, 2011).
O principal objetivo da Gestão de Riscos é avaliar as incertezas de forma a tomar a melhor
decisão possível. De certa forma, toda gestão de risco e toda tomada de decisão lida com esta
situação e os seus benefícios dão as melhores decisões, menos surpresa, melhora no planejamento,
na performance e efetividade, além da melhora no relacionamento com as partes interessadas
(SÊMOLA, 2013).
Na pesquisa realizada, buscou-se práticas, metodologias e frameworks que pudessem ser
utilizados como base para o desenvolvimento de diretrizes estratégicas de gestão de riscos para
Instituições Federais de Ensino Superior (IFES), além disso foi realizado survey como forma de
diagnosticar a situação destas instituições no tocante a área de Gestão de Riscos.
1.1 Motivação
O avanço crescente no uso da Tecnologia da Informação pelas empresas e organizações,
tanto pública quanto privada, traz à tona a questão da segurança das informações geradas pelos
mesmos. Tais informações devem estar protegidas de acesso não autorizado e acessível para quem
possui permissão de acesso. Conhecer e tratar os riscos vem deixando de ser apenas uma
necessidade técnica ou operacional e vem se transformando em uma questão de necessidade
estratégica para as instituições (DANTAS, 2011).
Com isso, a Gestão de Riscos surge como uma alternativa na forma de prevenção dos
ativos1, buscando evitar que riscos e ameaças se concretizem e possam gerar prejuízos para a
reputação da organização.
1 Qualquer coisa que tenha valor para a organização.
16
Conforme Brasil (2012) houve no ano de 2007 o primeiro levantamento de governança de
TI nas instituições da Administração Pública Federal (APF). Este levantamento teve a participação
de 255 instituições, que responderam um questionário com 39 perguntas e resultou o Acórdão2
1.603/2008-TCU-Plenário. O resultado dessa pesquisa foi preocupante e identificou-se a
necessidade de realizar novos levantamentos visando o acompanhamento da situação de
governança de tecnologia da informação (TI) nas instituições da Administração Pública Federal.
Esse levantamento realizado pelo TCU, passou a ser realizado de dois em dois anos. O
relatório de 2014 demonstrou dados alarmantes e chamou atenção para um dado preocupante
referente a situação da segurança da informação, em especial a análise e gestão de riscos. De acordo
com relatório em 2010 apenas 17% das instituições públicas realizavam a análise de riscos, e em
2012 apesar do baixo índice apresentado, esse percentual ainda foi reduzido, obtendo-se apenas
10% das instituições realizando análise de riscos. O relatório evidencia o percentual de que 90%
das instituições não realizam uma avaliação de riscos de segurança da informação.
No mesmo relatório de 2014, no tocante a utilização de diretrizes de gestão de riscos de TI,
notou-se uma evolução quanto ao uso ou adoção das mesmas. Em 2012, 7% das organizações
avaliadas adotavam alguma diretriz. No ano de 2014 a metodologia utilizada pelo TCU foi
modificada e começou a ser apurado se as organizações “adotam parcialmente” ou “adotam
integralmente” alguma diretriz de gestão de riscos. Os dados aferidos mostraram que 8% adotam
integralmente uma diretriz para gestão de riscos e 17% adotam parcialmente, conforme pode ser
demonstrado na Figura 1, p. 17:
2 Acórdão é a decisão dada em um processo ou recurso, por um colegiado de juízes, desembargadores ou
Ministros, em 2ª instância ou Tribunais superiores.
17
Figura 1: Resultados apurados para as práticas de governança relativas aos riscos de TI
Fonte: Acórdão 3.117/14 TCU/Plenário (Brasil, 2014)
No relatório realizado em 2014 somente 23% das organizações declararam dispor de
política corporativa de gestão de riscos formalmente instituída (11% parcialmente e 12%
integralmente), ou seja, a maioria dos participantes não dispõe de um instrumento necessário para
direcionar as ações corporativas para avaliação dos riscos associados ao alcance dos resultados
organizacionais. Isto é um indício de que as ações de segurança não são executadas de maneira
sintonizada com as necessidades do negócio dessas organizações. Isso porque, sem análise de
riscos, não há como o gestor priorizar ações e investimentos com base em critérios claros e
relacionados com o negócio da organização.
Na Figura 2, p. 18, são apresentados os dados aferidos a respeito dos riscos de TI em relação
a: diretrizes para gestão; papéis e responsabilidades pela gestão; apetite a risco3 e decisões
estratégicas com base no apetite a risco.
3 A quantidade total de riscos que uma companhia ou outra organização está disposta a aceitar na busca de
sua missão ou visão (COSO, 2004).
18
Figura 2: Resultados apurados para as práticas de governança relativas aos riscos de TI
Fonte: Acórdão 3.117/14 TCU/Plenário (Brasil, 2014)
Brasil (2012) evidencia entre os potenciais efeitos deste quadro: ineficiência na aplicação
dos recursos; desconhecimento dos riscos aos quais os processos críticos da instituição estão
expostos; e ausência de critérios sólidos de planejamento e de priorização das ações de segurança
da informação.
Instituições de ensino lidam com grande volume de informações sensíveis relativas a
educadores, alunos, registros financeiros, dados da própria instituição e gestão escolar, dados das
pesquisas científicas executadas pela instituição. Logo, as medidas relativas para potencializar a
Segurança da Informação e Gestão de Riscos também devem ser seguidas pelas Instituições de
ensino da rede pública federal considerando a sua especificidade em relação a outras entidades
públicas.
Conforme relatado pela pesquisa elaborada pelo TCU através dos últimos levantamentos
de Governança de TI (BRASIL, 2010, 2012, 2014) onde se nota um baixo índice no tocante à
Gestão de Riscos das Instituições Federais, surge a seguinte problema de pesquisa que norteia essa
dissertação: Como priorizar o gerenciamento dos riscos de segurança da informação para
atender os riscos que afetam os negócios de forma eficiente, apropriada e condizente com a
realidade das instituições federais de ensino superior?
a.diretrizesparagestãodosriscosdeTI
b.papéiseresponsabilidadespelagestãoderiscosdeTI
c.apetiteariscod.decisõesestratégicascombasenoapetitea
risco
Iniciouplano 32% 26% 32% 25%
Adotaparcial 17% 19% 10% 17%
Adotaintegral 8% 7% 4% 4%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
RiscosdeTI
19
1.2 Objetivos
1.2.1 Objetivo Geral
Identificar as diretrizes estratégicas de gestão de riscos da Segurança da Informação que
possam ser utilizadas nas Instituições Federais de Ensino Superior.
1.2.2 Objetivos Específicos
Como objetivos específicos, este trabalho pretende:
Elaborar revisão sistemática da literatura
Diagnosticar o processo de Gestão de Riscos de Segurança da Informação das
Instituições Federais de Ensino Superior através de questionários e análise dos
mesmos
Identificar as lacunas e oportunidades procurando encontrar deficiências a serem
trabalhadas com as diretrizes de gestão de riscos;
Identificar as principais diretrizes estratégicas de gestão de riscos para serem
aplicadas nas Instituições Federais de Ensino Superior, alinhadas com normas
nacionais e internacionais
1.3 Metodologia de Pesquisa Adotada
Neste tópico é descrito o método de pesquisa empregado para desenvolvimento deste
trabalho, as etapas da pesquisa, a técnica de coleta de dados empregada para o desenvolvimento da
pesquisa. Na busca pelos resultados satisfatórios, são utilizados os métodos descritos no Quadro 1,
p. 20, para a realização da pesquisa científica.
20
Quadro 1: Metodologia Aplicada
METODOLOGIA ESPECIFICAÇÕES
Método Indutivo
Procedimento estatístico
Natureza Aplicada
Abordagem Qualitativa/Quantitativa
Objetivo Descritiva
Exploratório
Procedimentos utilizados Pesquisa Bibliográfica (Revisão Sistemática)
Levantamento de Campo (Survey)
Técnicas de Coleta de Dados Questionários, Relatórios TCU.
Perspectiva e Área de Concentração Sistemas de Informação
(Segurança da Informação)
1.3.1 Método
O método de pesquisa utilizado é do tipo indutivo que é o processo mental que, partindo de
dados particulares, suficientemente constatados, infere-se uma verdade geral ou universal. O
conhecimento adquirido nesse tipo de pesquisa é fundamentado nas experiências vividas, não
levando em conta princípios já preestabelecidos. Outro método utilizado para inferência dos dados
será o procedimento estatístico (SILVIA e MENEZES, 2005).
1.3.2 Natureza
Do ponto de vista da natureza a pesquisa é do tipo pesquisa aplicada: pois busca gerar
conhecimentos para aplicação prática e dirigidos a solução de problemas específicos envolvendo
verdades e interesses locais (SILVIA e MENEZES, 2005). Desta forma, o desenvolvimento de uma
diretriz estratégica de gestão de riscos de segurança da informação para as IFES proporcionou uma
nova fonte de conhecimento para as instituições implantarem a gestão de riscos nestas instituições,
promovendo uma melhoria na segurança da informação das mesmas.
21
1.3.3 Abordagem
Do ponto de vista da forma de abordagem do problema é do tipo pesquisa quantitativa:
considera que tudo pode ser quantificável, o que significa traduzir em números as opiniões e
informações para classificá-las e analisá-las. É usada quando se quer determinar o perfil de um
grupo de pessoas, baseando-se em características que elas têm em comum. Requer o uso de recursos
e de técnicas estatísticas (percentagem, média, moda, mediana, desvio-padrão, coeficiente de
correlação, análise de regressão, etc.) (SILVIA e MENEZES, 2005).
Neste trabalho procurou-se analisar e discutir os resultados dos questionários aplicados aos
profissionais de TI das IFES. Foram utilizados recursos e técnicas estatísticas para analisar as
práticas de Gestão de Riscos utilizadas nas instituições.
1.3.4 Objetivo
Exploratória: A pesquisa exploratória encontra-se em fase preliminar, tendo como
finalidade proporcionar mais informações sobre o assunto que se pretende investigar,
possibilitando sua definição e seu delineamento. Foram utilizados os procedimentos da revisão
sistemática e o levantamento da literatura em segurança da informação para proporcionar maior
familiaridade com o assunto pesquisado.
Descritiva: Durante a pesquisa os fatos foram registrados, analisados, classificados,
interpretados e comentados sem interferência do pesquisador. Segundo Gerhardt e Silveira (2009),
para se desenvolver uma pesquisa, é indispensável selecionar o método e seus procedimentos a
serem aplicados, podendo ser escolhido diferentes modalidades. Neste trabalho, foram utilizados
três procedimentos: revisão bibliográfica (revisão sistemática da literatura), documental e
levantamento (Survey).
1.3.5 Procedimentos
Do ponto de vista dos procedimentos técnicos utilizados na pesquisa serão; do Tipo
Pesquisa Bibliográfica utilizando a revisão sistemática da literatura (ver detalhes no item 2.3, p.
38) e Levantamento de Campo (Survey) (SILVIA e MENEZES, 2005).
22
A revisão sistemática da literatura disponibiliza um resumo das evidências relacionadas
a uma estratégia de intervenção específica, mediante a aplicação de métodos explícitos e
sistematizados de busca, apreciação crítica e síntese da informação selecionada
Levantamento de Campo (Survey) consistiu em questionários aplicados aos diretores de
TI, ou servidores relacionados a área de segurança da informação das IFES. Tal levantamento
buscou a obtenção dos dados para diagnosticar a situação das IFES sobre a gestão de riscos.
1.3.6 Técnicas de Coletas e Análise dos Dados
Esta etapa é necessária para definir as diretrizes que foram desenvolvidas ou propostas, para
que o projeto esteja alinhado ao que se pretende alcançar, pois uma definição clara do que será
feito é de fundamental importância para evitar retrabalhos, aumento de custos e obedecer a prazos
estabelecidos (FARIAS, 2010 apud KRUCHTEN, 2003).
Como forma de se obter os dados necessários para o desenvolvimento do trabalho, foram
utilizados questionários com gestores e técnicos atuantes na área de Tecnologia da Informação dos
Institutos Federais de Educação e Universidades Federais na busca de esclarecer a real situação das
instituições no tocante à gestão de riscos de segurança da informação. Os dados coletados foram
posteriormente analisados, interpretados e representados graficamente.
Utilizou-se também como forma de obtenção dos dados, relatórios divulgados pelo TCU
para comparação com os outros órgãos da administração pública federal.
Após o levantamento dos dados, realizou-se a análise dos mesmos que foram importância
para a identificação das diretrizes estratégicas de gestão de riscos. O resultado da análise dos dados
permitiu identificar as principais deficiências referentes à gestão de riscos das instituições federais
de ensino superior.
1.3.7 Perspectiva
Para Santos (2002) a perspectiva da pesquisa representa qual o campo de interesse que foi
focado na pesquisa. Este trabalho envolveu a áreas da concentração de Ciência da Computação e
subárea de Segurança da Informação:
23
Ciência da Computação: neste caso, a pesquisa concentra-se nas bases tecnológicas para
melhoria da segurança da informação com foco na gestão de riscos Isto compreende o valor da
informação, do hardware, do software, das redes, dos dados e dos profissionais de SI/TI para o
negócio.
1.3.8 Etapas da Pesquisa
O estudo foi dividido em quatro etapas, conforme pode apresentado na Figura 3, p. 23: (1)
revisão bibliográfica e análise documental, desenvolvida ao longo da pesquisa; (2) levantamento
dos dados referentes à situação da gestão de riscos das instituições pesquisadas, (3) análise dos
dados coletados, análise situacional das IFES e (4) identificação das diretrizes estratégicas de
gestão de riscos de segurança da informação.
Figura 3: Etapas da pesquisa
1.4 Estrutura do Trabalho
Este trabalho está estruturado conforme apresentado a seguir:
O Capítulo 1 – “Introdução”: Faz uma explanação do conteúdo, define os objetivos e
aborda a metodologia a ser aplicada ao trabalho.
24
O Capítulo 2 – “Revisão Bibliográfica”: explica a revisão de literatura através de um
referencial teórico, discutindo os principais conceitos e normas referentes à área de pesquisa que
são necessários para elucidação do assunto em pauta. Apresenta também os trabalhos
correlacionados.
O Capítulo 3 – “Coleta de Dados”: explica a forma e os métodos de coleta de dados
utilizados na pesquisa.
O Capítulo 4 – “Diretrizes estratégicas para gestão de riscos de segurança da
informação”: apresenta as principais diretrizes estratégicas de gestão de riscos de segurança da
informação a serem utilizada pelas Instituições Federais de Ensino Superior.
O Capítulo 5 – “Conclusão e Trabalhos Futuros”: apresenta considerações finais,
trazendo uma análise das limitações e da validade do trabalho como um todo, lições aprendidas, e
recomendações para trabalhos futuros.
25
2 REVISÃO BIBLIOGRÁFICA
Este capítulo descreve todo o acervo que está envolvido no contexto da segurança da
informação em especial na sub área de Gestão de Riscos, realizando uma revisão da literatura para
obtenção do referencial teórico necessário, dando ênfase às principais áreas de estudo de segurança
da informação. O capítulo está estruturado nas seguintes seções:
Gestão de Riscos de Segurança da Informação: Apresenta uma visão geral sobre a
Gestão de Riscos da Segurança da Informação, conceitos iniciais e pilares que norteiam
a segurança da informação.
Normas e Modelos: essa seção apresenta algumas normas, modelos e frameworks de
gestão de riscos difundidos no mundo;
Revisão Sistemática: descreve os passos utilizados para selecionar os principais
trabalhos no “Estado da Arte”, identificados nas principais bases científicas;
Trabalhos relacionados na Revisão Sistemática: essa seção provê uma visão geral
acerca de trabalhos relacionados com a presente pesquisa;
Síntese do Capítulo: apresenta resumidamente a fundamentação delineada durante todo
o capítulo.
2.1 Gestão de Riscos de Segurança da Informação
Segundo Stoneburner (2002), a gestão de riscos é o processo de identificação dos riscos,
avaliação de risco e tomada de medidas (tratamento do risco) para reduzir o risco a um nível
aceitável.
O gerenciamento de riscos compreende as atividades coordenadas para dirigir e controlar a
organização em relação aos riscos. O seu sistema de gerenciamento engloba o conjunto de
elementos do sistema de gerenciamento da organização que incluem o planejamento estratégico,
os tomadores de decisões e outros processos que lidam com riscos (ISO/IEC Guide 73:2002).
O gerenciamento de riscos compreende a cultura, os processos e a estrutura direcionada
para potencializar as oportunidades, enquanto são gerenciados os efeitos adversos. Ele é realizado
26
pela aplicação sistemática da gestão de políticas, procedimentos e práticas voltados para as
atividades de: comunicação; estabelecimento do contexto; identificação; análise; avaliação;
tratamento; monitoramento e revisão dos riscos (AS/NZS 4360:2004).
A gestão de riscos é basicamente a atividade que ajuda a organização a atingir os seus
objetivos através da alocação de recursos para realizar o planejamento, tomar decisões e realizar
atividades produtivas. A gestão de riscos difere de outras áreas de gestão pois lida com incertezas
que uma organização enfrenta.
As incertezas incluem a ocorrência de eventos danosos e o valor para a organização de
consequências de tais eventos. As duas principais atividades de gestão de riscos são a análise e
avaliação de riscos. A avaliação de riscos é o processo de identificar, caracterizar e compreender
os riscos; isto é, estudar, analisar e descrever o conjunto de resultados e probabilidades para um
determinado esforço. Já a análise de risco envolve mais a identificação de riscos de segurança,
determinando a sua magnitude e identificando as áreas correspondentes que precisam de protegidas
(CASACA, 2014).
Outra abordagem referente à importância da análise de riscos corporativos definida pelo
COSO (Committe of Sponsoring Organization of the Treadway Commission) é que:
“... toda organização existe para gerar valor às partes interessadas. Todas
as organizações enfrentam incertezas, e o desafio de seus administradores é
determinar até que ponto aceitar essa incerteza, assim como definir como essa
incerteza pode interferir no esforço para gerar valor às partes interessadas.
Incertezas representam riscos e oportunidades, com potencial para destruir ou
agregar valor. O gerenciamento de riscos corporativos possibilita aos
administradores tratar com eficácia as incertezas, bem como os riscos e as
oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor.”
(COSO, 2004, p.3).
Portanto, pode-se definir a Gestão de riscos como um processo para organizar e planejar os
recursos humanos e materiais de uma organização de forma que se possam reduzir os impactos dos
riscos na organização, para isso utiliza-se de técnicas que visem minimizar os danos acidentais e
tratar os riscos que possam causar qualquer tipo de dano a organização.
A avaliação das incertezas é tida como o objetivo principal da gestão de riscos, de forma
que se possa tomar a melhor decisão possível para o tratamento de um risco, trazendo com isso
27
uma melhora no planejamento, na performance, na efetividade e no relacionamento com as partes
interessadas (SÊMOLA, 2013).
A segurança da Informação pode ser entendida como uma das ferramentas que as
organizações têm para manter os riscos aos negócios em níveis aceitáveis. Tem como finalidade a
preservação de três objetivos básicos que norteiam a implementação dessa prática (SÊMOLA,
2013):
Confidencialidade: garantia de que a informação estará acessível somente a quem
tem autorização para acessá-la;
Integridade: garantia de que toda a informação estará integra, sem alteração entre
transmissor e receptor;
Disponibilidade: garantia que a informação estará disponível quando for requisitado
o acesso.
A norma de Segurança ABNT ISO/IEC 27002:2013 define a segurança da informação
como a proteção da informação quanto a vários tipos de ameaças, de modo a garantir a continuidade
do negócio, minimizar o risco para o negócio, maximizar o retorno sobre o investimento e as
oportunidades de negócio (ABNT, 2013).
Sêmola (2013) define a segurança da informação como uma área do conhecimento dedicada
à proteção de ativos de informação contra acessos não autorizados, alterações indevidas ou sua
indisponibilidade.
Observa-se que a segurança da informação não está relacionada apenas a aspectos técnicos
relacionados à infraestrutura de tecnologia e interconexão de dispositivos, como redes de
computadores, desenvolvimento de software, firewall, proxies e etc. Para a segurança da
informação, é fundamental a identificação dos elementos que compõem o processo de comunicação
para se identificarem as vulnerabilidades da informação.
A partir de tais conceitos fica evidente a importância da segurança da informação para as
organizações, de tal maneira que uma segurança da informação eficaz e efetiva garante o retorno
sobre o investimento realizado no setor de TI e gera oportunidades para o negócio. Dessa forma
auxilia a alta gestão corporativa tornando-se um parceiro estratégico deixando de ser apenas mais
um setor dentro da organização e passa a ser um aliado na obtenção dos objetivos corporativos
28
Alguns conceitos são necessários para a elucidação dos temas referentes a gestão de riscos,
são eles: riscos, incertezas, vulnerabilidades e ameaças. O Quadro 2, p. 28, apresenta estes
conceitos.
Quadro 2: Conceitos inerentes a Gestão de Riscos
Termo Definição
Risco A ISO 31000 define o risco como sendo o efeito da incerteza nos objetivos” e nesta definição
conceitua a incerteza como “estado, mesmo que parcial, da deficiência das informações
relacionadas a um evento, sua compreensão, seu conhecimento, sua consequência ou sua
probabilidade (ABNT, 2009).
A IEC 27002 define risco como a possibilidade de um ativo estar sujeito a vulnerabilidades e
incidentes (ameaças explorando essas vulnerabilidades), comprometendo a continuidade das
atividades de uma organização (ABNT, 2013).
Risco é o impacto negativo da ação de uma vulnerabilidade, considerando tanto a
probabilidade e o impacto da ocorrência, isto é, risco é a função que relaciona a probabilidade
de uma determinada ameaça explorar uma vulnerabilidade em potencial e o impacto resultante
desse evento adverso sobre a organização (STONEBURNER, 2002).
Incerteza A incerteza é um acontecimento ou uma situação que não se esperava que acontecesse,
independentemente de ter sido possível ou não ter sido considerado antecipadamente
(PERMINOVA et al. 2008).
Vulnerabilidade Fragilidade de um ativo ou grupo de ativos que pode ser explorado por uma ou mais ameaças
(ABNT, 2013).
Fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque (BEAL,
2005).
Fragilidades presentes ou associadas a ativos de informação, que, ao serem exploradas,
permitem a ocorrência de incidente na segurança da informação (SEMOLA, 2013).
Ameaças Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou
para a organização (ISO/IEC, 2004).
Agentes ou condições que causam incidentes que comprometem as informações e seus ativos,
por meio de exploração de vulnerabilidades, o que provoca perdas de confiabilidade,
integridade e disponibilidade, e, consequentemente, causando impactos aos negócios de uma
organização (SEMOLA, 2013).
Ameaças são expectativas de acontecimento acidental ou proposital, causado por agente, o
qual pode afetar um ambiente, sistema ou ativo de informação (BEAL, 2005).
29
2.2 Normas e Modelos
Sêmola (2013) apresenta alguns aspectos e definições a respeito de normas:
“As normas apenas apontam os aspectos que merecem atenção, indicando
O QUE fazer para o adequado gerenciamento, sem, no entanto, indicar com
precisão metodológica COMO se devem realizar as atividades. É o mesmo que
sermos instruídos a realizar com periodicidade anual um check-up de nosso estado
de saúde, considerando os sistemas respiratório, circulatório, digestivo, etc., sem
que soubéssemos exatamente como fazê-lo, senão procurar um especialista. Este,
por sua vez, que detém especificidade, irá aplicar toda a sua base de conhecimento
seguindo, com riqueza de detalhes e precisão inerentes à atividade, uma
metodologia própria. Um grande “manual” que permitirá considerar todos os
pontos importantes para análise e apontará as ferramentas mais apropriadas para
cada tipo de exame” (SÊMOLA, 2013, p. 72).
Diversas normas encontram-se disponíveis para direcionar o gerenciamento de riscos de
segurança da informação em organizações, podemos citar a norma ABNT ISO/IEC 27005 como
para desenvolvimento de um modelo de gestão de riscos de segurança da informação, o livro do
framework COBIT intitulado de COBIT 5 for risk, a metodologia OCTAVE e a norma ISO/IEC
31000. Esses padrões são amplamente aceitos como melhores práticas para controles internos de
TI. Alguns deles são até mesmo recomendados como guia de referência para atingir a
conformidade SOX (Lei Sarbanes-Oxley) 4 (SHI, 2012).
2.2.1 ISO 31000:2009
Segundo Everett (2011), a ISO/IEC 31000 é um padrão de gerenciamento de risco
corporativo genérico de alto nível que foi lançado em novembro de 2009 para a utilização em
empresas públicas, privadas ou comunitárias, aplicando-se a maioria das atividades de negócio,
4 A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantir a criação de mecanismos
de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês encarregados de
supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou
assegurar que haja meios de identificá-las quando ocorrem, garantindo a transparência na gestão das empresas
30
incluindo planejamento, operações de gestão e processos de comunicação. Seus princípios e
diretrizes podem ser aplicados a toda a organização e a diversas atividades como processos,
funções, estratégias, atividades e etc.
Os princípios e as diretrizes contidas na norma ISO 31000 podem ser aplicados ao longo da
vida de uma organização e a uma ampla gama de atividades, incluindo estratégias, decisões,
operações, processos, funções, projetos, produtos, serviços e ativos.
A norma ISO 31000 é baseada na norma AS-NZS 4360 (Standards Australia and Standards
New Zealand) e destina-se a fornecer os princípios e orientações gerais sobre como realizar a gestão
de riscos no nível corporativo. Outro benefício importante desta norma é que ela define métodos
comuns, aplica controles de sistema de gestão à análise de riscos para minimizar perdas, além de
definir uma terminologia básica para garantir que o risco seja medido de forma consistente e que
uma mesma linguagem padronizada é utilizada por quem utiliza essa norma.
O processo de Gestão de Riscos segundo a norma ISO/IEC 31000:2009 é composto de 7
passos: 1 – Estabelecimento do Contexto; 2 - Identificação de Riscos; 3 – Análise de Riscos; 4 –
Avaliação de Riscos; 5 – Tratamento de Riscos; 6 – Comunicação e Consulta e 7 – Monitoramento
e Análise Crítica. A Figura 4, p.30 demonstra o modelo cíclico desta norma.
Figura 4: Processo de Gestão de Riscos segundo a ISO 31000:2009
Fonte: ISO/IEC 31000, 2009
31
2.2.2 ABNT/ISO IEC 27005 MGR-SISP
Desenvolvida pela International Organization for Standardization (ISO)5, a norma ISO
27005 foi lançada em junho 2008 e atualizada em 2011, trata sobre a gestão de riscos de segurança
da informação. A norma fornece diretrizes para o processo de gestão de riscos de segurança da
informação e atende aos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI)
de acordo com ABNT ISO/IEC 27001.
Figura 5: Processo de Gestão de Riscos
Fonte: ABNT ISO/IEC 27005, 2011
A ISO 27005 não apresenta um método especifico para a gestão riscos de segurança da
informação cabendo a organização definir sua abordagem ao processo de gestão de riscos, levando
5 Entidade responsável pelo desenvolvimento de normas internacionais de padronização para produtos,
processos, procedimentos e serviços.
32
em conta, o escopo de seu SGSI, sua área de atuação e viés econômico. A mesma apresenta as
seguintes finalidades:
Uma descrição de um processo genérico para a gestão do risco de segurança da
informação;
Um guia para gestão do risco que pode ser usado em empresas, projetos, ciclos de
melhoria contínua;
Um guia para desenvolvimento de métodos e metodologias que atendam às
necessidades de gestão de riscos apontadas na norma ABNT NBR ISO/IEC
27001:2013;
Uma norma de consenso entre diversas outras normas e metodologias de gestão de
riscos de nível mundial.
O processo seguido pela norma ISO 270005 utiliza o mesmo padrão proposto pela ABNT
ISO/IEC 27001, sendo sincronizado com o ciclo de melhoria continua “PDCA” (plan, do, check,
act) utilizado em um SGSI. Tal norma possui uma flexibilidade e seus processos podem ser
utilizados de forma independente, como no uso da avaliação de riscos em projetos de software.
O objetivo o final da ABNT ISO/IEC 27005 é ter uma abordagem consistente, métricas
baseadas em várias áreas de risco, com o risco de segurança da informação integrado com relatórios
e o risco operacional, além de ter uma visão clara do retorno sobre o investimento.
2.2.3 COBIT 5 for risk
O COBIT 5 desenvolvido pela ISACA6 e lançado em 2012 provê um framework abrangente
que apoia a organização no alcance dos seus objetivos e na entrega de valor por meio da governança
e da gestão efetiva da TI (ISACA, 2012), além disso, contém 5 guias profissionais, entre eles o
6 Associação internacional que suporta e patrocina o desenvolvimento e metodologias e certificações para o
desempenho das atividades de auditoria e controle em sistemas de informação.
33
livro COBIT 5 for Information Security que traz princípios numa perspectiva de segurança da
informação e o COBIT 5 for risk que traz práticas e orientações detalhadas para os profissionais de
risco e outras partes interessadas.
De forma simples, pode-se dizer que o COBIT 5 ajuda as organizações a criar um alto valor
a partir da TI, mantendo o equilíbrio a realização de benefícios e a otimização dos níveis de risco
e uso dos recursos. Além disso, o COBIT 5 apresenta um livro dedicado aos riscos, tal livro tem
seu título como COBIT 5 for risk e trata não só dos riscos referentes a TI, mas também dos riscos
referentes ao negócio associados ao uso, posse, operação e envolvimento de TI na empresa
(ISACA, 2013).
O COBIT 5 for Risk apresenta duas perspectivas sobre como usar o COBIT 5 em um
contexto de risco: função de risco e gestão de risco. A perspectiva da função de risco se concentra
no que é necessário para construir e sustentar a função de risco dentro de uma empresa. A
perspectiva de gestão de risco se concentra nos principais processos de governança e gestão de
risco sobre como otimizar o risco e como identificar, analisar, responder e relatar o risco
diariamente (ISACA, 2013).
O uso do COBIT 5 para Risco aumenta os recursos relacionados ao risco da empresa, que
oferecem benefícios como (ISACA, 2013):
Identificação mais precisa do risco
Melhor compreensão do impacto do risco na empresa
Orientação de ponta a ponta sobre como gerir os riscos, incluindo um amplo
conjunto de medidas
Conhecimento de como capitalizar investimentos relacionados a práticas de
gerenciamento de riscos de TI
Compreensão de como o gerenciamento eficaz de riscos de TI otimiza o valor, com
a Eficiência, melhoria da qualidade e redução de resíduos e custos
Oportunidades para integrar o gerenciamento de riscos de TI com riscos
corporativos e estruturas de conformidade
34
Comunicação e compreensão melhoradas entre todas as partes interessadas internas
e externas devido à um framework e uma linguagem globalmente aceitáveis para
avaliar e responder a riscos
Promoção da responsabilidade e aceitação do risco em toda a empresa
Um perfil de risco completo, identificando toda a exposição ao risco da empresa e
permitindo uma melhor utilização dos seus recursos
Maior conscientização do risco em toda a empresa
2.2.4 OCTAVE – Operationally Critical Threat, Asset, and Vulnerability Evaluation
Segundo Ivan (2011) a metodologia OCTAVE é uma das metodologias no âmbito do risco
mais conhecidas e está disponível para ser adaptada em empresas pequenas a qual se chama
OCTAVE-S e grandes empresas na qual passa a ser chamada de OCTAVE Method. Esta
metodologia apresenta como benefícios diversos templates que podem ser utilizados para
documentar cada processo. Tal metodologia foi desenvolvida pelo SEI/CMU (Software
Engineering Institute/Carnegie Mellon University) e sua abordagem é centrada nas pessoas que
incidem sobre os aspectos organizacionais e técnicos para determinar os riscos de segurança e as
necessidades de segurança subsequentes de uma organização.
Essa metodologia é composta por três fases: (1) criação de perfis de ameaças baseados nos
ativos; (2) identificação de vulnerabilidades nas infraestruturas; (3) desenvolvimento de planos e
estratégias de segurança.
A metodologia OCTAVE pode ser auxiliada pela ferramenta OAT (octave automated tool)
que foi desenvolvida pelo Instituto de Tecnologia Avançada (ATI), tal ferramenta foi desenvolvida
como forma a auxiliar os usuários na implantação da metodologia na análise e coletada de dados,
organização da informação coletada e produção de relatórios para análises (IVAN, 2011).
35
2.2.5 NIST SP 800-30
Esta metodologia foi desenvolvida pelo National Institute of Standards and Technology
(NIST) 7 é descrita pelo NIST Special Publication 800-30, tal norma é um princípio geral que pode
ser aplicado a qualquer ativo.
Esta norma contém uma orientação detalhada sobre o que deve ser realizado na análise e
gestão de riscos de TI. Inclui gráficos, formulários de verificação, fórmulas matemáticas e suas
referências são baseadas na legislação e regulamentos norte-americanos, conforme afirma Ivan
(2011). O NIST não apresenta inúmeros templates como a metodologia OCTAVE, porém é de fácil
utilização. Uma vez que tem um foco em componentes de concreto como sistemas, ele pode ser
facilmente utilizado para as organizações que são novas para a avaliação de risco (LIANG, 2013).
Na visão dessa metodologia, a gestão de riscos é composta por três processos: I) Análise e
Avaliação de Riscos (Risk Assessment); II) Mitigação de Riscos, III) Estimativa e Análise,
conforme mostrado na Figura 6, p. 35.
Figura 6: Processo de Gestão de Riscos
Fonte: Stoneburner, 2002
Essa metodologia é composta por 9 passos que cobrem todas as etapas do processo de
análise e avaliação de riscos em sistemas de TI. São eles (STONEBURNER, 2002):
7 Agência governamental não regulatória da administração de tecnologia do Departamento de Comércio dos
EUA. Tem a missão de promover a metrologia, os padrões e a tecnologia de forma que ampliem a segurança econômica
e melhores a qualidade de vida.
36
Caracterização do sistema;
Identificação de ameaças;
Identificação de vulnerabilidades
Análise de controles;
Determinação de probabilidade
Análise de impacto
Determinação do risco
Recomendações de controle; e
Documentação dos resultados
2.2.6 COSO ERM – Integrated Framework
O COSO ERM8 (Enterprise Risk Management—Integrated Framework of The Committee
of Sponsoring Organizations of the Treadway Commission) foi desenvolvido em 2004, e assim
como os demais modelos citados anteriormente é uma metodologia de gestão de riscos
corporativos.
Um dos objetivos fundamentais deste framework é contribuir para que a gestão de
empresas e demais organizações adotem uma forma mais adequada de abordar os riscos inerentes
ao cumprimento de seus objetivos. Surgiu em resposta a uma necessidade que as organizações
tinham de uma estrutura de gerenciamento corporativos, capaz de fornecer os princípios e conceitos
fundamentais, com uma linguagem comum, direcionamento e orientações claras (COSO, 2004).
O COSO é formado por 3 dimensões que formam um cubo. A primeira dimensão
corresponde aos oito componentes da metodologia, pelos quais a administração gerencia a
organização, e estão integrados com o processo de gestão. Estes componentes são: Ambiente
8 O COSO é uma organização sem fins lucrativos, dedicada a melhoria dos relatórios financeiros, sobretudo
pela aplicação da ética e efetividade na aplicação e cumprimento dos controles internos e é patrocinado pelas cinco
das principais associações de classe de profissionais ligados à área financeira nos EUA.
37
Interno, Fixação de Objetivos, Identificação de Eventos, Avaliação de Riscos, Resposta a Riscos,
Atividades de Controle, Informações e Comunicações e Monitoramento.
A segunda dimensão corresponde a categoria dos objetivos é composta pelos objetivos
estratégicos, operacionais, comunicação e conformidade
A terceira dimensão relaciona-se a abrangência de aplicação da metodologia às diferentes
unidades organizacionais da unidade que são: subsidiárias, unidades de negócio, divisões e
entidades.
A Figura 7, p. 37 apresenta o inter-relacionamento entre os componentes do framework.
Figura 7: Componentes do COSO
Fonte: COSO, 2004
2.2.7 Quadro Comparativo entre as Normas e Modelos
O Quadro 3, p. 38, apresenta um comparativo entre os processos das normas e
metodologias: ISO/IEC 27005, COSO-ERM, COBIT 5 for risk, metodologia OCTAVE, norma
ISO/IEC 31000 e NIST 800-30.
Todas estas metodologias apresentadas utilizam do ciclo PDCA ou ciclo de melhoria
contínua, onde o processo deve ser cíclico.
38
Quadro 3: Quadro comparativo entre normas e metologias
2.3 Revisão Sistemática da Literatura
Gestão de Riscos tem sido um tema de bastante relevância e importância para a área de
Gestão de Segurança da Informação tornando-se um item essencial na busca aos três pilares da
segurança da informação: confidencialidade, integridade e disponibilidade. Devido à importância
de tal tema e para que se possa buscar um maior embasamento cientifico para o desenvolvimento
deste trabalho foi realizado o procedimento de revisão sistemática da literatura, conforme consta
no APÊNDICE A – REVISÃO SISTEMÁTICA.
O procedimento revelou diversos artigos relacionados com a área de gestão de riscos de
segurança da informação e através de procedimentos de filtragem e seleção de artigos com base
em critérios pré-definidos, selecionou-se 18 artigos, publicados durante os anos de 2010 a 2015.
Tais artigos foram de importantes para o desenvolvimento do trabalho e consta na seção 2.3.2, p.
41 o resumo de cada trabalho.
2.3.1 Desenvolvimento da Revisão Sistemática
Utilizou-se o modelo de pesquisa por meio da revisão sistemática da literatura, pois permite
que o conhecimento científico seja identificado de forma a possibilitar uma pesquisa planejada,
39
evitando esforços desnecessários de modo duplicado e atentando-se para a repetição de erros
anteriores (DYBA, KAMPENES e SKOBERG, 2005).
O desenvolvimento da metodologia de revisão sistemática inclui a caracterização de cada
estudo selecionado, avalia a qualidade de cada um destes estudos, identifica seus conceitos
importantes, compara análises apresentadas e conclui sobre o que a literatura afirma sobre
determinada área, apontando ainda setores que carecem de novos estudos.
O procedimento de revisão sistemática foi realizado por Joilson Dantas Siqueira Silva e
avaliado posteriormente pelos seguintes integrantes: Evandro Souza de Paula Cordeiro, Kleber
Rios e Dr. José Gilson de Almeida Teixeira Filho. Tal procedimento é feito para evitar falhas e
para que se possa realizar a auditoria de todos os procedimentos válidos durante a pesquisa.
Três fases foram estabelecidas para realização do processo de revisão sistemática
(TEIXEIRA FILHO, 2010), conforme é descrito a seguir:
- planejamento: elaboração do protocolo para condução e validação dos estudos
pesquisados contendo a questão de pesquisa, objetivos, fontes de busca, strings de busca, critérios
de inclusão e exclusão e etapas de execução.
- execução: utilização de formulários específicos que ajudaram a catalogar e conduzir nas
avaliações futuras dos estudos. Estes formulários ajudaram a manter um histórico dos estudos
escolhidos para revisão e validação.
- análise/divulgação dos resultados: dados são analisados de forma descritiva, levando-se
em conta a qualidade dos estudos e relevância nas questões de pesquisa.
O processo de busca e seleção de artigos para a pesquisa foi composto por cinco etapas,
conforme pode ser demonstrado na Figura 8, p. 40 (TEIXEIRA FILHO, 2010):
40
Figura 8: Processo elaboração revisão sistemática
• ETAPA I – Realizou-se a seleção de strings 9de acordo com pesquisa realizada em artigos
e dissertações. Após a definição das strings, realizou-se a busca em bases científicas renomadas de
acordo com strings de busca definidas para a pesquisa. As bases selecionadas foram: ACM Portal,
IEEE Xplore, Science Direct, Google Acadêmico e Scopus. Foram utilizadas as seguintes strings
de buscas nas fontes já mencionadas: Information Security Management OR information security
policy OR management risk security information; information security polity; COBIT OR ITIL OR
“ISO/IEC 27002; best practice.
• ETAPA II – Os estudos encontrados foram inicialmente avaliados segundo o título, em
tal processo não houve a necessidade de fichar no formulário de condução da revisão. Os títulos
relevantes ao contexto da pesquisa foram selecionados para a próxima etapa, os demais foram
eliminados.
• ETAPA III – Dos estudos pré-selecionados na primeira etapa, uma nova pesquisa (busca)
foi realizada, aplicando-se strings de busca de forma mais refinada. Os estudos resultantes deste
9 Sequência de caracteres, geralmente utilizada para representar palavras, frases ou textos
Etapa 01
• Pesquisa nas bases cientificas de acordo com as "strings" pré-definidas
• Selecionado 1420 artigos/dissertações
Etapa 02
• Identificação de estudos relevantes através da Leitura dos Títulos
• Total de estudos identificados -> 101
Etapa 03
• Realizada a leitura dos resumos (abstracts)
• Total de estudos selecionados -> 58
Etapa 04
• Leitura completa da Introdução e conclusão dos artigos selecionados
• Total de estudos selecionados -> 25
Etapa 05
• Leitura completa dos artigos e produzido o resumo de cada artigo considerando os aspectos relevantes para a pesquisa ->18
41
refinamento tiveram seus resumos (abstract) lidos, depois foram selecionados para a próxima etapa
e fichados no formulário de condução da revisão, caso contrário haveria uma exclusão.
• ETAPA IV – Nesta etapa foi realizada a leitura da introdução e conclusão de cada estudo
pré-selecionado. Os artigos com relevância para o contexto da pesquisa foram selecionados para a
próxima etapa e fichados no formulário de condução da revisão, os demais foram excluídos.
• ETAPA V – A última etapa aprimorou ainda mais a seleção, principalmente porque o
estudo foi completamente lido, analisado e criticado, haja vista, a relevância contextual e filtro
proporcionado pelas etapas anteriores. Nesta última etapa o estudo foi considerado apto e fichado
no formulário de aprovação dos trabalhos.
Com a conclusão da etapa da revisão sistemática, 18 estudos mostraram relevância quanto
à gestão de riscos de segurança da informação para serem seguidas como base para elaboração de
uma diretriz estratégica de Gestão de Riscos de Segurança da Informação, conforme pode ser
demonstrado no Quadro 4, p. 20. O resumo desses artigos encontra-se disponível na seção 2.3.2 do
capítulo 02, p. 41.
Quadro 4: Resultado da pesquisa nas bases eletrônicas
Base Selecionados Aceitos Extraídos
ACM 368 32 6
IEEE Xplore 327 39 10
Science Direct 509 27 2
Google Academic 114 3 0
Scopus 94 -- --
Outros 8 -- --
Total 1420 101 18
2.3.2 Trabalhos Relacionados Extraídos da Revisão Sistemática
Nas bases de pesquisa foram encontrados um total de 1420 estudos, dos quais 18 foram
lidos e analisados completamente conforme protocolo estabelecido pela pesquisa disponibilizado
no APÊNDICE A – REVISÃO SISTEMÁTICA. A seguir é feito um resumo com as principais
características de cada artigo. Esses artigos serviram de embasamento teórico para o
desenvolvimento da diretriz.
42
2.3.2.1 Sector-Specific Tool for Information Security Risk Management in the Context of
Telecommunications Regulation (Tool Demo)
Artigo publicado em 2014 no SIN '14: Proceedings of the 7th International Conference on
Security of Information and Network. O artigo trata sobre o uso de uma ferramenta específica para
Gestão de Riscos de Segurança da Informação no contexto da regulação dos provedores de serviços
de telecomunicações europeias. O objetivo do trabalho é apresentar as características e abordagem
para a abordagem TISRIM (Tudor Information Security Risk Management tool) fine-tuning, da
ferramenta de gestão de riscos. Tal ferramenta utilizou diferentes métodos e normas baseadas na
ISO/IEC 27005 seguindo as etapas de: estabelecimento de contexto, identificação dos riscos,
análise de riscos, avaliação de riscos, aceitação do risco, comunicação e consulta dos riscos e o
monitoramento do risco e revisão. Após a definição das etapas estabelecidas é definido o método
de pesquisa (MAYER e AUBERT, 2014).
Para que o objetivo do trabalho fosse alcançado, definiu-se um método de pesquisa em
quatro etapas: Etapa 01 - Modelagem dos serviços de telecomunicações mediante processos de
negócios, Etapa 02 - Modelagem dos serviços de Telecomunicações mediante arquitetura de um
sistema de informação, Etapa 03 - Definição da base de conhecimentos relacionados com o serviço
de riscos e Etapa 04 - A integração dos resultados de uma ferramenta de software e de
experimentação.
Foi desenvolvido o software TISRIM e adaptado ao setor de telecomunicações. A
ferramenta foi desenvolvida e apoiada em colaboração com os Provedores de Serviços de
Telecomunicações e as agências reguladoras o que proporcionou flexibilidade a ferramenta. Tal
abordagem permitiu integrar conhecimentos específicos do setor, incluindo bases de conhecimento
e um primeiro nível de identificação de riscos (serviços típicos e ativos, ameaças principais), que
ajudam a facilitar o processo de gestão de riscos de segurança da informação. A ferramenta ajudou
as agências reguladoras na obtenção e processamento dos dados e na utilização de relatórios e
estatísticas. A grande contribuição do trabalho foi a rapidez no processo de gestão de riscos, dando
celeridade na identificação e no tratamento dos riscos, além de prover o mapeamento dos riscos de
forma padronizada e sistemática
43
2.3.2.2 An Ontology - and Bayesian-based Approach for Determining Threat Probabilities
Artigo publicado em 2011 na revista ASIACCS '11: Proceedings of the 6th ACM
Symposium on Information, Computer and Communications Security. Tal artigo trata de gestão de
riscos de segurança da Informação e cita o quanto ela é fundamental para garantir o sucesso do
negócio a longo prazo, para isso faz-se necessária a conscientização de seus usuários e que os
mesmo possuam conhecimento sobre a GR. O autor afirma que inúmeras abordagens para
implementar uma estratégia de gestão de riscos de segurança da informação adequada têm sido
propostas. A determinação da probabilidade de ameaça subjetiva é uma das principais razões para
uma estratégia de segurança da informação inadequada e põe em perigo a organização na realização
de sua missão. Para resolver o problema, foi desenvolvido uma abordagem ontológica e bayesiana
para determinar as probabilidades de ameaças de segurança que tomam conhecimento de
informações gerais e conhecimentos específicos da organização sobre implementações de controle
existentes, realizando o mapeamento dos riscos e levando em conta os perfis dos atacantes (FENS,
2011).
2.3.2.3 Risk Mitigation Decisions for IT Security
Este artigo define o problema do fluxo de redução do risco e apresenta um modelo formal
usando uma estrutura de workflow. Três métodos de fixação de controles diferentes são
introduzidos para resolver o problema, e uma análise comparativa é apresentada através de um
conjunto de testes robustos realizados com 162 simulações. Um ano de ataques simulados foi
utilizado para validar a qualidade das soluções. De acordo com o autor, o método de fixação de
controle de programação matemática produz melhorias substanciais em termos de redução de riscos
e redução do risco do investimento, quando comparado com heurísticas que normalmente seriam
usadas pelos gestores para resolver o problema. A contribuição desta pesquisa é fornecer aos
gestores métodos para reduzir substancialmente os riscos de segurança da informação, enquanto
obtém significativamente melhores retornos sobre seus investimentos em segurança. Para isso
utiliza-se de uma abordagem de workflow para controlar o posicionamento, que orienta o gerente
a examinar toda a sua infraestrutura de uma forma holística, para isso faz-se necessário o
comprometimento dos gestores em suas atividades e conhecimento a respeito da GR (YEO, 2014).
44
2.3.2.4 Using Stakeholders Knowledge for Data Quality of Information System, Information
System Security Documentation Quality, Information Systems Security Risk
Management
Artigo publicado em 2015 na SIGMIS-CPR '15: Proceedings of the 2015 ACM SIGMIS
Conference on Computers and People Research. Os autores desenvolveram uma estrutura de
processos de avaliação da qualidade dos dados para que possam identificar qualidade da
documentação de segurança em um sistema de informação. Para isso, realizaram entrevistas com
os stakeholders sobre os sistemas de informação em curso e a partir de suas descrições criaram um
processo de gestão de riscos de segurança. Foi criado um modelo de configuração de Medição para
validar as hipóteses do estudo. O modelo é composto por cinco etapas: Etapa 1 - Levantamento de
documentação de segurança sistema de informação; Etapa 2 - Criação de modelos de referência;
Etapa 3 – Entrevistar os stakeholders e criar modelos; Etapa 4 - Criação de modelos para
comparação; Etapa 5 - Identificação de contradições. Os resultados do estudo sugerem que há um
benefício em desenvolver a documentação de segurança dos sistemas de informação e que o mesmo
esteja disponível para todos os interessados. Em particular, parece ser desejável incluir uma análise
profunda da existência de documentação de segurança sistema de informação no processo de
segurança e gestão de riscos de forma a maximizar os resultados O conhecimento dos stakeholders
e a conscientização a respeito dos processos da organização e da GR foi fundamental para o
andamento deste trabalho (SILLABER e BREU, 2015).
2.3.2.5 Risk Analysis supported by information Security Metrics
O artigo explana a necessidade do uso de métricas como instrumento para análise de riscos,
destacando as normas de segurança da informação, como a família ISO 27000, que servem de
referência para análise e avaliação de riscos, porém não há métodos formais e de avaliação em
análise discreta. Neste trabalho foi proposto um modelo formal para a avaliação quantitativa dos
riscos com o uso de medidas e métricas, o que minimiza os fatores subjetivos da segurança na
avaliação. Este modelo foi concebido para tornar o processo de análise de risco mais automatizado
e de forma mais eficiente, assim poderia ser facilmente repetido e os resultados podem ser coerentes
e comparáveis.
45
O autor destaca a importância de se assegurar a segurança dos ativos e que tal assunto
encontra-se em discussão a cada ano. Apresenta o conceito de segurança da informação como um
processo que fornece confidencialidade, integridade, disponibilidade, autenticidade e não-repúdio
as entidades de acordo com alguma política. Ele protege os sistemas de informação de acesso não
autorizado, utilização, divulgação, interrupção, modificação, leitura, inspeção, gravação ou
destruição. Conceitua também métrica como um atributo subjetivo abstrato derivado da medição.
E afirma que boas métricas devem ser mensuradas de forma consistente sem critérios subjetivos,
“barato” para recolher, de preferência de uma forma automática, expressa como um número
cardinal ou percentagem, expressa com pelo menos uma unidade de medida e finalmente
contextualmente específicas e relevantes para os tomadores de decisão.
Conforme o autor inúmeras estruturas de segurança podem ser utilizadas para quantificar a
eficácia de controles de segurança, entre os quatro mais populares estão COBIT, ISO/IEC 17799
(ISO/ IEC 27002), ITIL e US NIST SP 800 Séries. No artigo o autor apresenta proposta com
mapeamento de objetivos de controle com métricas, utilizando como base a gestão de ativos pela
ISO/IEC 27002, atribuindo-lhes pesos adequados a cada métrica. Para o autor a eficiência é o fator
fundamental no desenvolvimento do modelo de GR (BREIER e HUDEC, 2015).
2.3.2.6 A Comparison of Information Security Risk Analysis in the Context of e-Government
to Criminological Threat Assessment Techniques
O artigo trata sobre análise de segurança da informação no contexto do E-governo,
especificamente na área de gestão de riscos e análise de riscos de segurança da informação. Faz a
comparação das metodologias de gestão de riscos e técnicas de ameaças criminológicas.
O autor destaca o desenvolvimento das Tecnologias de Informação e Comunicação (TIC)
e o número de acessos à internet, citando como um dos fatores pelos quais os administradores
públicos ao redor do mundo estão iniciando uma nova forma de atingir a população. Esses meios
geram desafios para a gestão como o alcance da privacidade, as vulnerabilidades e os riscos
associados ao fornecimento do acesso ao público. Apresenta a importância da segurança da
informação e destaca a Gestão da segurança e seus conceitos, afirma que a GR de TI deve estar
alinhada com a estratégia global da instituição e a GR corporativa. Explana que alguns autores
afirmam que a segurança absoluta é uma meta que não é simplesmente atingível. No entanto, o
46
gerenciamento destes riscos e ameaças a um sistema pode ser atenuado através da organização
adequada e um processo desenvolvido de gestão de riscos. Afirma que há uma série de pontos de
vista sobre como obter uma estratégia de gestão de risco confiável e que as etapas desenvolvidas
variam de autor para autor, mas geralmente seguem o conceito de identificação de riscos, avaliação
do risco, e depois controle do risco. O autor apresenta também técnicas em avaliação de ameaças
baseadas na criminologia. O conceito de avaliação de ameaças em termos criminológicos refere-se
a um "conjunto de atividades de investigação e operações destinadas a identificar, avaliar e
gerenciar pessoas que podem constituir uma ameaça de violência com as metas identificáveis ". O
autor desenvolveu um framework estruturado para uso pelos governos federal, estaduais e
autoridades locais.
Como conclusão o autor ao olhar para o processo de avaliação das ameaças e comparando-
a com o processo de gestão de riscos de segurança da informação conclui que o processo de
avaliação de ameaças é mais análoga à fase de análise de risco na gestão de risco do que para o
processo de gestão do risco como um todo. Esta é uma conclusão preocupante considerando a
diferença relativa entre as consequências do fracasso para cada campo (SCHNEIDER, 2010).
2.3.2.7 A framework for integrated risk management process using survival analysis
approach in information security
No trabalho é proposto um novo método para realização de estudos de análise de riscos,
utilizando para isso a estrutura de processo de gestão de risco existente com adoção de abordagens
médicas, ou seja, abordagem de análise de sobrevivência. O processo de gestão de risco nesta
pesquisa é baseado no Australian/New Zealand, Padrão para Gerenciamento de Riscos (AS / NZS
4360:1999). Assim, a contribuição do artigo é a introdução de um novo método para a realização
de um estudo de análise de risco no domínio da segurança da informação, esse método propõe se
mais efetivo e eficiente que os outros métodos de GR, além disso tem uma linguagem padrão e de
mais fácil entendimento.
O autor utilizou a abordagem de métodos mistos na pesquisa. A fim de identificar potenciais
ameaças de uma abordagem qualitativa, ou seja, entrevista semiestruturada. Na pesquisa utilizou-
se um estudo de acompanhamento, a fim de recolher e analisar o tempo de vida dos sistemas que
consistem de partida do sistema e tempo de falha de acordo com o período predefinido de análise.
47
Foi realizada a comparação entre as vantagens utilizando a análise de sobrevivência Approach no
processo de gestão de riscos e utilizando o modelo Cox Proportional Hazards.
O autor destaca a importância do trabalho realizado devido às limitações encontradas em
métodos de análise de risco de segurança da informação existentes e aplicação limitada de
abordagens de análise de sobrevivência na área de segurança da informação.
O novo método possui impacto significativo para os profissionais de segurança da
informação, especialistas de análise de risco e gestão, a fim de gerir o seu sistema de informação
de forma mais eficaz e eficiente, além de prover uma linguagem padrão e de fácil entendimento
(SAMY, AHMAD e ISMAIL, 2010).
2.3.2.8 Research on E-government Information Security Risk Assessment - Based on Fuzzy
AHP and Artificial Neural Network Model
O artigo estabelece um sistema de índice de estrutura de hierarquia para a avaliação de risco
de segurança de sistemas de informação E-governo baseado na ameaça operacional crítica, ativos
e avaliação de vulnerabilidade (OCTAVE). Este trabalho propõe um novo método de avaliação de
risco de segurança baseado em FAHP e ANN.
Os processos de informação do e-governo não são apenas internos a administração, mas
também para o público externo. Portanto, os sistemas de informação do governo são mais sensíveis
em risco em comparação com os outros tipos de sistemas de informação. O método proposto
combina F_AHP com ANN para avaliar a segurança eletrônica da administração pública. Tal
método é composto três etapas: Etapa 1, cálculo de pesos de todos os possíveis fatores de
risco; Etapa 2, escolha de 15 principais fatores como a entrada para ANN, de acordo com os pesos
indicados na etapa 1; Etapa 3, avaliação de risco conduta modelo, através da formação de rede
ANN com base nos dados históricos de avaliação. Os fatores de entrada de avaliação que foram
escolhidos são baseados em literatura relevante e na experiência de especialistas na área.
O modelo e método proposto foram aplicados para um sistema de informação de e-governo
real. Este trabalho, em primeiro lugar, constrói o índice de avaliação do risco da segurança do
sistema de governo eletrônico baseado na teoria de OCTAVE e, em seguida, propõe o método de
avaliação de risco, combinando rede neural EBP e F-AHP. O estudo de caso mostra que este
método pode melhorar a eficiência e precisão do processo de avaliação e pode alcançar os objetivos
48
desejados. O método de cálculo utilizado nesse trabalho foi utilizado nessa dissertação para que se
pudesse ter o ranking das instituições no tocante a GR (GUANGFU, 2010).
2.3.2.9 The state of the art of risk assessment and management for information systems
(LIANG, 2013)
Artigo publicado em 2014 no Information Assurance and Security (IAS), 2013 9th
International Conference. O artigo destaca a importância da avaliação e gestão de riscos para a
garantia da segurança do sistema, explicando que apenas o cuidado não é o suficiente, mas também
uma análise sistemática das vulnerabilidades e ameaças e com esse resultado de análise poderá
determinar a extensão em que os eventos possam afetar de forma adversa a organização.
Pela análise da ameaça e informações sobre as vulnerabilidades, pode-se identificar e
determinar até que ponto as mesmas podem afetar negativamente uma organização. Além disso,
com base no tipo de ameaça e no valor de impacto, a probabilidade da ocorrência de tal evento será
dado. No artigo é feito uma introdução a gestão de riscos, em seguida é apresentado um modelo de
gestão de riscos em 3 (três) níveis e por fim os seis passos pra um framework de gestão de riscos é
analisado.
A avaliação de Risco é uma parte da estrutura hierárquica de gerenciamento de risco sendo
composto por 4 etapas: preparação, realização, comunicação e manutenção.
O primeiro passo no processo de avaliação de risco é preparar a avaliação. O propósito deste
passo é para que se possa estabelecer um contexto para a realização de avaliação de risco na etapa
seguinte.
Realizar a avaliação é a segunda etapa, também é o passo mais importante no processo de
avaliação de riscos. A lista de riscos de segurança da informação é obtida para informar as decisões
de resposta a riscos nesta etapa. Para alcançar esta função, as organizações analisam as ameaças,
vulnerabilidades e seus impactos, e calculam a probabilidade de ocorrência do evento, e reúnem a
informação essencial de acordo com o contexto de avaliação estabelecido no primeiro passo.
A terceira etapa do processo de avaliação de risco é comunicar os resultados da avaliação
e compartilhá-los. Assim, os tomadores de decisão poderão ter a informação adequada para tomar
decisões de risco mais precisas.
49
Manter a avaliação é o último passo no processo de avaliação de riscos. Para garantir a
eficácia da resposta ao risco, faz-se necessário a revisão das decisões de gestão de risco. Através
do monitoramento de risco de forma contínua, as organizações mantem as avaliações de risco para
incorporar as alterações atualizadas.
O artigo demonstrou os principais conceitos da avaliação e gestão de riscos, conceitos esses
fundamentais para a interpretação do processo de gestão de riscos (GUANGFU, 2010).
2.3.2.10 Information Security Risk Evaluation for E-Campus
O trabalho propõe medidas de avaliação de riscos de segurança da informação para e-
campus. O e-campus utiliza de novas tecnologias para disponibilizar os conteúdos de forma digital
para seus usuários. O e-campus faz uso de tecnologia da intranet para digitalizar o campus
tradicional, porém nos últimos anos tem ocorrido um acréscimo no número de incidentes de
segurança da informação O modelo desenvolvido calcula e analisa o risco que o e-campus irá
enfrentar com base na identificação e informação dos ativos. No trabalho o autor utiliza abordagem
orientada a ativo, identificando os ativos de forma tangível ou intangível, não considerando apenas
o “valor monetário” mas considerando também a importância que o ativo tem para a organização.
O autor afirma que a segurança da informação significa que a organização deve assegurar
que a confidencialidade, integridade e disponibilidade não são destruídas no ciclo de vida dos
ativos de informação. A fim de melhorar a segurança da informação, a melhor solução é construir,
implementar e manter um sistema de gestão de segurança da informação(SGSI). Os processos e
políticas de gestão de riscos devem ser analisados periodicamente, pois os riscos sempre mudam.
As principais estratégicas utilizadas nesse artigo são a definição de papéis e responsabilidades,
atualização periódica dos processos de GR, o mapeamento dos riscos e efetividade na aplicação da
GR. Essas estratégias foram consideradas para seleção das diretrizes desta dissertação.
O autor afirma que de acordo com as normas ISO 27001, a avaliação de riscos de segurança
da informação divide-se em quatro componentes principais: ativos, ameaças, vulnerabilidades e
impacto. Existem muitas abordagens para implementar a avaliação de risco, por exemplo, a gestão
de riscos de segurança guia, BS7799/framework ISO17799 Padrões, octave. O autor implementou
a avaliação de riscos através do Padrão Chinês GB/T20984-2007. O procedimento de avaliação de
risco inclui, principalmente, identificação, detecção, identificação de ameaças, a identificação da
50
vulnerabilidade e cálculo de risco. O método pertence à abordagem de avaliação orientada para o
ativo, enquadrando os riscos do E-Campus, no contexto dos seus ativos. Como conclusão notou-se
que a avaliação de riscos é uma tarefa robusta e o resultado desta avaliação de risco ajudou a
melhorar o nível de gestão de e-campus (LV, 2011).
2.3.2.11 The research and application of the risk evaluation and management of
information security based on AHP method and PDCA method
Artigo publicado na conferencia Information Management, Innovation Management and
Industrial Engineering (ICIII), 2013 6th International Conference on. O Artigo apresenta um
modelo para realizar a transformação de uma análise riscos qualitativa para quantitativa para que
se possa alcançar uma gestão de riscos de segurança informação dinâmico O modelo utiliza o
método AHP com o uso de pesos para avaliação de riscos de segurança da informação, obtendo
com isso os fatores de riscos. Posteriormente foi utilizado o método PDCA (Plan-Do-Check-
Action). A contribuição do artigo para este trabalho é como material teórico a respeito dos conceitos
e dos cálculos utilizados que serviram de base nesta dissertação (MENG, 2013).
2.3.2.12 Information Security Risk Management Framework for the Cloud Computing
Environments
O objetivo deste trabalho é apresentar informações sobre o framework de gerenciamento de
risco de segurança da informação para melhor entender as áreas críticas com foco no ambiente de
computação em nuvem e para a identificação de ameaças e vulnerabilidades. Conforme pesquisa
realizada entre executivos de TI/CIOs demonstrou que a segurança dos serviços em nuvem é o
maior desafio da computação em nuvem. Grande parte dos riscos que afetam os serviços em nuvem
já existiam e pode ser vistos nas empresas atualmente. As atividades de gestão de riscos serão
cruciais para que a informação esteja simultaneamente disponível e protegida. A metodologia de
gerenciamento de risco bem estruturada, quando utilizada de forma eficaz, pode ajudar a
administração a identificar os controles apropriados para fornecer as capacidades essenciais de
segurança. Destaca também a importância do capital humano para a gestão de riscos, desde os
usuários, stakeholders, direção até a alta administração
51
O framework foi desenvolvido com base na ABNT ISO/IEC 27001 utilizando o ciclo de
melhoria continua (Plan, Do, Check, Act), e utilizando também o guia de gestão de riscos para os
sistemas de tecnologia da informação proposto pelo NIST. O framework foi descrito para que possa
prover a confidencialidade, integridade e disponibilidade dos ativos de informação. Além disso, é
composto por 07 processos: processos de seleção de áreas críticas relevantes, estratégia e
planejamento, análise de risco, avaliação de riscos, mitigação de riscos, avaliação e programa de
monitoramento e avaliação de gestão de risco. Também define algumas diretrizes necessárias para
uma boa Gestão de riscos: Estabelecer atividades de orientação e guia do programa de
gerenciamento de riscos; criar comitê de direção e comitê de trabalho; definir os objetivos,
requisitos e escopo do programa de gerenciamento de risco; planejar proativamente atividades para
atingir metas e atender aos requisitos (ZHANG, 2010).
2.3.2.13 A Value Based Security Risk Assessment Method
O artigo trata da importância da avaliação de riscos de segurança da informação e a relação
dessa com o valor econômico da avaliação de riscos. As empresas atualmente vêm percebendo o
valor do tradicional da TI e vêm investimento em infraestrutura, criando um parque computacional
mais potente. Esses investimentos conseguem ser facilmente quantificados através do Retorno
sobre investimento (ROI). Um grande desafio da análise de riscos de segurança da informação é
conseguir quantificar o ROI sobre os investimentos em segurança da informação, devido à
dificuldade de medir a escala em benefícios. O trabalho propõe uma avaliação de riscos de
segurança baseada em valor econômico.
O framework desenvolvido seleciona a mitigação de riscos e a valorização da capacidade
como métricas para parte não financeira e realiza a análise em três aspectos: retornos financeiros,
mitigação de riscos de segurança e a capacidade de aprimoramento de segurança. O autor neste
artigo afirma a necessidade de se alinhar a gestão de riscos com os objetivos organizacionais, só
assim a gestão de riscos irá refletir a real situação da organização e alcançar seu objetivos
estratégicos (SHI, 2012).
52
2.3.2.14 Information security Risk Management in Critical informative Systems
O artigo foca em sistemas críticos e examina o domínio de engenharia de segurança da
informação, processos de análise e gestão de riscos de segurança da informação no que se refere à
garantia da informação e de sistemas críticos. Propõe uma métrica formulada pela definição de
uma função de risco continuo, dependente do tempo com base em análise multivariada e teoria da
distribuição de probabilidade. A análise de risco vem encontrando relutância em sua abordagem
devido a percepção de sua complexidade e inexatidão. Análise de Riscos de Segurança é uma
técnica utilizada na Gestão de Riscos como método de identificação de ameaças, vulnerabilidades
e possíveis impactos para controles de segurança de sistemas de informação críticos. Existem dois
tipos de Análise de Riscos: análise e avaliação qualitativa e análise e avaliação quantitativa, cada
uma apresentando suas vantagens e desvantagens.
Este trabalho busca reconhecer e identificar todas as incertezas associadas com Análise de
Riscos para sistemas de informações críticos e é dividido em quatro partes. A primeira parte
especifica os problemas e as opções de avaliação de riscos de abordagens analíticas. A segunda
parte especifica uma revisão abrangente sobre o assunto. A terceira parte identifica os elementos e
componentes do risco, permitindo a implementação da metodologia formal para definir a expressão
de risco que compõe toda análise de riscos para sistemas de informações críticos. A quarta parte
proveu a metodologia que foi usada para analisar e validar tais expressões, concluindo sobre a
importância de seu uso (KIRAN, 2014).
2.3.2.15 Security Risk Management in Complex Organization
O objetivo do artigo é descrever a maneira de alinhar diferentes metodologias de
Gerenciamento de Riscos de Segurança da Informação causadas por diferentes requisitos de
negócios. Tais metodologias descrevem a maneira de alinhar diferentes metodologias de
gerenciamento de riscos causadas por diferentes requisitos de negócios. Essas metodologias
apoiam os processos de decisões operacionais e apoiam os relatórios de riscos. O artigo explana
alguns modelos de Gestão de Riscos de TI como o OCTAVE, NIST, COBIT e a ISO 27005
(SEDINIC e PERUSIC, 2015). A abordagem utilizada no artigo e implementada na empresa
mostrou inúmeros benefícios que são:
maneira prática para integrar metodologias de riscos diferentes
53
realizar a avaliação de riscos no curto período,
realizar avaliação de risco em nível muito profundo e detalhes para riscos
específicos tecnologicamente,
unificação dos resultados para a área diferente, em que as ferramentas de
gerenciamento de risco são utilizados,
otimização do tempo gasto no gerenciamento de riscos.
2.3.2.16 Information security risk management in small-scale organizations: A case study
of secondary schools computerized information systems
O artigo trata da implementação da metodologia de gestão de risco OCTAVE-SMALL em
duas escolas sul-africanas. Tal metodologia foi projetada para ser utilizada em pequenas
organizações, apesar de haver variações da metodologia para serem usadas em médias e grandes
organizações, o que torna viável sua implementação nessas escolas consideradas pequenas
(MOYO, 2013).
O autor descreve o processo de implantação da metodologia e seus passos de execução. Os
dados foram coletados por meio de observação, listas de controles e planilhas OCTAVE-SMALL
personalizadas e posteriormente processadas e interpretadas de forma qualitativa.
A metodologia adaptada é composta por 04 processos. 1- Identificar os ativos da CIS
críticos e seus requisitos de proteção, 2 - Identificar ameaças aos ativos críticos, 3 - Identificação
de vulnerabilidades em instalações de computação, 4 - Avaliação de riscos, desenvolvimento e
implementação de estratégias de tratamento.
Os benefícios decorrentes da implantação da metodologia são proporcionar aos
participantes uma oportunidade de desenvolver uma apreciação da segurança da informação em
geral e como gerenciar os riscos associados. Também irá desenvolver e fomentar um sentimento
de responsabilidade e prestação de contas em naqueles usuários que anteriormente foram
deliberadamente envolvidas em atividades que levaram a violações de segurança.
54
2.3.2.17 A multidimensional approach to information security risk management using
(FMEA) and fuzzy theory
O artigo apresenta uma abordagem para a gestão de riscos de segurança da informação,
abrangendo Análise dos Modos de Falha e seus Efeitos (FMEA) e da lógica fuzzy. Esta abordagem
analisa cinco dimensões de segurança da informação: o acesso à informação e sistemas, segurança
de comunicação, infraestrutura, gerenciamento de segurança e desenvolvimento de sistemas de
informação segura (SILVA, 2014).
O autor explana sobre a gestão de riscos de segurança em uma organização e diz que a
mesma envolve a identificação e análise de riscos para a organização, identificando e avaliando os
danos que podem ser causados por um ataque bem sucedido nos negócios, e decidir em mitigar ou
reduzir o risco.
O autor desenvolveu uma metodologia para analisar as cinco dimensões da gestão de riscos
com base no FMEA e teoria linguística difusa. A metodologia é comporta por 5 fases ou etapas: 1
– Identificação especialista, 2 - Determinação e avaliação de potenciais modos de falha, 3 -
Determinação número fuzzy RP, 4 – Avaliação Dimensão, 5 – Ordenação Dimensão.
2.3.2.18 A risk business: ISO 31000 and 27005 unwrapped
O artigo trata de duas normas sobre gestão de riscos, a ISO 31000 e a ISO 27005. A norma
ISO 31000 traz a luz a gestão de riscos corporativos genéricos. A ISO 27005 trata da gestão de
riscos de segurança da informação. Essas normas são fundamentais e surgem para preencher uma
lacuna, pois a gestão de riscos não é bem compreendida nem amplamente empregada.
No artigo é explorada a forma como as organizações podem se beneficiar destas normas,
olhando os princípios fundamentais de ambos os padrões. Para os autores a gestão de riscos deve
ser um elemento central de qualquer estratégia de segurança da informação, e a consciência a
respeito do tema começa a ser notada, porém lentamente.
Apesar da natureza complementar de ambas as normas ISO 31000 e ISO 27500, uma não
faz referência explícita para a outra. O objetivo final da ISO 27005 é ter uma abordagem
consistente, métricas baseadas em várias áreas de risco, com o risco de segurança da informação
integrado com relatórios e risco operacional, além de ter uma visão clara do retorno do investimento
(EVERETT, 2015).
55
2.4 Conclusão do Capítulo
Este capítulo abordou os principais conceitos pertinentes a Segurança da informação,
Gestão de Riscos e elucidou os conceitos de risco, incerteza, vulnerabilidade e ameaças. Além
disso, apresentou as normas ISO 31000, ISO 27005, os frameworks sobre Gestão de Riscos
difundidos na comunidade internacional como o COBIT 5 for risk, o COSO ERM, a metodologia
OCTAVE e NIST 800-30. Tal capítulo é de suma importância para que se possa aprimorar os
conhecimentos sobre gestão de riscos e demonstrar a importância do tema para as organizações
que buscam uma segurança da informação eficaz e eficiente.
Este capítulo também abordou os procedimentos utilizados na abordagem da revisão
sistemática da literatura, desde as fases iniciais de planejamento, passando pela execução até a
análise e divulgação dos dados.
Ao final do capítulo foi apresentado o resumo dos 18 artigos considerados relevantes para
este trabalho. Tais artigos foram obtidos das bases ACM, IEEE Xplore, Science Direct, Google
Academic, Scopus dentre outras.
Os artigos selecionados através da revisão sistemática apontam as diversas metodologias,
normas e modelos de gestão de riscos. Tais artigos foram de suma importância para obtenção das
diretrizes estratégicas de gestão de riscos. Foram encontradas 14 (quatorze) diretrizes estratégicas:
busca do apoio da alta administração; utilização linguagem padrão e de fácil entendimento;
conscientização dos stakeholders a respeito da gestão de riscos; treinamento especifico sobre
GRSI; alinhamento da gestão de riscos com a estratégia global da organização; definição de papéis
e responsabilidades; comprometimento da direção; publicidade no tratamento da informação de
acordo com os critérios legais; celeridade na identificação e tratamento dos riscos; clareza nas
regras de GRSI; atualização periódica na política/diretriz de gestão de riscos; efetividade e
eficiência no alcance dos objetivos da GR; orientação técnica em medidas de segurança e;
mapeamento dos riscos.
Percebe-se através da leitura crítica dos 18 (dezoito) artigos selecionados através da revisão
sistemática, que a gestão de riscos é um fator de suma importância para as organizações que
pretendem alcançar a segurança da informação e uma governança de TI efetiva e eficaz.
56
Além disso, ressalta-se a importância do uso de uma metodologia de GR. O uso de uma
metodologia de GR garante a análise e avaliação de riscos de forma ampla e efetiva na instituição
podendo ser utilizado tanto em setores específicos, quanto em toda a organização, auxiliando com
isso a organização no alcance de seus objetivos.
57
3 COLETA DOS DADOS
Este capítulo apresenta as formas e procedimentos metodológicos da obtenção dos dados
da pesquisa, realiza a análise dos dados obtidos através de questionário survey aplicado as
Instituições Federais de Ensino Superior.
O questionário foi composto por 13 questões a respeito da Gestão de Riscos de Segurança
da Informação, tais questões tiveram como base a norma ABNT ISO/IEC 27005:2011, o livro
COBIT 5 for Risk que compõe o framework COBIT 5, a norma ABNT ISO 31000:2009, além de
trabalhos relevantes da área de pesquisa, além dos trabalhos obtidos através da revisão sistemática
da literatura.
O objetivo do questionário é obter dados para que se possa realizar a análise da situação das
instituições avaliadas no tocante à gestão de riscos de segurança da informação e identificar
principais diretrizes estratégicas de gestão de riscos que possam ser utilizadas nas IFES.
3.1 As Instituições Federais de Ensino Superior (IFES)
O universo de pesquisa deste trabalho está centrado nas Instituições federais de Ensino
superior, as quais são compostas pelos Institutos Federais de Educação e pelas Universidades
Federais, além dos Centros Federais de Educação Tecnológica (CEFET). No total de instituições
pesquisadas somaram-se 104 instituições, sendo 63 Universidades Federais, 38 Instituições
Federais de Ensino, 02 Centros de Educação Federal de Ensino Tecnológica e 01 Colégio Pedro II.
Os Institutos Federais de Educação, Ciência e Tecnologia foram instituídos pela Lei nº
11.892, de 29 de dezembro de 2008. O art. 2º da referida lei os define como: Os Institutos Federais
são instituições de educação superior, básica e profissional, pluricurriculares e multicampi,
especializados na oferta de educação profissional e tecnológica nas diferentes modalidades de
ensino, com base na conjugação de conhecimentos técnicos e tecnológicos com as suas práticas
pedagógicas.
58
As Universidades Federais são definidas pela Lei nº 9394, de 29 de dezembro de 2016 em
seu artigo 52 como: instituições pluridisciplinares de formação dos quadros profissionais de nível
superior, de pesquisa, de extensão e de domínio e cultivo do saber humano.
3.2 Coleta dos Dados
Para a pesquisa buscou-se primeiramente definir qual seria a melhor forma de obtenção dos
dados. Notou-se que o questionário seria a forma mais eficaz e eficiente para obtenção dos dados
necessários para a pesquisa. Tal fato se deu devido ao elevado número de instituições a serem
avaliadas e a distância geográfica das mesmas.
Para a obtenção dos dados foi utilizado um questionário on-line aplicado as instituições
federais de ensino superior, tal questionário foi disponibilizado através da ferramenta de software
livre Limesurvey10. O objetivo do questionário on-line é facilitar o preenchimento dos questionários
e dar maior agilidade no preenchimento dos mesmos. Dessa forma, tornou-se menos onerosa a
pesquisa, pois os respondentes podiam se manifestar sobre a pesquisa no momento mais oportuno,
além de todos os dados serem armazenados em um banco de dados de forma automática.
De acordo com a definição de Marconi e Lakatos (2002) o questionário pode ser definido
como um instrumento de coleta de dados constituído por uma série de perguntas, que devem ser
respondidas por escrito e sem a presença do entrevistador. Em geral, o pesquisador envia o
questionário ao informante, pelo correio ou por portador; depois de preenchido, o pesquisado
devolve-o do mesmo modo.
Em uma primeira etapa foi realizado um pré-teste com profissionais da área de Ciência da
Computação e da subárea de Segurança da Informação. A finalidade desta prova, geralmente
designada como pré-teste, é evidenciar possíveis falhas na redação do questionário, tais como:
complexidade das questões, imprecisão na redação, desnecessidade das questões,
constrangimentos ao informante, exaustão (GIL, 2008).
10 Ferramenta de software livre para aplicação de questionários online – http://www.limesurvey.org
59
Marconi e Lakatos (2002) evidencia que a análise dos dados do pré-teste, após a tabulação,
evidenciará possíveis falhas existentes: inconsistência ou complexidade das questões; ambiguidade
ou linguagem inacessível; perguntas supérfluas ou que causam embaraço ao informante; se as
questões obedecem a determinada ordem ou se são muito numerosas.
Para isso foi disponibilizado o questionário para 10 profissionais da área como forma de
obtenção de um feedback a respeito das características, percepção e objetivos do questionário. Os
critérios solicitados para análise foram baseados em Gil (2008):
Quantitativo de perguntas: A quantidade de perguntas está adequada ao
questionário?
Clareza e Compreensão das Perguntas: As perguntas estão claras e de fácil
compreensão?
Distribuição das Perguntas: A distribuição das perguntas através de seções e por
área está clara e segue uma ordem lógica?
Tempo de Resposta: O tempo para a resposta do questionário está adequado?
Objetivos: Os objetivos das questões estão condizentes com as respostas a serem
aferidas?
Com a obtenção dos resultados do pré-teste podemos realizar a melhoria do questionário e
posteriormente realizar a divulgação ao público alvo a ser entrevistado.
Notou-se com a aplicação do questionário de pré-teste a falta de algumas questões
específicas sobre a importância das diretrizes estratégicas aplicada nos IFES no contexto da Gestão
de Riscos e a falta de algumas questões técnicas específicas relativas as instituições. As alterações
necessárias foram imediatamente realizadas.
A aplicação da segunda etapa da coleta de dados foi realizada no período de 18/10/2016 a
18/11/2016, período no qual se obteve o número mínimo necessário para que haja uma amostra
concisa para análise dos dados. Cada participante da pesquisa foi contatado através de meio
eletrônico (e-mail) e posteriormente foi feito o convite novamente por meio telefônico para que
possam responder o questionário.
O foco do questionário de pesquisa aplicado foi direcionado a obter informações a respeito
da gestão de riscos da organização, a importância do tema para as organizações e para a
comunidade, estratégias aplicadas, participação dos stakeholders na definição de políticas e
60
estratégias, normas e práticas adotadas pela instituição e dificuldades na aplicação de tais práticas.
A relação de perguntas pode ser observada através do Quadro 5, p. 60.
Quadro 5: Questões utilizadas na pesquisa
ID Descrição da Pergunta Referência Bibliográfica
Q1 Qual o nome da Instituição de Ensino Superior (IES) em que você trabalha? Pergunta pessoal
Q2 Qual seu cargo ou função? Pergunta pessoal
Q3 Sua instituição tem um setor especifico para tratar da Segurança da Informação? Pergunta pessoal
Q4 Em um grau de importância de 01 a 05, sendo 01 com pouca importância e 05 com
muita importância, você considera viável o desenvolvimento de uma Diretriz
Estratégica de Gestão de Riscos de Segurança da Informação para as Instituições
Federais de Ensino Superior?
Pergunta pessoal
Q5 A instituição possui um sistema/política de gestão de riscos de segurança da informação
formalmente instituída, como norma de cumprimento obrigatório?
STRAUB E WELKE
(1998); BRASIL (2014)
Q6 A respeito do desenvolvimento da política/sistema de Gestão de Riscos:
A alta administração é parte importante no desenvolvimento do SGRSI?
A política de sistema de gestão de riscos é atualizada e revista
periodicamente?
A organização executa o processo de gestão de riscos de segurança da
informação?
A IES seguiu as recomendações e práticas da ISO/IEC 27005:2011 quanto a
abordagem da gestão de riscos de segurança da informação?
ABNT (2015); DANTAS
(2011); ABNT (2015);
CASACA (2014);
VAUGHAN (1997);
ABNT (2011)
Q7
A respeito da Seção 07 - Critérios básicos da norma ISO/IEC 27005:
A organização define o escopo e os limites que serão considerados na gestão
de riscos?
Os papéis e responsabilidades para o processo de gestão de riscos estão
definidos?
Sua instituição utiliza alguma metodologia específica de gestão de riscos?
DANTAS (2011);
CASACA (2014); ABNT
(2011),
Q8 A respeito da seção 08 da norma ABNT ISO/IEC 27005 2011 - Sobre a identificação
dos riscos:
Os ativos da instituição são identificados, com seus responsáveis, localidades
e funções definidas?
As potenciais ameaças e suas fontes são identificadas e catalogadas pela
instituição?
Os controles existentes para o tratamento de riscos são identificados e
catalogados?
As vulnerabilidades são conhecidas?
A instituição define abordagens de análise a avaliação de riscos da
organização?
A organização define formalmente os níveis de risco de TI aceitáveis na
consecução de seus objetivos (apetite a risco)?
SÊMOLA (2013); ABNT
(2009), ABNT (2011);
ABNT (2013); CASACA,
(2014); LV (2011),
TUYIKEZE E
FLOWERDAY (2014);
BRASIL (2008)
61
Q9 A respeito da Seção 09 da norma ABNT ISO/IEC 27005: 2011 - Sobre o tratamento
dos riscos:
Existe um processo documentado para o tratamento dos ricos?
A Identificação e avaliação das opções de tratamento de riscos é realizada
com base na avaliação de riscos?
A instituição tem ações para reter, evitar ou compartilhar o risco?
CASACA (2014); ABNT
(2011); ABNT (2013)
Q10 A respeito da seção 11 da norma ABNT ISO/IEC 27005:2011- Comunicação e
Consulta
A instituição obtém aprovação da direção dos riscos residuais propostos?
CASACA (2014); ABNT
(2011), ABNT (2013)
Q11 Dentre as diretrizes estratégicas abaixo, pondere o nível de concordância das diretrizes
estratégicas a serem adotadas para que se possa alcançar a gestão de riscos nas
instituições federais de ensino superior? Tais D. estratégicas foram retiradas com base
no framework do COBIT, na norma ISO/IEC 27005 e ISO 31000 e nos trabalhos
selecionados através da revisão sistemática.
EST 1 – Apoio da alta administração
EST 2 – Linguagem Padrão e de Fácil entendimento
EST 3 – Conscientização dos stakeholders a respeito da Gestão de Riscos
EST 4 – Treinamento especifico sobre GRSI
EST 5 – Alinhamento da Gestão de Riscos com a estratégia global da
organização
EST 6 – Definição de papéis e responsabilidades
EST 7 – Comprometimento da direção
EST 8 – Publicidade no tratamento da informação de acordo com os critérios
legais
EST 9 – Celeridade na identificação e tratamento dos riscos
EST 10 – Clareza nas regras de GRSI
EST 11 – Atualização periódica na Política/diretriz de Gestão de Riscos
EST 12 – Efetividade e Eficiência no alcance dos objetivos da GR
EST 13 – Orientação técnica em medidas de segurança
EST 14 – Mapeamento dos Riscos
ABNT (2009); DANTAS
(2011), ISACA (2012),
ABNT (2011), ABNT
(2013), ISACA (2013),
CASACA (2014), MELO
(2008), STONEBURNER
(2002), SILVA (2010)
Q12 Dentre as principais estratégicas aplicadas no tocante à Gestão de Riscos, quais são
aplicadas/utilizadas na sua Instituição?
EST 1 – Busca do apoio da alta administração
EST 2 – Utilização Linguagem Padrão e de Fácil entendimento
EST 3 – Conscientização dos stakeholders a respeito da Gestão de Riscos
EST 4 – Treinamento especifico sobre GRSI
EST 5 – Alinhamento da Gestão de Riscos com a estratégia global da
organização
EST 6 – Definição de papéis e responsabilidades
EST 7 – Comprometimento da direção
EST 8 – Publicidade no tratamento da informação de acordo com os critérios
legais
EST 9 – Celeridade na identificação e tratamento dos riscos
EST 10 – Clareza nas regras de GRSI
EST 11 – Atualização periódica na Política/diretriz de Gestão de Riscos
EST 12 – Efetividade e Eficiência no alcance dos objetivos da GR
EST 13 – Orientação técnica em medidas de segurança
EST 14 – Mapeamento dos Riscos
ABNT (2009); DANTAS
(2011), ISACA (2012),
ABNT (2011), ABNT
(2013), ISACA (2013),
CASACA (2014), MELO
(2008), STONEBURNER
(2002), SILVA (2010)
62
Q13 Qual a sua sugestão de D. Estratégica para ser aplicada na Gestão de Riscos nas
Instituições Federais de Ensino Superior?
Questão pessoal
3.3 População e Amostra
Neste trabalho desenvolveu-se uma pesquisa nas IFES do Brasil, sendo a população ou
amostra da pesquisa em um total de 104 instituições. A pesquisa foi direcionada ao setor
competente de cada instituição no que tange as práticas de Gestão de Segurança da Informação.
Conforme Kauark (2010) os selecionados devem ser pessoas que têm o conhecimento necessário
para satisfazer as necessidades da pesquisa. Para isso, os respondentes do questionário foram
escolhidos entre os profissionais que exerciam alguma função, cargo ou participavam ativamente
na área de segurança da informação de sua instituição.
Para que uma amostra represente com fidedignidade as características do universo, deve ser
composta por um número suficiente de casos. Este número, por sua vez, depende dos seguintes
fatores: extensão do universo, nível de confiança estabelecido, erro máximo permitido e
percentagem com a qual o fenômeno se verifica (GIL, 2009).
Para este estudo foi utilizado o tipo de amostra Probabilística Casual Simples, onde “cada
elemento da população tem oportunidade igual de ser incluído na amostra” (KAUARK,
2010). Através do auxílio de procedimentos estatísticos foi possível calcular a margem necessária
de segurança dos resultados a serem obtidos. Dessa forma foi necessário adotar a fórmula constante
na Figura 9, p. 62 para o cálculo de amostras para populações finitas (não excedente a 100.000
elementos) considerada na teoria da amostragem (GIL, 2009):
Figura 9: Fórmula para cálculo de Amostra Finita
𝑛 = 𝜎2. 𝑝. 𝑞. 𝑁
𝑒2(𝑁 − 1) + 𝜎2. 𝑝. 𝑞
Fonte: Adaptado de Gil (2009).
Onde: n = tamanho da amostra;
𝜎2 = nível de confiança escolhido, expresso em número de desvios-padrão;
𝑝 = percentual com o qual o fenômeno se verifica;
𝑞 = percentual complementar (100 – 𝑝);
N = tamanho da população;
𝑒2 = erro máximo permitido.
63
O estudo considerou a população da pesquisa inferior a 100.000 instituições, portanto
observa-se, em termos estatísticos, uma população finita. Substituindo os valores na fórmula
apresentada, foi estabelecido que o percentual com o qual o fenômeno se verifica seja por volta de
50,0%, portanto p é igual a 50 – 50, ou seja, 50. Em seguida, adotou-se um nível de confiança de
68,0% (corresponde a um desvio-padrão) e um erro máximo de 5,0%. Aplicando-se a fórmula
encontrou-se o seguinte resultado demonstrado na Figura 10, p. 63:
Figura 10: Cálculo de Amostra Finita
𝒙 =𝟏𝟐. 𝟓𝟎. 𝟓𝟎. 𝟏𝟎𝟒
𝟓𝟐(𝟏𝟎𝟒 − 𝟏)+𝟏𝟐. 𝟓𝟎. 𝟓𝟎=
𝟐𝟔𝟎𝟎𝟎𝟎
𝟓𝟎𝟕𝟒= 𝟓𝟏, 𝟐𝟑
Fonte: Adaptado de Gil (2009).
Logo, para atender às exigências estabelecidas pelo estudo, o número de elementos da
amostra deve ser de no mínimo 51 instituições pesquisadas. Essa amostra é necessária para que o
estudo tivesse um nível de confiança estabelecido e estável. Foi obtido o quantitativo de 53
respostas, número este superior ao mínimo necessário para se ter uma amostra condizente com a
realidade.
3.4 Organização dos Dados
O formulário on line ficou disponível para preenchimento pelos selecionados por 30 dias.
Durante esse período foram feitos diversos preenchimentos do formulário, porém alguns foram
feitos de forma duplicada ou estavam incompletos, diminuindo com isso o número de respostas
válidas (completas e não duplicadas).
Para alcançar todo o público alvo da pesquisa, foi encaminhado e-mail para as 104
instituições com o link do questionário e solicitado a ajuda no preenchimento do mesmo. Alguns
respondentes disseram não ter capacidade para responder tais formulários e encaminharam para o
setor competente ou para um servidor designado para que pudesse realizar o preenchimento. Ao
total foram respondidos 82 questionários, sendo 53 totais (completos), 3 duplicados e 26
incompletos.
Como quantitativo de respondentes da pesquisa, obtemos o número de 20 Universidades e
33 Institutos, além do Colégio Pedro II. Conforme pode ser visto no Quadro 6, p. 64.
64
Quadro 6: Quantitativo de Respostas
Instituição Quantitativo de Respostas
Completas Incompletas Duplicadas
IFs 33 10 2
Universidades 20 16 1
Total 53 26 3
O questionário on-line foi implantado na ferramenta Limesurvey. Tal ferramenta já
automatiza a inserção dos dados em um Banco de Dados, além disso já gera estatísticas e gráficos
onde se pode visualizar de uma forma mais intuitiva os relatórios de repostas. A ferramenta também
facilita na identificação de respostas incompletas e as duplicadas, com isso ficou mais fácil a
realização da filtragem dos dados necessários a pesquisa.
O percentual de respostas corresponde a aproximadamente 64% de respostas completas,
32% respostas incompletas, 4% duplicadas, a Figura 11, p. 64 demonstra este resultado. Este
número permitiu que os dados pudessem ser analisados com clareza e não comprometendo o
resultado do estudo.
Figura 11: Percentual de Respostas
3.5 Perfil dos respondentes
A pesquisa veio através dos questionários on-line obter a resposta das instituições de todas
as regiões do Brasil. Nesta seção é fornecido dados de identificação do Instituto/Universidade,
64%
32%
4%
Percentual de Respostas
completas incompletas duplicadas
65
cargo que o respondente exerce no setor de TI e informações sobre a Gestão de Riscos da
Organização.
Na Q1 (questão 01), buscou-se a identificação da instituição da qual o respondente da
pesquisa fazia parte. Do universo de 104 instituições, 53 instituições responderam o questionário,
conforme pode ser observado na Tabela 1, p. 65 o qual divide as instituições pesquisadas por área
geográfica do país.
Tabela 1: Quantitativo de Respostas
Região Qtde. Pesquisas Resultados
Norte 15 14,42% 8 7,69%
Nordeste 29 27,88% 18 17,31%
Centro-Oeste 12 11,54% 6 5,77%
Sul 16 15,38% 7 6,73%
Sudeste 32 30,77% 14 13,46%
TOTAL 104 100% 53 50,96%
A Figura 12, p. 65 ilustra as instituições que responderam o questionário de forma completa,
organizado por região geográfica do país.
Figura 12: Instituições respondentes por localização geográfica
Do total de respondentes da pesquisa, obteve-se o total de 33 Institutos Federais de
Educação, Ciência e Tecnologia e 20 Universidades Federais.
A Q2 buscou-se obter os dados sobre o cargo ou função a qual o respondente do
questionário fazia parte. O questionário foi destinado aos servidores que de participam da área de
Norte15%
Nordeste34%
Centro-Oeste11%
Sul13%
Sudeste27%
66
Tecnologia da Informação que de alguma forma participam da Gestão de Segurança da Informação.
Entre as opções disponíveis, deixou-se em aberto a opção “outros”, tal opção foi disponibilizada
para que pessoas que não possuíam algum cargo ou função, mas participavam ativamente da Gestão
de Segurança da Informação da Instituição pudessem participar da pesquisa. Algumas das respostas
no campo outros foram: Assessor de TI, Secretário Especial de TI, Analista de Infraestrutura,
Coordenador de TI e etc. Através da Figura 13, p. 66 pode se observar o percentual de respondentes.
Figura 13: Cargo/função do respondente
A Q3 é específica sobre a existência de um setor especifico para tratar de Segurança da
Informação na instituição. Percebe-se que entre as entidades pesquisadas poucas instituições
possuem um setor para tratar diretamente das questões relativas à segurança da informação. Isso
reflete em um baixo nível de importância dada pelas organizações a questão em vigor. A Figura
14, p. 67 demonstra esse percentual.
51,92%
5,77%
26,92%
5,77%
11,54%
0,00% 10,00% 20,00% 30,00% 40,00% 50,00% 60,00%
Outros
Gestor Seg. Info
Diretor de TI
Coord. de Sistema
Coord. de Redes
67
Figura 14: Existência de setor especifico para segurança da informação
A Q4 busca justificar a importância da pesquisa para as instituições as quais foram
aplicados os questionários. O questionamento realizado é: Em um grau de importância de 01 a 05,
sendo 01 com pouca importância e 05 com muita importância, você considera viável o
desenvolvimento de uma Diretriz Estratégica de Gestão de Riscos de Segurança da Informação
para as Instituições Federais de Ensino Superior?”
Das respostas obtidas, 73% (39 respostas) consideram muito importante a elaboração da
diretriz, 24% (13 respostas) consideram importante, 2% (uma resposta) consideram indiferentes e
0% pouco e sem importância, conforme Figura 15, p. 67.
Figura 15: Importância da Pesquisa
35%
67%
Exitência de setor especifico para tratar da
Segurança da Informação?
Sim
Não
73,58%
24,53%
2% 0% 0%0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
MuitoImportante
importante Indiferente Poucoimportante
Semnecessidade
Importância da Pesquisa
68
3.6 Conclusão do Capítulo
Este capítulo buscou caracterizar o campo de pesquisa, as técnicas utilizadas para obtenção
dos dados necessários, as técnicas utilizadas para alcançar o público alvo, a ferramenta utilizada
para elaboração do questionário, a forma utilizada para a descoberta de falhas ou limitações no
questionário antes de se deixar disponível para acesso ao público alvo e obtenção dos dados. Ao
longo do capítulo os dados foram selecionados, organizados, sumarizados e tabulados, buscando
demonstrar uma forma de visualização “amigável” e de fácil compreensão. As informações sobre
a análise e a interpretação dos resultados obtidos com a pesquisa nas IFES, localizadas em todo o
território brasileiro, foram apresentadas e apreciadas com o intuito de verificar a real situação
destas instituições no tocante à Gestão de Riscos.
Para dar clareza na pesquisa foi necessário definir o universo da pesquisa e o tipo de amostra
necessária para a utilização do método estatístico aceitável pela comunidade acadêmica e científica.
Como resultado da coleta de dados, obteve-se um quantitativo de 53 instituições participantes, entre
Institutos Federais e Universidades Federais, trazendo um número necessário e válido para a fase
de análise exploratória e para descrição e estimativa dos resultados obtidos.
A obtenção dos resultados obtidos através do survey permitiu realizar o diagnóstico das
instituições federais de ensino superior e verificar a situação das instituições no tocante a gestão de
riscos de TI. Além disso, foi possível identificar as principais diretrizes estratégicas de GR a serem
utilizadas pelas IFES.
69
4 DIRETRIZES ESTRATÉGICAS PARA GESTÃO DE RISCOS EM
SEGURANÇA DA INFORMAÇÃO
Diretriz é a descrição que orienta o que deve ser feito e como, para se alcançarem os
objetivos estabelecidos nas políticas (ISO/IEC 13335-1:2004). As Diretrizes constituem a base
para a Gestão de Segurança da Informação e orientam a elaboração das Normas e dos
Procedimentos.
Neste sentido, Lima et al. (2005) afirma que “as diretrizes estratégicas são elementos
orientadores que fundamentam a elaboração de políticas, programas e projetos para a realização da
estratégia empresarial”.
As diretrizes têm poder estratégico. Essas precisam expressar a importância que a
instituição dará para a informação. Responde ao “por quê” de realizar a gestão de riscos de
segurança da informação, definindo diretrizes genéricas de que atividades devem ser realizadas
pela instituição de ensino.
Uma diretriz de Gestão de Riscos de Segurança da Informação deve estar alinhada ao
Sistema de Gestão de Segurança da Informação, além disso, deve ser alinhada também a gestão de
riscos globais da organização, para isso deve considerar seus objetivos estratégicos, seus processos,
requisitos legais e a estrutura da Instituição, adequando-a com isso a real situação da organização.
O objetivo principal desse trabalho é a identificação de diretrizes estratégicas de gestão de
riscos de segurança da informação para as Instituições Federais de Ensino Superior. Para que se
identificasse as diretrizes estratégicas, foi necessário realizar uma revisão sistemática da literatura,
revisão bibliográfica e a aplicação de questionários nas IFES para obtenção dos dados. O
questionário aplicado às instituições foi baseado nas normas ISO/IEC 27005:2011, ISO
31000:2009 e COBIT 5 for risk, além de trabalhos identificados na revisão sistemática da literatura.
Com o questionário buscou-se realizar o diagnóstico da situação referente à Gestão de
Riscos de Segurança da Informação das IFES, identificar as lacunas e oportunidades, procurando
encontrar deficiências a serem trabalhadas com as diretrizes de gestão de riscos.
As perguntas foram divididas em dois grupos: Sistemas Gestão de Riscos e Diretrizes de
Gestão de Riscos. Com o resultado dos questionários foi possível realizar o diagnóstico das IFES
no tocante a gestão de riscos.
70
Este capítulo se propôs a identificar as diretrizes estratégicas de gestão de riscos para IFES.
Para alcançar esse objetivo foram selecionadas 14 diretrizes através da revisão sistemática da
literatura. Com base nestas 14 diretrizes, foi criando um ranking das instituições e identificada as
principais diretrizes estratégicas utilizadas nas 34 instituições melhores avaliadas. Com base no
ranking identificou-se 05 diretrizes estratégicas principais para aplicação nas IFES, são elas: apoio
da alta administração, conscientização dos stakeholders a respeito da gestão de riscos,
definição de papéis e responsabilidades, comprometimento da direção e mapeamento dos
Riscos.
4.1 Sistema de Gestão de Riscos
Esta seção é específica para o conhecimento a respeito da política de gestão de Riscos da
Organização, da adoção das seções da norma ISO 27005 e as atividades realizadas pela IFES. O
critério de respostas é o mesmo utilizado pelo Tribunal de Contas da União em seus levantamentos
sobre Governança de TI das instituições da administração pública federal, o Quadro 7, p. 70
demonstra o padrão de respostas. Foram definidas cinco categorias de resposta para esse tipo de
item, as quais representam o nível de adoção da prática abordada: 1) Não se aplica; 2) Não adota;
3) Iniciou plano para adotar; 4) Adota parcialmente; 5) Adota integralmente
Quadro 7: Critério de respostas
Não se Aplica A organização entende que a prática não se aplica à sua realidade.
Não Adota A organização não adota a prática, bem como não iniciou planejamento para adotá-la.
Iniciação
A organização ainda não adota a prática, mas iniciou ou concluiu planejamento visando adotá-la,
o que se evidencia por meio de documentos formais (planos, atas de reunião, estudos preliminares
etc.).
Adota Parcialmente
A organização iniciou a adoção da prática, que ainda não está completamente implementada,
conforme planejamento realizado; ou a prática não é executada uniformemente em toda a
organização. Há, pelo menos, uma instância de execução da prática e os artefatos produzidos são
evidências dessa execução.
Adota Integralmente
A organização adota integralmente a prática apresentada, de modo uniforme, o que se evidencia
em documentação específica ou por meio do(s) produto(s) ou artefato(s) resultante(s) de sua
execução.
Fonte: Acórdão 3.117/14 TCU/Plenário (Brasil, 2014)
71
O questionamento feito inicialmente na questão Q5 foi: “A instituição possui um
sistema/política de gestão de riscos de segurança da informação formalmente instituída, como
norma de cumprimento obrigatório?” A partir do questionamento realizado eram habilitadas novas
perguntas. Caso o respondente escolhesse a opção “não se aplica” ou “não adota” a pergunta
seguinte não era habilitada e o respondente era direcionado para outro ponto do questionário com
novas perguntas.
Tal questionamento é fundamentado por Straub e Welke (1998), onde afirmam que os
gestores devem implementar um programa de segurança que inclua um modelo de planejamento
do risco de segurança, formação e conscientização em segurança e análise matricial das medidas
preventivas.
O TCU através do acórdão 3.051/2014-TCU-Plenário também traz esse questionamento
como uma exigência/recomendação com relação a gestão corporativa de TI da instituição, esse
questionamento foi feito às instituições através do “questionário de governança de TI” nos anos de
2014 e 2016. A recomendação realizada pelo TCU é feita através do seu item 9.1
“Recomendar ao Conselho Nacional de Justiça – CNJ, ao Departamento
de Coordenação e Controle das Empresas Estatais – Dest, à Secretaria de
Logística e Tecnologia da Informação do Ministério do Planejamento,
Orçamento e Gestão – SLTI/MP, ao Conselho Nacional do Ministério Público –
CNMP, à Secretaria Geral da Presidência do Tribunal de Contas da União –
Segepres/TCU, à Diretoria Geral da Câmara dos Deputados e à Diretoria Geral
do Senado Federal que: 9.1.5. normatizem a obrigatoriedade de que todas as
organizações sob sua jurisdição gerenciem os riscos de TI a que estão sujeitos,
por meio de um processo formal” (BRASIL, 2014, p. 67).
Notou-se que um grande percentual das instituições não possui um documento formal,
política ou norma de gestão de riscos, tornando com isso difícil a implantação de medidas de
segurança nessas instituições, pois tal documento norteia a implantação de medidas de segurança
e gestão de riscos. Das respostas obtidas, 2% (uma resposta) adotam integralmente, 28% (15
respostas) adotam parcialmente, 26% (14 respostas) encontram-se em fase de iniciação, 42% (22
respostas) não adotam e 2% (uma resposta) não sabem ou não aplicam, conforme Figura 16, p. 72.
72
Figura 16: Existência Sistema/Política de Gestão de Riscos
Em comparação com a pesquisa realizada pelo TCU em 2014, nota-se que apenas 2% (uma)
das instituições de ensino adotam integralmente e na pesquisa de 2014 somente 08% das
instituições federais (todas as instituições públicas) adotam parcialmente, conforme Figura 1, p.
17. Isto demonstra que poucas instituições federais de ensino superior buscam ter uma
política/sistema ou diretriz de gestão de riscos (BRASIL, 2014). Demonstrando que as IFES estão
em um patamar abaixo das outras instituições públicas no tocante à gestão de riscos.
A existência de um documento de Gestão de Riscos implementado na forma de uma
política/sistema destaca a importância que a IFES dá ao tema em questão. Além disso, é uma
“recomendação” dada pelo TCU aos órgãos da APF.
A existência deste documento assegura a que há um processo de gestão de riscos
estruturado e difundido a todos os seus colaboradores e parceiros como um requisito no
desempenho de suas atividades e demonstra também o apoio da alta administração nas atividades
de GR, reconhecendo a GR de forma global para toda a instituição e não apenas em setores
específicos. A existência de um processo formalmente instituído também garante uma maior
eficiência no âmbito da GR
As questões subsequentes Q6_1, Q6_2, Q6_3 e Q6_4 eram habilitadas aos respondentes
caso os mesmos estivessem escolhidos na Q5 entre as opções “iniciação”, “Sim, parcialmente” ou
“Sim, integralmente”. Isso foi feito, pois as questões são específicas para quem possui ou pelo
menos está em fase de planejamento ou iniciação de uma política ou sistema de gestão de riscos.
2%
28% 26%
42%
2%0%
10%
20%
30%
40%
50%Sistema/Política/Diretriz de Gestão de Riscos
73
A Q6_1 “A alta administração é parte importante no desenvolvimento do SGRSI?” busca
saber o papel da alta administração no desenvolvimento e implementação de uma política de gestão
de riscos?
A norma ABNT ISO/IEC 38500:2015 estabelece 2 princípios em que se nota a importância
da participação da alta administração no desenvolvimento de tais políticas.
Princípio 2: Estratégia. Dirigir – Convém que os dirigentes liderem a preparação e o uso
de planos e políticas que assegurem que a organização seja beneficiada pelos desenvolvimentos de
TI. Monitorar – Convém que os dirigentes monitorem o uso da TI para assegurar que os benefícios
pretendidos estão sendo alcançados.
Princípio 3: Aquisição. Dirigir – Convém que os dirigentes deem a devida orientação para
que os ativos de TI (sistemas e infraestrutura) sejam adquiridos de forma apropriada, incluindo a
preparação de documentação adequada que assegure o fornecimento de capacidades necessárias.
Monitorar – Convém que os dirigentes monitorem os investimentos de TI para assegurar que eles
forneçam as capacidades requeridas.
Notou-se através das respostas obtidas pela questão Q6_1 as instituições que possuem
algum trabalho ou iniciaram seus trabalhos sobre gestão de riscos, seus gestores estão participando,
mesmo que de forma parcial ou inicial nas ações de desenvolvimento dessas políticas ou sistemas
de gestão de riscos. Este fato é considerado um dos fatores de sucesso na implementação de uma
efetiva e eficiente gestão de riscos (DANTAS, 2011), contudo cerca de 54% dos entrevistados
afirmam que o gestor não participa nas ações e no desenvolvimento destas políticas, fato este
demonstrado, pois grande parte das instituições não iniciaram seus trabalhos sobre o tema. A Figura
17, p. 74 demonstra os percentuais. Dos respondentes, 11% adotam integralmente, 21%
parcialmente, 13% em fase de iniciação, 11% não adotam e 43% não sabem ou a questão não se
aplica.
A participação da alta administração no desenvolvimento de uma SGRSI deve ser
considerado como item de suma importância para implantação de uma GR. A participação da alta
administração da visibilidade aos colaboradores e stakeholders da instituição em suas ações de
segurança e demonstra seu papel institucional e não vinculado apenas a setores específicos.
74
Figura 17: Participação da Alta administração no desenvolvimento do SGRSI
A questão Q6_2 faz o seguinte questionamento: “A política de sistema de gestão de riscos
é atualizada e revista periodicamente?”. Segundo Casaca (2014), ABNT ISO/IEC 27005 (2011) a
gestão de riscos deve ser processo contínuo que nunca está concluído e deve ser constantemente
revisto e atualizado em função das alterações do ambiente e da descoberta de novas ameaças ou
vulnerabilidades.
Conforme Vaughan (1997) a avaliação e a revisão dos controles e dos riscos devem ser
feitos por duas razões. Primeiro, o gerenciamento de riscos não é estático, ou seja, novos riscos
aparecem, riscos antigos desaparecem, técnicas de controle ficam obsoletas, etc e, segundo, erros
ocorrem continuamente. Avaliar e revisar o gerenciamento dos riscos permite ao gestor revisar as
decisões e corrigir os erros antes que estes se tornem onerosos.
Dantas (2011) afirma que como em todo processo de gestão, o gerenciamento de riscos
também precisa ser monitorado e revisto. O monitoramento deve ser feito com base em vigilância
cotidiana da performance do sistema, uma vez que os cenários são dinâmicos e susceptíveis às
mudanças. A revisão desse processo deve ocorrer periodicamente a respeito de fatos presentes e
com um foco bem específico. Ambas as atividades são essenciais para uma boa gestão dos riscos.
Na pesquisa, verificou-se que nenhuma das instituições realiza a revisão da política, 8% (04
respondentes) realizam de forma parcial, 30% (16 respondentes) estão em fase de iniciação, 21%
11%
21%
13% 11%
43%
0%5%
10%15%20%25%30%35%40%45%50%
75
(11 respondentes) não adotam tal prática e 42% (22 respondentes) não sabem ou não se aplica,
conforme Figura 18, p. 75.
Figura 18: Revisão da política
Conforme justificado, a revisão da política é fundamental, pois as instituições estão em
constante mudanças, seus objetivos mudam, novos requisitos de negócio são implantados e com
isso novos riscos surgem. A não revisão da política deixa a instituição desatualizada no tocante a
GR e segurança da informação e com a sensação de estar “protegida” quanto aos riscos inerentes à
instituição, quando na realidade novos riscos organizacionais surgiram e não estão sendo mitigados
e controlados.
A Q6_3 busca saber a real utilização da política/sistema de gestão de riscos. A questão é:
“A organização executa o processo de gestão de riscos de segurança da informação?”. Esse
questionamento é necessário para saber se os processos de gestão de riscos são seguidos ou se
existe apenas um documento formal na instituição e o mesmo não é implementado e seguido.
Verificou-se que nenhuma das instituições realiza a revisão da política integralmente, 15%
(08 respondentes) realizam de forma parcial, 28% (15 respondentes) estão em fase de iniciação,
15% (08 respondentes) não adotam tal prática e 42% (22 respondentes) não sabem ou não se aplica,
conforme Figura 19, p. 76.
0%
8%
30%
21%
42%
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
Sim.Integralmente
Sim.Parcialmente
Iniciação Não adota Não sei/Não seaplica
76
Figura 19: Execução do Processo Gestão de Riscos
A Q6_4 busca saber se a norma ABNT ISO/IEC 27005:2011 é utilizada na organização. O
questionamento feito é: “A IES seguiu as recomendações e práticas da ISO/IEC 27005:2011 quanto
a abordagem da gestão de riscos de segurança da informação”. Tal norma contém a descrição do
processo de gestão de riscos de segurança da informação e das suas atividades.
Figura 20: Uso da norma 27005:2011
A respeito do uso da norma ABNT ISO/IEC 27005 verifica-se um leve aumento nos
percentuais de uso de tal norma em relação às outras práticas. Verificou-se que 9% (05
respondentes) das instituições realiza a revisão da política, 23% (12 respondentes) realizam de
forma parcial, 17% (9 respondentes) estão em fase de iniciação, 9% (05 respondentes) não adotam
0%
15%
28%
15%
42%
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
Sim.Integralmente
Sim.Parcialmente
Iniciação Não adota Não sei/Não seaplica
9%
23%17%
9%
42%
0%5%
10%15%20%25%30%35%40%45%
Sim.Integralmente
Sim.Parcialmente
Iniciação Não adota Não sei/Nãose aplica
77
tal prática e 42% (22 respondentes) não sabem ou não se aplica. A Figura 20, p. 76 demonstra o
percentual de instituições que utilizam tal norma.
4.2 Gestão de Riscos nas IFES
Essa seção trata de questões específicas sobre a gestão de riscos na instituição. As questões
foram definidas como base na norma ABNT ISO/IEC 27005:2011. Utilizou-se as seções 07, 08,
09 e 11. Esses questionamentos são feitos com o objetivo de visualizar os processos que são
seguidos pela instituição e sua aderência a essa norma.
As questões Q7_1, Q7_2 e Q7_3 são feitas a respeito dos critérios básicos da norma 27005.
A Figura 21, p. 78 apresenta os percentuais obtidos nas respostas. A Q7_1 faz o seguinte
questionamento: “A organização define o escopo e os limites que serão considerados na gestão de
riscos?”. Conforme a norma em questão, o escopo do processo de gestão de riscos de segurança da
informação precisa ser definido para assegurar que todos os ativos relevantes sejam considerados
no processo de avaliação de riscos. Tal etapa é fundamental em um processo de gestão de riscos.
Dantas (2011) afirma que um dos passos importantes na obtenção de um gerenciamento de
riscos é o estabelecimento do escopo de todo processo, tal etapa é tida como um dos fatores críticos
de sucesso. O estabelecimento do escopo é definido na fase de planejamento do ciclo de melhoria
continua dos processos de segurança da informação.
Percebe-se através dos dados analisados que 2% (uma instituição) define integralmente o
escopo e os limites a serem analisados em um processo de gestão de riscos, 11% (09 instituições)
parcialmente, 26% (14 instituições) estão em fase inicial e 51% (27 instituições) não adotam essa
ação e 4% (2 instituições) não sabem ou não adotam.
A Q7_2 questiona se os papéis e responsabilidades para o processo de gestão de riscos estão
definidos. Tal questão é fundamentada através da seção 7.4 da norma ABNT ISO/IEC 27005:2011
onde afirma que convém que a organização e as responsabilidades para o processo de gestão de
riscos de segurança da informação sejam estabelecidas e mantidas. A atribuição de
responsabilidades identifica pessoas com competências para que possam implantar os controles
adequados a cada situação
78
Com relação à definição de papéis e responsabilidades, verifica-se que 17% das
organizações participantes declararam adotar a prática, sendo 4% de modo integral. Esse número
baixo demonstra uma preocupação com relação a tal fator, e é importante que as demais
organizações adotem a prática, tendo em vista garantir o balanceamento de poder e a segregação
de funções críticas, além de viabilizar a implementação das políticas e planos de gestão de riscos.
Para desenvolver um programa de gestão de risco sistemático, as organizações devem
utilizar com as correspondentes adaptações à realidade de cada uma delas, um
framework/metodologia de segurança da informação e gestão de riscos (CASACA, 2014). Com
base nisso foi realizado o questionamento Q7_3: “Sua instituição utiliza alguma metodologia
específica de gestão de riscos?”. Tal questionamento procura saber se existe alguma metodologia,
framework ou modelo utilizado na instituição sobre gestão de riscos.
Obteve-se um percentual de 2% (01 respondente) de instituições que adotam integralmente
alguma metodologia, 8% (04 respondentes) parcialmente, 29% (15 respondentes) em fase inicial,
58% (30 respondentes) não adotam e 6% (03 respondentes) não sabem ou não se aplica.
Figura 21: Questões referentes a seção 07 da ISO 27005
Q 7_1 - A organização define o escopo e os limites que serão considerados na gestão de riscos
Q 7_2 - Os papéis e responsabilidades para o processo de gestão de riscos estão definidos?
Q 7_3 - Sua instituição utiliza alguma metodologia específica de gestão de riscos?
As questões Q8_1 a Q8_6 foram formuladas com base na seção 08 da norma ABNT
ISO/IEC 27005:20011 e tratam a respeito da identificação dos riscos.
Sim.Integralmente
Sim.Parcialmente
Iniciação Não adotaNão sei/Não se
aplica
Q 7_1 2% 17% 26% 51% 4%
Q 7_2 4% 13% 25% 57% 2%
Q 7_3 2% 8% 29% 58% 6%
0%
10%
20%
30%
40%
50%
60%
70%
Questões referentes a seção 07 da ABNT ISO/IEC 27005
79
A Gestão de Ativos é um tema de suma importância para a segurança da informação. Os
ativos compõem os processos que manipulam e processam a informação, a contar da própria
informação, o meio em que ela é armazenada, os equipamentos em que são manuseados,
transportados e descartados, isso demonstra a importância de uma gestão eficaz dos ativos
(SÊMOLA, 2013).
Segundo a norma ABNT ISO/IEC 27002 o objetivo da gestão de ativos é alcançar e manter
a proteção adequada dos ativos da organização, com isso torna-se necessário que os ativos sejam
inventariados e tenham um proprietário responsável e a eles seja atribuída a responsabilidade pela
manutenção apropriada dos controles como forma de prevenção a esses ativos (ABNT, 2013).
Com base na importância da identificação e controle dos ativos a Q8_1 faz o seguinte
questionamento: “Os ativos da instituição são identificados, com seus responsáveis, localidades e
funções definidas?”.
A Figura 22, p. 80 demonstra os resultados do questionamento. Obteve-se um percentual
de 4% (02 respondentes) instituições que adotam integralmente alguma metodologia, 35% (18
respondentes) parcialmente, 37% (19 respondentes) em fase inicial, 23% (12 respondentes) não
adotam e 2% (1 respondente) não sabem ou não se aplica. Percebe-se que mesmo com poucas
instituições tendo um plano de gestão de riscos definido, grande parte das instituições buscam
proteger seus ativos, realizando a identificação dos mesmos com seus respectivos responsáveis.
Isso demonstra que as instituições ainda possuem o paradigma ou o pensamento de que proteger o
ativo é dar segurança a organização, sendo que esse é apenas um dos fatores para se alcançar a
segurança.
As Q 8_2 e Q 8_3 tratam sobre ameaças e controles de riscos. A análise de ameaças também
é um item importante para a Gestão de Riscos. As ameaças são eventos negativos que ocorrem
quando uma vulnerabilidade ou fraqueza é explorada e que podem ter impacto nos objetivos do
negócio, podendo resultar em perda, divulgação ou avaria de um ativo da organização ou é algo
que terá um efeito adverso na organização. O objetivo da análise das ameaças é identificar as
ameaças que tem o potencial para explorar as vulnerabilidades e afetar negativamente os ativos
(CASACA, 2015).
A ABNT ISO/IEC 27005 afirma que convém que as ameaças e suas fontes sejam
identificadas. Além disso, os controles existentes e os planejados devem ser identificados para que
80
se possa evitar custos e trabalhos desnecessários. Com base na necessidade de uma análise de
ameaças e seus controles foram realizados os questionamentos através da Q8_2: “As potenciais
ameaças e suas fontes são identificadas e catalogadas pela instituição” e Q8_3: “Os controles
existentes para o tratamento de riscos são identificados e catalogados?”.
Figura 22: Questões referentes a ABNT ISO/IEC 27005-Seção 08
Q 8_1 - Os ativos da instituição são identificados, com seus responsáveis, localidades e funções
definidas?
Q 8_2 - As potenciais ameaças e suas fontes são identificadas e catalogadas pela instituição?
Q 8_3 - Os controles existentes para o tratamento de riscos são identificados e catalogados?
Os resultados obtidos nessas questões (Q 8_1, Q 8_2 e Q 8_3) revelam a situação das
instituições e mostram que existe um trabalho sendo realizado, mesmo que de forma incipiente ou
inicial, porém isso é pouco para as instituições que buscam gerir seus riscos e proteger seus ativos.
Para Casaca (2014) uma vulnerabilidade é uma característica de um sistema físico que
permite que uma ameaça possa ser explorada ou uma falha em um controle pode permitir que um
agente possa explorar e obter acesso não autorizado aos ativos organizacionais. A análise de
vulnerabilidades tem como objetivo determinar os pontos fracos (vulnerabilidades) que podem ser
explorados pelas ameaças identificadas e que podem ter impactos negativos nos ativos previamente
identificados.
O autor LV (2011) afirma que a identificação das vulnerabilidades é o passo mais
importante do processo de avaliação de riscos. A vulnerabilidade é dividida em dois tipos:
Sim.Integralmente
Sim.Parcialmente
Iniciação Não adotaNão sei/Não se
aplica
Q 8_1 4% 35% 37% 23% 2%
Q 8_2 0% 15% 38% 46% 2%
Q 8_3 0% 4% 38% 60% 0%
0%
10%
20%
30%
40%
50%
60%
70%
Questões referentes a ABNT ISO/IEC 27005
81
tecnológicas e organizacionais. O valor quantificado da vulnerabilidade é devido ao dano que é
causado, caso os ativos sejam expostos às ameaças que exploram as vulnerabilidades com êxito.
Ainda, segundo a norma ISO 27001, convém que as vulnerabilidades que podem ser
exploradas por ameaças para comprometer os ativos ou a organização, sejam identificadas. Com
base nessa norma e na importância de se identificar e conhecer as vulnerabilidades foi realizado o
questionamento Q8_4: “As vulnerabilidades são conhecidas?”. Verificou-se que poucas
instituições buscam conhecer as vulnerabilidades de seus ativos, apenas 30% das instituições fazem
isso de forma parcial, fato esse preocupante, pois como as vulnerabilidades de seus ativos são
desconhecidas não se pode aplicar os controles corretos e necessários para a proteção dos ativos da
instituição.
Figura 23: Questões referentes a ABNT ISO/IEC 27005-Seção 08
Q 8_4 - As vulnerabilidades são conhecidas?
Q 8_5 - A instituição define abordagens de análise a avaliação de riscos da organização?
Q 8_6 - A organização define formalmente os níveis de risco de TI aceitáveis na consecução de
seus objetivos (apetite a risco)?
A análise de riscos busca identificar os ativos de negócio que a organização pretende
proteger e as ameaças a que estes ativos estão expostos. O objetivo da análise de riscos é identificar
e avaliar todos os riscos e sugerir um conjunto de controles que permitem reduzir os riscos para
um nível aceitável (CASACA, 2014).
A análise de riscos tem de ser encarada como um instrumento fundamental para
diagnosticar a situação atual de segurança da empresa ou organização através da sinergia entre o
Sim.Integralmente
Sim.Parcialmente
Iniciação Não adotaNão sei/Não se
aplica
Q 8_4 0% 30% 49% 21% 0%
Q 8_5 0% 6% 38% 56% 2%
Q 8_6 0% 10% 27% 63% 2%
0%
10%
20%
30%
40%
50%
60%
70%
Questões referentes a ABNT ISO/IEC 27005 - Seção 08
82
entendimento dos desafios do negócio, mapeamento de funcionalidades do negócio e
relacionamento deles com a diversidade de ativos físicos, tecnológicos e humanos que hospedam
falhas de segurança (SÊMOLA, 2013).
Para Tuyikeze e Flowerday (2014) a “avaliação de risco ajuda as organizações tomarem
suas decisões sobre quais os riscos estão dispostos a aceitarem e aos quais se deve mitigar”. Eles
descrevem cinco atividades que a organização precisa realizar na análise de riscos, são elas:
identificar os ativos que devem ser protegidos; listar todas as ameaças que podem causar danos aos
ativos; identificar em definitivo essas ameaças; avaliar essas ameaças e suas vulnerabilidades e por
último identificar os controles que devem ser implementados a fim de mitigar os riscos
encontrados.
O Acórdão 1.603/2008-TCU-Plenário em seu item 9.2. recomenda ao Gabinete de
Segurança Institucional da Presidência da República - GSI/PR que oriente os órgãos/entidades da
Administração Pública Federal sobre a importância do gerenciamento da segurança da informação,
promovendo, inclusive mediante orientação normativa, ações que visem estabelecer e/ou
aperfeiçoar a gestão da continuidade do negócio, a gestão de mudanças, a gestão de capacidade, a
classificação da informação, a gerência de incidentes, a análise de riscos de TI, a área específica
para gerenciamento da segurança da informação, a política de segurança da informação e os
procedimentos de controle de acesso;
Com a importância dada à necessidade da análise e avaliação de riscos foram elaboradas as
questões Q8_5 e Q8_6 respectivamente: “A instituição define abordagens de análise a avaliação
de riscos da organização?” e “A organização define formalmente os níveis de risco de TI aceitáveis
na consecução de seus objetivos (apetite a risco)?”.
Obteve-se um percentual de 6% das instituições que definem a abordagem de análise e
avaliação de riscos e 38% em fase de iniciação e cerca de 56% das intuições não adotam tal prática.
Com relação à definição do apetite ao risco de TI (Q 8_6), os números demonstram que
essa ainda é uma prática distante para as instituições analisadas, haja vista que apenas 10% adotam
a pratica de forma parcial e 27% estão em fase inicial.
O que se busca definindo o apetite a risco é a redução dos riscos até um nível aceitável de
acordo o plano de tratamento de riscos. Muitas vezes não é viável o tratamento do riscos, devido a
relação custo X benefício. Alguns riscos tendem ao infinito em termos monetários e é preferível
83
para a instituição tratar o risco até um nível aceitável, do que gastar excessivamente recursos na
obtenção de se extinguir o risco.
Percebe-se com isso os benefícios quando se define o apetite a risco da instituição,
garantindo que não se gaste excessivamente recursos em riscos que muitas vezes são inviáveis o
seu tratamento completo, devendo-se apenas aplicar os controles necessários para mitigação desses
riscos ou até mesmo aceitar o risco de acordo com os critérios definidos no plano de tratamento
dos riscos.
As questões seguintes fazem menção à seção 09 da norma ABNT ISO/IEC 27005 que
buscam saber sobre o tratamento dos riscos aplicado na Instituição. Segundo a norma existem
quatro opções disponíveis para o tratamento dos riscos que são: modificação do risco, retenção
do risco, ação de evitar o risco e compartilhamento do risco. Essas ações para o tratamento do
risco devem ser selecionadas com base no resultado do processo de avaliação do risco, no custo
esperado para implementação e nos benefícios previstos. Com base na explanação foram realizadas
as questões Q9_1, Q9_2 e Q9_3. A Figura 24, p. 84 ilustra o percentual das respostas.
A Q9_1 faz o questionamento: “Existe um processo documentado para o tratamento dos
riscos?”. Tal ação é necessária para que haja uma padronização a respeito do tratamento dado aos
riscos. Um processo documentado garante que quem realizou o tratamento dos riscos o fez de forma
adequada e com base nos preceitos seguidos pela norma aplicados a instituição. Além disso um
procedimento documentado pode ser auditado posteriormente e servir como base para novos
tratamentos aplicados aos ativos.
Apenas 6% dos entrevistados declararam dispor parcialmente de um processo documentado
para o tratamento dos riscos e 26% encontram-se em fase de iniciação, número bem abaixo do
esperado e revela o quão incipiente encontram-se as instituições no tocante à gestão de riscos.
A Q9_2 “A Identificação e avaliação das opções de tratamento de riscos são realizadas com
base na avaliação de riscos?”.
Como grande parte das instituições avaliadas não possuem um procedimento definido e
documentado para tratamento dos riscos, acabou refletindo na questão em um baixo nível nas
respostas da questão Q 9_2. A instituição não possuindo um processo definido acaba acarretando
de que as mesmas não consigam realizar a identificação e tratamento dos riscos com base nas
84
avaliações de riscos. É o que se nota no percentual de respostas da Q 9_2, onde apenas 6% realizam
de forma parcial tal procedimento.
A estratégia a adotar para o tratamento dos riscos é função da apetência ao risco, tolerância
ao risco e cultura de risco da organização. É, portanto, em função dessas variáveis e após a
determinação da exposição ao risco que a organização vai definir qual o tipo de tratamento dar a
cada um dos riscos identificados (CASACA, 2014).
A norma ABNT ISO/IEC 27005 também explana a necessidade de tratamentos dos riscos
para uma gestão de riscos adequada, com isso foi realizado o questionamento Q9_3 “A instituição
tem ações para reter, evitar ou compartilhar o risco?”.
Essas ações são necessárias para uma boa gestão de risos. Percebe-se uma evolução em
relação às outras perguntas, cerca de 13% dos entrevistados realizam as ações para reter/evitar ou
compartilhar os riscos de forma parcial e 34% em processo de iniciação.
Figura 24: Questões referentes a ABNT ISO/IEC 27005 – Seção 09
Q 9_1 - Existe um processo documentado para o tratamento dos riscos?
Q 9_2 - A Identificação e avaliação das opções de tratamento de riscos são realizadas com base
na avaliação de riscos?
Q 9_3 - A instituição tem ações para reter, evitar ou compartilhar o risco?
Nota-se através dos percentuais obtidos, que poucas atividades de gestão de riscos são
implantadas nas instituições e que as IFES carecem de uma "orientação especifica" sobre "o que
fazer" e "como fazer" a respeito da implementação de um SGRSI que fomente a elevação nos
níveis de segurança da informação dessas instituições.
Sim.Integralment
e
Sim.Parcialmente
Iniciação Não adotaNão sei/Não
se aplica
Q 9_1 0% 6% 26% 64% 4%
Q 9_2 0% 6% 26% 64% 4%
Q 9_3 0% 13% 34% 51% 2%
0%10%20%30%40%50%60%70%
Títu
lo d
o E
ixo
Questões referentes a ABNT ISO/IEC 27005-Seção 09
85
A Q10 diz respeito à Comunicação e consulta sobre as decisões inerentes a Gestão de
Riscos. O questionamento feito é “A instituição obtém aprovação da direção dos riscos residuais
propostos?”.
Os resultados obtidos demonstram que poucas instituições realizam a comunicação e
consulta dos riscos residuais junto a alta administração, item esse fundamental em um processo de
gestão de riscos. Apenas 6% realizam a comunicação a alta administração sobre o risco residual e
30% encontram-se em fase inicial de tal ação. A Figura 25, p. 85 demonstra de forma detalhada o
resultado do questionamento realizado.
Figura 25: Comunicação e Consulta sobre os riscos
O risco residual é o risco remanescente após o tratamento dos riscos. Os controles
implementados deverão reduzir o risco, deixando apenas um risco residual. Segundo CASACA
(2014) uma adequada segurança da informação e dos sistemas que processam é responsabilidade
da gestão da organização, tendo em vista que a gestão deve conhecer o estado atual do programa
de segurança da informação e dos controles implementados, de forma a tomar as decisões mais
adequadas e decidir pelos investimentos mais econômicos que mitiguem o risco para um nível
adequado.
Além disso, a gestão deve estar ciente dos riscos residuais que permaneceram após a
utilização de medidas de controle e tratamento dos riscos. A aceitação do risco é importante, pois
é onde os gestores registram formalmente a aceitação do risco residual.
0%6%
30%
57%
7%
Comunicação e Consulta
Sim, Integralmente
Sim, Parcialmente
Iniciação
Não adota
Não se aplica
86
4.3 Proposta de Diretrizes Estratégicas de Gestão de Riscos
Tal seção busca obter as principais estratégicas a serem adotadas nas instituições federais
de ensino superior no tocante à gestão de riscos. As respostas dadas aos questionamentos dessa
seção darão um embasamento a respeito dos principais pontos a serem focados no desenvolvimento
da diretriz a ser utilizada nas instituições.
Para Liang (2013) o processo de gestão de riscos de uma organização é dividido em 03
(três) níveis de forma que aborda o risco ao nível da organização, da missão/processo de negócio
e do sistema de informação. A Figura 26, p. 86 ilustra a abordagem em três níveis.
Nível 01 - Nível de organização, provê o contexto para todas as atividades de
gestão de riscos realizadas pelas organizações. Estas atividades de
gerenciamento de riscos afetam as atividades realizadas nos níveis 01 e 02.
Nível 02 – Nível de Processo de negócio, nesta fase com base nas informações
do nível 01 a organização define os processos de missão / negócio e os priorizam
em relação aos objetivos estratégicos da organização
Nível 03 – Nível de SI, direciona o risco a partir de uma perspectiva de sistema
de informação e é guiada pelas decisões de risco em nível 1 e 2
Figura 26: Gerenciamento de Riscos por Níveis
Fonte: Liang, (2013).
87
As diretrizes desta dissertação, devido seu caráter estratégico irão se basear no nível 01 ou
nível organizacional, ou seja, em uma perspectiva de mais alto nível organizacional. Com base
nesse quesito os questionamentos foram feitos levando-se em conta as estratégicas a serem
seguidas pelas IFES.
O fluxo de atividades realizadas neste trabalho seguiu os passos da Figura 27, p. 88.
89
No questionamento realizado pela Q11, é solicitado ao respondente do questionário que
“ponderar a concordância das diretrizes estratégicas a serem adotadas para que se possa alcançar
uma gestão de riscos nas instituições federais de ensino superior?”. As diretrizes estratégicas
utilizadas nessa questão foram baseadas das normas ABNT ISO/IEC 27005, ABNT ISO/IEC
31000, framework COBIT 5 e COBIT 5 for risk e nos trabalhos selecionados através da revisão
sistemática da literatura. As opções disponíveis no questionamento são:
Quadro 8: Diretrizes e Referencias
Diretriz Estratégica Referências
Apoio da alta administração; YEO (2014), SCHNEIDER, (2010)
Linguagem padrão e de fácil entendimento; ZHANG (2010), SEDINIC e PERUSIC (2015)
Conscientização dos stakeholders a respeito da Gestão
de Riscos;
FENS (2011), SILLABER e BREU (2015), SCHNEIDER
(2010), SEDINIC e PERUSIC (2015), MOYO (2013)
Treinamento especifico sobre GRSI FENS (2011), MOYO, (2013)
Alinhamento da GR com a estratégia global da
organização
SCHNEIDER, (2010), ZHANG (2010)
Definição de papéis e responsabilidades LV (2011), ZHANG (2010)
Comprometimento da direção YEO (2014), SILLABER e BREU (2015), SCHNEIDER,
(2010), SAMY, AHMAD e ISMAIL (2010)
Publicidade no tratamento da informação de acordo
com os critérios legais
SAMY, AHMAD e ISMAIL (2010)
Celeridade na identificação e no tratamento dos riscos MAYER e AUBERT, 2014
Clareza nas regras de GRSI SILLABER e BREU (2015), SCHNEIDER, (2010),
ZHANG (2010)
Atualização periódica da política/diretriz de gestão de
riscos
LIANG, 2013, LV, 2011
Efetividade e eficiência no alcance dos objetivos da
GR
MAYER e AUBERT (2014), BREIER e HUDEC (2015),
SAMY, AHMAD e ISMAIL (2010), GUANGFU (2010),
ZHANG (2010), KIRAN (2014), SEDINIC e PERUSIC
(2015)
Orientação técnica em medidas de segurança FENS (2011), ZHANG (2010), SHI (2012), SILVA, 2014
Mapeamento dos Riscos MAYER e AUBERT (2014), FENS (2011), LIANG
(2013), LV (2011)
90
Figura 28: Diretrizes Estratégicas
1. Apoio da alta administração
2. Linguagem padrão e de fácil entendimento
3. Conscientização dos stakeholders a respeito da Gestão de Riscos
4. Treinamento especifico sobre GRSI
5. Alinhamento da Gestão de Riscos com a estratégia global da organização
6. Definição de papéis e responsabilidades
7. Comprometimento da direção
91
Figura 29: Diretrizes Estratégicas
8. Publicidade no tratamento da informação de acordo com os critérios legais
9. Celeridade na identificação e no tratamento dos riscos
10. Clareza nas regras de GRSI
11. Atualização periódica da política/diretriz de gestão de riscos
12. Efetividade e eficiência no alcance dos objetivos da gestão de riscos
13. Orientação técnica em medidas de segurança
14. Mapeamento dos Riscos
92
A Figura 28, p. 90 e Figura 29, p. 91 e demonstram as respostas dadas pelos respondentes
ao nível de concordância com as diretrizes estratégicas.
Ainda sobre a Q11, a mesma foi elaborada utilizando a escala LIKERT de 05 pontos,
conforme Quadro 9. Tal questão foi elaborada para obtenção da importância de cada diretriz
estratégica para as IFES com base nos achados da revisão sistemática da literatura.
Quando questionados, os respondentes informaram sua opinião quanto ao grau de
importância das 14 estratégicas citadas. As opções de respostas variam de Não concordo
totalmente (1) a Concordo totalmente (5), sendo que a cada grau foi atribuído um valor (ponto),
conforme Quadro 9, p. 20.
Quadro 9: Grau de Concordância das Diretrizes Estratégicas
Não concordo
totalmente
Não concordo
parcialmente Indiferente
Concordo
parcialmente
Concordo
totalmente
1 2 3 4 5
A tabulação dos dados coletados do questionário foi realizada conforme trabalho de
Oliveira (2016). Multiplicou-se as pontuações das respostas (PR) com a quantidade de
respondentes (QR), somando-as e, posteriormente, dividindo-se o resultado pelo número de
respondentes (NR), o que confere o grau de concordância da Diretriz Estratégica (GC).
Figura 30 - Fórmula do Grau de Concordância
GC = ∑PR. QR
𝑁𝑅
Fonte: Adaptado de Oliveira (2016)
Estabelecida a fórmula foi possível identificar o grau de importância/concordância de cada
diretriz estratégica de Gestão de Riscos para as IFES, conforme apresentado no Quadro 10, p. 92.
Quadro 10: Hierarquia das Diretrizes Estratégicas
ID D.EST Diretriz Estratégica Grau de Concordância
1 Apoio da alta administração 4,40
7 Comprometimento da direção 4,21
14 Mapeamento dos Riscos 3,94
3 Conscientização dos stakeholders a respeito da Gestão de Riscos 3,92
6 Definição de papéis e responsabilidades 3,83
2 Linguagem padrão e de fácil entendimento 3,81
93
5 Alinhamento da Gestão de Riscos com a estratégia global da organização 3,72
9 Celeridade na identificação e no tratamento dos riscos 3,68
10 Clareza nas regras de GRSI 3,68
13 Orientação técnica em medidas de segurança 3,58
12 Efetividade e eficiência no alcance dos objetivos da GR 3,55
8 Publicidade no tratamento da informação de acordo com os critérios legais 3,51
4 Treinamento especifico sobre GRSI 3,47
11 Atualização periódica da política/diretriz de gestão de riscos 3,19
De acordo com o resultado obtido, pode-se aferir que o fator humano é uma das principais
ações que devem ser trabalhadas nas IFES para que se possa elevar a gestão de riscos da
organização. Dentre as 05 (cinco) diretrizes estratégicas consideradas com maior concordância ou
importância (Apoio da alta administração, Comprometimento da direção, Mapeamento dos Riscos,
Conscientização dos stakeholders a respeito da Gestão de Riscos e definição de papéis e
responsabilidades), tem-se que 04 (quatro) diretrizes são inerentes ao fator humano.
Na questão Q12 buscou-se saber quais eram as diretrizes estratégicas utilizadas na
instituição, pediu-se para que os respondentes selecionassem dentre as opções disponíveis e
deixou-se um campo denominado “outros” para que os respondentes pudessem descrever alguma
diretriz estratégica que não estava disponível entre as opções. O campo “outros” não obteve
nenhuma resposta. As opções de respostas foram obtidas através das normas ISO 27005 e 31000,
NIST-SP 800-30, frameworks COBIT 5 e COBIT 5 for risk e dos documentos obtidos através da
revisão sistemática:
Busca do apoio da alta administração
Utilização de linguagem padrão e de fácil entendimento
Conscientização dos stakeholders a respeito da Gestão de Riscos
Treinamento específico sobre GRSI
Alinhamento da Gestão de Riscos com a estratégia global da organização
Definição de papéis e responsabilidades
Comprometimento da direção
Publicidade no tratamento da informação de acordo com os critérios legais
Celeridade na identificação e tratamento dos riscos
94
Clareza nas regras de GRSI
Atualização periódica na Política/diretriz de Gestão de Riscos
Efetividade e Eficiência no alcance dos objetivos da GR
Orientação técnica em medidas de segurança
Mapeamento dos Riscos
Outros
Figura 31: Diretrizes Estratégicas aplicadas nas Instituições
A descrição de cada uma das diretrizes estratégicas está disponibilizada na seção 4.4 deste
trabalho.
Para que se pudesse identificar as principais diretrizes estratégicas utilizadas nas IFES com
o melhor nível de GR, criou-se um ranking das instituições respondentes. Com o ranking
identificou-se as instituições mais bem classificadas e quais diretrizes estratégias de gestão de
riscos são ou não utilizadas por essas instituições.
Para se obter as notas das IFES a serem utilizadas no ranking, utilizou-se a fórmula
demonstrada na Figura 32, p.95, esta figura mostra o cálculo para se obter o ranking das IFES no
tocante ao seu Grau de Gestão de Riscos (GGR):
68%
23%
43%
8%
26%
45%
43%
11%
6%
11%
11%
0%
36%
32%
0% 20% 40% 60% 80%
Busca do apoio da alta administração (SQ001)
Utilização Linguagem Padrão e de Fácil…
Conscientização dos stakeholders a respeito da…
Treinamento especifico sobre GRSI (SQ004)
Alinhamento da Gestão de Riscos com a estratégia…
Definição de papéis e responsabilidades (SQ006)
Comprometimento da direção (SQ007)
Publicidade no tratamento da informação de…
Celeridade na identificação e tratamento dos…
Clareza nas regras de GRSI (SQ010)
Atualização periódica na Politica/diretriz de…
Efetividade e Eficiencia no alcance dos objetivos…
Orientação técnica em medidas de segurança…
Mapeamento dos Riscos (SQ014)
95
Figura 32: Cálculo para obtenção do ranking
𝐺𝐺𝑅 = ∑(GC𝑖 ∗ 𝐸𝑆𝑇𝑖.)
14
𝑖=1
Fonte: Adaptado de Oliveira (2016)
Onde: GC = Grau de Concordância dos gestores em relação às Diretrizes estratégicas (Quadro 9);
EST = Implementação da diretriz estratégica na instituição – Podendo ter dois valores (0 e 1) 0 (não
implementa) e 1 (implementa)
O Grau de Concordância GC é o valor definido através das respostas obtidas pelos
gestores, seu valor está disponibilizado no Quadro 10, p. 92 e a sua fórmula está disponível na
Figura 30, p. 92.
A Diretriz estratégica (EST) foi calculada com base na adoção ou não da diretriz estratégica,
pergunta Q11 e sub perguntas do questionário, caso a instituição utilize a diretriz estratégica na
instituição o valor utilizado será 1 (um), caso não seja utilizado o valor será 0 (zero), este critério
é o mesmo utilizado pelo TCU em sua análise do IGOVTI (índice de governança de tecnologia da
informação). A Figura 33, p. 95 demonstra um exemplo de como obter a nota da IFES.
Figura 33: Exemplo do cálculo para se obter a nota da IFES.
𝐺𝐺𝑅 = (𝐺𝐺1 ∗ 𝐸𝑆𝑇1 + 𝐺𝐺2 ∗ 𝐸𝑆𝑇2 + 𝐺𝐺3 ∗ 𝐸𝑆𝑇3 + ⋯ + 𝐺𝐺14 ∗ 𝐸𝑇𝑆14 ) = 41,83
Fonte: adaptado de Oliveira (2016)
Com os dados coletados e as notas obtidas das IFES foi possível criar o ranking destas
instituições. A Figura 34 p. 95 apresenta as notas obtidas por essas IFES no quesito Grau de Gestão
de Ricos.
Figura 34: :Ranking Geral IFES
96
A partir do resultado obtido com o cálculo de todos os respondentes, selecionou-se as 34
(trinta e quatro) IFES, que obtiveram o nível mais elevado de gestão de riscos e buscou-se
identificar quais as diretrizes estratégicas são seguidas e utilizadas por essas instituições. Esse
número de 34 foi obtido aplicando a fórmula já apresentada na Figura 10: Cálculo de Amostra
Finita, p. 63, considerando o percentual de 53 instituições como tamanho da amostra.
Figura 35: Cálculo de Amostra Finita
𝒙 =𝟏𝟐. 𝟓𝟎. 𝟓𝟎. 𝟓𝟑
𝟓𝟐(𝟏𝟎𝟒 − 𝟏)+𝟏𝟐. 𝟓𝟎. 𝟓𝟎=
𝟐𝟔𝟎𝟎𝟎𝟎
𝟓𝟎𝟕𝟒= 𝟑𝟒, 𝟖𝟕
Fonte: Adaptado de Gil (2009).
O Quadro 11, p. 96 apresenta estas instituições e destaca as diretrizes estratégicas utilizadas
por todas as 34 melhores instituições posicionadas no ranking. O ranking completo está disponível
no APÊNDICE B – RANKING IFES GESTÃO DE RISCOS desta dissertação.
Quadro 11: Ranking Instituições Dir. Estratégicas
Instituição Est1 Est2 Est3 Est4 Est5 Est6 Est7 Est8 Est9 Est10 Est11 Est12 Est13 Est14 Média
IFES28 1 1 0 1 1 1 1 1 1 1 0 0 1 1 41,83
IFES48 1 1 1 0 1 1 1 1 0 1 1 0 1 1 41,79
IFES36 1 1 1 0 1 1 1 0 0 1 1 0 0 1 34,7
IFES50 1 1 1 0 1 1 1 0 0 1 1 0 0 1 34,7
IFES47 1 1 1 0 1 1 1 0 0 1 0 0 0 1 31,51
IFES32 1 0 1 1 0 1 1 0 0 1 0 0 0 1 27,45
IFES25 1 0 1 0 1 1 0 0 1 0 0 0 1 1 27,07
IFES51 0 1 0 0 1 1 0 1 1 0 0 0 1 1 26,07
IFES13 1 1 1 1 0 0 1 0 0 0 0 0 0 1 23,75
IFES21 1 0 1 0 0 1 1 0 0 0 0 0 0 1 20,3
IFES45 1 0 1 0 0 1 1 0 0 0 0 0 1 0 19,94
IFES49 1 0 1 0 0 1 1 0 0 0 0 0 1 0 19,94
IFES46 1 1 0 0 0 1 1 0 0 0 0 0 1 0 19,83
IFES14 1 0 0 0 1 1 1 0 0 0 0 0 1 0 19,74
IFES33 1 0 0 0 0 1 1 1 0 0 0 0 1 0 19,53
IFES26 1 0 1 0 0 0 1 0 0 0 1 0 1 0 19,3
IFES41 0 0 1 0 0 1 1 0 0 0 1 0 0 1 19,09
IFES05 1 1 0 0 0 0 1 1 0 0 0 0 0 0 15,93
IFES16 0 0 1 0 1 0 1 0 0 0 0 0 0 1 15,79
IFES01 1 0 0 0 0 1 0 0 0 0 0 0 1 1 15,75
IFES17 1 1 0 0 0 0 0 0 0 0 0 0 1 1 15,73
IFES09 1 0 1 0 0 0 0 1 0 0 0 0 1 0 15,41
IFES08 0 0 1 0 1 0 0 0 0 0 0 0 1 1 15,16
97
IFES37 0 0 1 0 0 1 1 0 0 0 1 0 0 0 15,15
IFES03 1 0 1 0 0 0 1 0 0 0 0 0 0 0 12,53
IFES20 1 0 0 0 0 1 1 0 0 0 0 0 0 0 12,44
IFES30 1 0 1 0 0 0 0 0 0 0 0 0 0 1 12,26
IFES42 1 0 0 0 0 0 1 0 0 0 0 0 1 0 12,19
IFES18 1 0 0 0 1 1 0 0 0 0 0 0 0 0 11,95
IFES43 1 0 0 0 1 1 0 0 0 0 0 0 0 0 11,95
IFES34 0 1 1 0 0 0 1 0 0 0 0 0 0 0 11,94
IFES15 1 0 0 0 0 0 1 0 0 0 0 0 0 0 8,61
IFES53 1 0 0 0 0 0 0 0 0 0 0 0 0 1 8,34
IFES12 1 0 1 0 0 0 0 0 0 0 0 0 0 0 8,32
TOTAL 28 11 20 3 12 20 23 6 3 6 6 0 15 17
Observou-se que as 05 (cinco) diretrizes estratégicas mais utilizadas pelas 34 IFES
melhores classificadas são: EST1 (Apoio da alta administração), EST3 (Conscientização dos
stakeholders a respeito da Gestão de Riscos), EST6 (Definição de papéis e responsabilidades),
EST7 (Comprometimento da direção) e EST14 (Mapeamento dos Riscos), tais diretrizes estão
apresentadas na Figura 36, p. 97:
Figura 36:Diretrizes Estratégicas prioritárias
Diretrizes Estratégicas
Apoio da alta administração
Definição de Papéis e
responsabilidades
Comprometimento da direção
Conscientização dos Stakeholders
Mapeamento dos riscos
98
Com base neste resultado, pode-se considerar que tais diretrizes estratégicas devem ser
prioritariamente aplicadas em uma IFES que deseja obter a potencialização de sua gestão de riscos
na instituição. Apesar das demais diretrizes estratégicas não serem utilizadas de forma integral em
todas essas instituições, não significa que as mesmas não necessitam ser implantadas, mas deve-se
haver uma priorização das diretrizes no contexto da instituição.
Alguns fatores ambientais foram analisados como: a região do país no qual a IFES está
localizada; tempo de criação da IFES; se a mesma é um instituto federal de educação ou
universidade federal; se possuem setores específicos para tratar de segurança da informação e; se
possuem política de gestão de riscos.
Verificou-se que entre as 10 (dez) IFES melhores classificadas no ranking, 04 (quatro) estão
localizadas na região sudeste do Brasil, fato esse que pode ser considerado de relevância, pois
grande parte do polo industrial e tecnológico do país está localizado nesta região. Entre estas dez
instituições melhores classificadas, 05 (cinco) são universidades e 05 (cinco) são institutos federais
de educação, demonstrando que as mesmas estão em um mesmo patamar quando se considera a
gestão de riscos de TI.
Outro quesito analisado foi o tempo de criação de cada instituição, dentre as 10 (dez) IFES
melhores classificadas, 08 (oito) foram fundadas no período de 1909 e 1960, fato este considerado
um determinante para a boa classificação destas instituições no ranking, pois grande parte das
instituições já possuem papéis, setores, divisões bem definidas o que acarretou em uma maturidade
nos processos de gestão de riscos de TI.
Considerando as respostas das IFES com melhor resultado, e realizando um comparativo
com a Q3 (Sua instituição tem um setor especifico para tratar da Segurança da Informação?), Q5
(A instituição possui um sistema/política de gestão de riscos de segurança da informação
formalmente instituída, como norma de cumprimento obrigatório?) e Q6_1 (A alta administração
é parte importante no desenvolvimento do SGRSI?), observa-se as seguintes características:
11 (quatro) possuem na estrutura organizacional um setor específico para tratar de
segurança da informação. A designação ou criação de um setor específico para tratar
da segurança da informação é um dos fatores que pode elevar o nível de gestão
estratégica de uma instituição no tocante a gestão de riscos.
99
01 (uma) instituição tem a política/sistema de gestão de riscos integralmente
implementada
12 (doze) estão com a política/sistema de gestão de riscos parcialmente
implementada, e dentre as doze;
02 (duas) IFES estão em fase de iniciação; e
A participação da alta administração foi parte importante no
desenvolvimento da política de apenas 01 (uma) instituição e 07 (sete) de
forma parcial, fato esse considerado necessário para que uma política tenha
efetividade.
Estes fatos são preocupantes e demonstram que as IFES ainda não estão tomando as
iniciativas adequadas para aplicar a gestão de riscos de forma integral em suas instituições, mesmo
com normativas do governo que recomendam que a atividade de gestão de riscos de TI seja
realizada mediante um processo formalmente instituído.
O questionário utilizado neste trabalho também se propôs a verificar a situação das IFES
no tocante a adoção das atividades previstas nas seções 07 a 10 da ISO 27005. Considerando a
relação entre as principais diretrizes estratégicas identificadas na pesquisa, vide Figura 36, p. 97, e
a norma ISO 27005, as principais seções implantadas pelas IFES são a seção 08 e 09, conforme
Quadro 13, p. 101.
A Figura 37, p. 100 apresenta uma melhor explanação das etapas realizadas até se chegar a
essas seções 08 e 09 da ISO 27005. Primeiramente, através da revisão sistemática da literatura se
obteve 14 diretrizes estratégicas, destas 14 diretrizes, buscou-se verificar quais diretrizes deveriam
ser priorizadas para adoção nas IFES, para isso criou-se um ranking das IFES e verificou-se as 05
principais diretrizes utilizadas pelas IFES mais bem classificadas nesse ranking e levando ainda
em consideração esse ranking verificou-se quais seções da ISO eram mais utilizadas por essas 06
instituições.
100
Figura 37:Diretrizes Estratégicas e ISO
Para se obter as principais seções da ISO 27005 implantadas nas 34 IFES mais bem
classificadas, utilizou-se das respostas das questões Q_8 a Q_10, estas questões são específicas
sobre a implantação da ISO nas instituições.
O cálculo foi obtido fazendo o somatório das atividades que são implantadas nas 34
instituições, vide Quadro 11, p. 96, com isso foi possível verificar quais seções da ISO são
consideradas prioritárias ou mais utilizadas nestas instituições, o Quadro 13, p. 101 demonstra o
somatório dessas atividades e o resultado dos cálculos. Utilizou-se do mesmo critério adotado pelo
TCU em sua abordagem de coleta e análise de dados feitas no levantamento do IGOV TI 2014
(índice de governança de tecnologia da informação) com o uso de critérios e pesos/pontuação. A
escala de respostas está disponibilizada no Quadro 12, p. 100.
Quadro 12:Critérios x Pesos
Critérios Valor
Não se Aplica 1
Não Adota 2
Iniciação 3
Adota Parcialmente 4
Adota Integralmente 5
Fonte: Acórdão 3.117/14 TCU/Plenário (Brasil, 2014)
14 Diretrizes Estratégicas
•14 diretrizes identificadas na revisão sistemática
5 Principais diretrizes
•5 diretrizes identificadas como principais
2 Seções da ISO 27005
•Seção 08 e 07 mais utilizadas
101
O Quadro 13, p. 101 apresenta o resultado destas respostas e a legenda das questões estão
disponibilizadas no Quadro 5, p. 60. Os resultados completos destas questões estão
disponibilizados no APÊNDICE C – RANKING IFES ISO 27005.
Figura 38: Exemplo do cálculo para se obter a nota da IFES.
𝑄 8_4. = (𝐼𝐹𝐸𝑆28 + 𝐼𝐹𝐸𝑆48 + ⋯ + 𝐼𝐹𝐸𝑆12 ) = 110
𝑄 8_4 = (4 + 3 + 4 + 4 + 3 + ⋯ + 3 ) = 110
Fonte: Próprio autor
Quadro 13: Resultados das respostas
Questão Total
Q 8_4 110
Q 8_1 109
Q 8_2 97
Q 7_1 95
Q 7_2 94
Q 9_3 91
Q 7_3 89
Q 8_5 89
Q 8_3 88
Q 8_6 87
Q 9_1 84
Q 9_2 83
Q 10 83
Dentre as seções da ISO, notou-se que as atividades da seção 08 (Q 8) que trata do processo
de riscos de segurança da informação é a seção mais utilizadas pelas 34 IFES mais bem
classificadas no ranking das diretrizes estratégicas.
A ISO 27005 adota o modelo PDCA (plan, do, check, act) ou ciclo de melhoria contínua,
isto significa que suas fases ou atividades são sequenciais, ou seja, a fase 08 vem após a fase 07 e
assim sucessivamente. O que se nota nos dados analisados é que as IFES não estão seguindo a
sequência lógica das atividades, por exemplo, as primeiras atividades e mais utilizadas deveriam
ser as atividades da seção 07, que tratam dos critérios básicos e definição do contexto, nela se
define escopo e limite de atuação que são a base para a GR, porém as atividades da seção 08 são
102
mais utilizadas por estas instituições. As atividades da seção 07 deveriam ser consideradas
prioritárias pelos gestores no processo de gestão de riscos, pois nelas são definidas as áreas de
atuação da GR, o que demonstra que grande parte das instituições tem processos de forma ad-hoc.
11
A seção 08 da ISO 27005 em suas subseções trata das atividades de identificação dos ativos,
papéis e responsabilidades, localização dos ativos e identificação de ameaças e vulnerabilidades.
Percebe-se que a mentalidade dos gestores ainda é focada na percepção de proteção dos ativos
físicos da organização através de medidas voltadas principalmente para os aspectos tecnológicos
de segurança.
Nesse sentido deve-se buscar medidas de uma visão da segurança corporativa, de forma a
identificar o risco não apenas de um ativo físico, mas a partir de uma abrangência da organização
como um todo, pensando desde o acesso as instalações, treinamento e conscientização dos usuários
e stakeholders, levando a instituição a atingir o nível de segurança adequado à natureza do negócio
(SÊMOLA, 2013).
Como forma de minimizar esse tipo de problema, Lv (2011) distingue o ativo em dois tipos,
ativos físicos, como bens, máquinas e servidores e ativos intangíveis, como banco de dados,
informações, capital intelectual e etc. E o valor do ativo não é considerado como o seu valor de
compra, mas em relação ao dano que pode ser causado a instituição caso as vulnerabilidades dos
recursos sejam exploradas. Devendo se considerar a ativo tanto no contexto do ambiente
convencional quanto no ambiente corporativo.
A seção 09 aborda as atividades de tratamento dos riscos de segurança da informação, estas
atividades devem ser realizadas após as etapas (6, 7 e 8), considerando que só se pode tratar aquilo
que foi identificado, sem a identificação dos riscos, não se sabe o que se deve tratar, ficando a
mercê dos acontecimentos e não utilizando técnicas proativas. Neste sentido, Shi (2012) afirma
que as ações de gestão de riscos devem ser planejadas proativamente para atingir as metas e atender
aos requisitos
11 Há evidência de que a organização reconhece que o processo existe e que as necessidades devem ser
endereçadas. Entretanto não há um processo padronizado e o gerenciamento é caso a caso e desorganizado.
103
A seção 07 foi a que obteve a 2ª melhor pontuação entre as seções da ISO 27005 analisadas,
essa seção diz respeito aos critérios básicos da gestão de riscos como a definição de escopo e limites
da GR, definição de papéis e responsabilidades para o processo de gestão de riscos e o uso de uma
metodologia específica de gestão de riscos.
A Q13 disponibilizada no questionário é uma questão pessoal e solicitava ao entrevistado
sua sugestão de diretriz estratégica de gestão de riscos de segurança a ser aplicada nas IFES.
Obteve-se algumas respostas que estão relacionadas no Quadro 14, p.103. Grande parte das
respostas dadas pelos gestores corroboram com as diretrizes estratégicas encontradas nesta
dissertação, sendo similares ou até iguais as identificadas neste trabalho.
Quadro 14: Sugestões de Diretrizes Estratégicas dos Entrevistados
Id Sugestões de Diretrizes Estratégicas
01 Haver um arcabouço legal que obrigue as instituições a fazer gestão de riscos.
Inserção da alta administração nos processos de TI
02 Estamos iniciando nessa área. Recentemente criamos uma coordenação para melhor
organizar e dedicar funcionários exclusivamente para essa finalidade.
03 1 - Apoio da alta gestão.
2 - Cursos de capacitação aos servidores / definição de lideranças.
3 - Criação de políticas/normas para gestão de risco na Instituição.
4 - Criação/designação de estruturas organizacionais que suportarão e tomarão frente
do processo (treinamento, divulgação, criação de modelos, etc.) e realizarão
monitoria e avaliação das políticas/normas.
04 A única forma de obter sucesso neste tipo de iniciativa é a criação formal de um grupo
responsável por esta iniciativa, com separação de tempo semanal dedicado para a
tarefa. O Grupo deve possuir representante de todas as áreas de negócio e alguns
especialistas em segurança, além de um representante da alta direção.
05 Buscar demonstrar os riscos, o impacto financeiro e da imagem da instituição,
identificando as responsabilidades
06 Criação de comissões para este fim
07 A Gestão de Risco tem que ser uma das prioridades da alta administração coisa que
não é hoje em dia. É preciso que exista uma normatização ou regulamentação que de
prioridade a este ponto. Que só assim a Gestão de Risco poderá ser aplicada nas
Instituições Federais. Este processo de implantação deve envolver a Instituição como
um todo e não somente a equipe de TI.
08 Publicidade e conscientização dos servidores.
09 Em suma, é extremamente importante perceber a importância de existir algum setor
ou que seja incluído em algum existente, que se dedique a implementar um modelo
de GRCorp com estrutura adequada, visando as necessidades específicas de cada
uma.
104
Em um segundo momento, estudar as melhores práticas e elaborar uma arquitetura
para viabilizar o gerenciamento dos riscos de cada instituição.
4.4 Diretrizes Estratégicas
Na seção 4.3 – Proposta de Diretrizes Estratégicas de Gestão de Riscos, buscou-se entre os
entrevistados as diretrizes estratégicas consideradas fundamentais para a obtenção da gestão de
riscos nas IFES, dentre as 14 diretrizes estratégicas obtidas através da revisão sistemática, 05
(Apoio da alta administração, Definição de papéis e responsabilidades, Comprometimento
da direção, conscientização dos stakeholders e Mapeamento dos Riscos) foram consideradas
prioritárias para as IFES. Estas 05 diretrizes identificadas como prioritárias e as demais diretrizes
estratégicas estão destacadas nas próximas seções.
4.4.1 Apoio da alta administração
Segundo Everett (2011) a gestão de riscos deve ser um elemento central de qualquer
estratégia de segurança da informação, mas hoje não é uma disciplina bem compreendida nem
amplamente empregada, principalmente pela alta administração.
É muito difícil para a alta administração cobrar medidas a respeito da gestão de riscos,
devido à falta de conhecimento a respeito do tema pelos mesmos e outras prioridades que são dadas
em relação a GR. Grande parte dos gestores apenas tem conhecimento de uma parte das ações que
podem tomar para reduzir os riscos dos sistemas de GR e tem tendência para ver a segurança dos
sistemas computacionais como uma forma de evitar perdas e atenuar os danos (STRAUB e
WELKE, 1998).
O apoio da alta administração, considerado um dos fatores de sucesso nos processos de
gestão de riscos, ajuda na resistência a mudanças ou dúvidas em relação aos possíveis riscos,
avaliando, direcionando e monitorando as ações de TIC, bem como se comprometendo com a
alocação dos recursos necessários ao bom funcionamento da governança de TIC (DILLARD, 2004.
OHTOSHI, 2008).
Cabe a gestão, principalmente a gestão de TI, demonstrar para a alta administração o retorno
sobre o investimento que é dado a instituição quando se adotam as práticas de gestão de riscos.
105
Além disso, deve se demonstrar os danos a imagem, prejuízos financeiros e os impactos a
instituição caso a gestão de riscos não seja implantada.
Outro ponto fundamental, é que quando a alta administração estabelece limites operacionais
e éticos, ela também adquire atribuições e responsabilidades, o que pode gerar resistência da adoção
destas práticas de gestão de riscos.
O Guia de Governança de TI apresenta algumas medidas que podem ser tomadas para
envolver a alta administração nas iniciativas de Tecnologia da Informação e consequentemente na
gestão de risco.
Obtenção de suporte ativo e contínuo por parte de diretores e executivos
seniores, para desenvolvimento e implementação de políticas e planos de gestão
de riscos;
Indicação de um indivíduo ou grupo de alto respaldo organizacional para
conduzir o processo;
Obtenção de suporte por parte de toda a alta gestão, para execução dos planos;
Criação de mecanismos que promovam o desenvolvimento continuo das
competências relacionadas à segurança da informação e a gestão de riscos da
alta administração, gestores e demais envolvidos
Fomentar a participação de representantes da alta administração no Comitê de
TI
Envolver a alta administração nos processos de seleção de investimentos em
TIC, bem como na aprovação e formalização dos planos de TIC, Segurança da
Informação e GR; e
Desenvolver a cultura de reportar o desempenho da TIC à alta administração.
4.4.2 Comprometimento da Direção
Em um modelo de SGSI a direção é responsável pelo estabelecimento e manutenção do
SGSI, apoiando e manifestando seu comprometimento com a segurança da informação. Por este
motivo, a direção precisa demonstrar total apoio a segurança da informação dentro da organização,
definindo atribuições de forma clara e reconhecendo as responsabilidades da segurança da
106
informação. Este é um dos fatores críticos em uma organização que deseje implantar a gestão de
riscos de segurança da informação.
A norma ISO 27002 tem um controle específico para tratar do assunto. Em seu controle ela
afirma que: Convém que a direção apoie ativamente a segurança da informação dentro da
organização, por meio de um claro direcionamento, demonstrando o seu comprometimento,
definindo atribuições de forma explicita e reconhecendo as responsabilidades pela segurança da
informação (ABNT, 2013).
Esta diretriz estratégica é de tamanha importância que a Norma Complementar Nº
04/01/DSIC/GSIPR de 2014 afirma que: Os Gestores de Segurança da Informação e
Comunicações, no âmbito de suas atribuições, são responsáveis pela coordenação da Gestão de
Riscos de Segurança da Informação e Comunicações nos órgãos e entidades da APF, direta e
indireta (BRASIL, 2014).
4.4.3 Mapeamento dos Riscos
As organizações precisam conhecer o valor de seus ativos, a fim de que possam identificar
a proteção adequada para seus ativos e para determinar a importância desses ativos para o negócio.
Com isso deve se realizar o mapeamento dos riscos levando em consideração os recursos de TI,
processos, pessoas e tecnologias e apontando as vulnerabilidades encontradas. Realizando o
mapeamento dos riscos pode-se definir controles e medidas preventivas específicas desenhadas
para fornecer uma garantia adequada de proteção para esses ativos, além disso se faz necessário o
desenvolvimento de um planejamento de ações para mitigação destes riscos e a implantação de
ações de correção.
O mapeamento dos riscos auxilia na identificação, quantificação e na verificação da
severidade do riscos de forma que se avaliar os riscos de acordo com o contexto da organização
propondo uma melhor resposta ao tratamento dos riscos.
O uso de matrizes de riscos e controles é aconselhado, pois proporciona uma visão
estruturada dos riscos envolvidos em cada fase do processo de gestão de riscos, fornecendo uma
descrição do risco, os riscos associados, ás áreas que podem ser afetadas e os controles necessários
para tratamento do riscos (FENS, 2011).
107
4.4.4 Definição de Papéis e Responsabilidades
As atividades de definição de papéis em um processo de gestão de riscos são fundamentais.
As atividades para se alcançar a Gestão de Riscos efetiva devem ser realizadas por pessoas ou
grupos, chamados de papéis. Os papéis descrevem os atores envolvidos nos processos, os quais
têm a responsabilidade de executar alguma atividade durante a elaboração, revisão ou o
monitoramento das atividades. Um papel possui um conjunto de atribuições e/ou responsabilidades
sobre as atividades do processo. Ou seja, representam as funções a serem desempenhadas pelos
profissionais envolvidos, portanto para que seja bem sucedido é necessário definir uma estrutura
formal para os indivíduos envolvidos no processo. Esta providência faz com que as pessoas tenham
claro entendimento das suas responsabilidades e autoridades para que possam realizar suas
atividades (BRASIL, 2016).
A ISO 27002 apresenta algumas orientações para a definição de papéis e responsabilidades
ABNT, 2013):
os papéis e responsabilidades pela segurança da informação de funcionários,
fornecedores e terceiros devem ser definidos e documentados de acordo com a
política de segurança da informação e organização.
orienta o documento que haja uma declaração relativa à atribuição de
responsabilidades, gerais e específicas, para o gerenciamento da segurança da
informação dos papéis definidos em cada ação especificada.
O SISP recomenda que em uma estrutura de Gestão de Segurança da Informação e
Comunicação se tenha pelo menos:
o Comitê de Segurança da Informação e Comunicações;
o Gestor de Segurança da Informação e Comunicações; e
a Equipe de Tratamento e Respostas a Incidentes.
Além disso, é solicitado a participação da alta administração e de representantes das áreas
finalísticas da instituição no comitê de Segurança da Informação e Comunicações.
108
4.4.5 Clareza nas regras de GRSI
A clareza nas regras de segurança da informação e gestão de riscos são fundamentais para
alcançar a GR, verifica-se em muitas organizações, que o trato com os riscos é bastante limitado
em se referindo ao envolvimento com funcionários. Essa falta de clareza é transformada em
obstáculo ao gerenciamento de riscos (DANTAS, 2011).
As definições a respeito dos limites, obrigações e responsabilidades a respeito de GR devem
ser definidas de forma clara, precisa, concisa e de fácil entendimento para os colaboradores. As
normativas internas devem estar em consonância com as Leis maiores, no caso dos órgãos da APF.
A NC 04 recomenda a adoção de uma metodologia única para toda a organização para evitar
divergências em conceitos e divergências em metodologias diferentes.
A divulgação por meio de normativas e campanhas de conscientização são validas para
garantir que as regras da instituição sejam conhecidas por todos da organização.
Ainda neste sentido, a ISO 27005 recomenda algumas que podem ser adotadas e afirma que
“As Regras de GRSI devem ser divulgadas, aplicadas e cumpridas pela instituição e pelos seus
colaboradores com uma linguagem comum, facilmente compreendida entre as partes interessadas”.
As recomendações dadas pela ISO são:
As regras devem ser claras com escopo, limites e objetivos bem definidos
As regras devem ser compostas de uma linguagem comum de fácil entendimento pelos
colaboradores da instituição.
Deve-se evitar a utilização de linguagem excessivamente técnica, utilizando linguagem
entendível pelos stakeholders e colaboradores
Os termos e definições usados não devem possuir significados diferentes, pois
dificultam as comparações entre as metodologias e ferramentas.
4.4.6 Conscientização dos Stakeholders
SILLABER e BREU (2015) afirmam em seu artigo o papel fundamental dos stakeholders
a respeito da gestão de riscos e segurança da informação e afirma que para o bom andamento dos
processos inerentes a essa área deve se ter a conscientização e colaboração dos stakeholders.
109
A premissa para todas as organizações que pretendem ter uma existência estável e
duradoura é que ela deve atender simultaneamente as necessidades de todas as suas partes
interessadas, para isso deve haver programas que conscientizem os stakeholders a respeito da
importância da implantação da gestão de riscos na instituição.
A conscientização dos stakeholders está altamente ligada a comunicação do riscos, pois a
Comunicação de Risco, além de atuar na redução dos riscos e dos danos, conscientiza os
stakeholders em suas tomadas de decisão e em seu posicionamento em relação aos riscos a que
estão expostos.
Ainda neste sentido Teixeira Filho (2010) apresenta como uma das melhores práticas para
TI o envolvimento dos stakeholders nas ações de TI afirmando que “A organização deve envolver
todas as partes interessadas (stakeholders) durante o processo de elaboração dos objetivos
estratégicos, metas e do plano estratégico de TI/SI”.
Percebe-se com isso o quão necessário se faz a conscientização dos stakeholders não só nas
ações relativas a gestão de riscos de segurança da informação, mas também nas atividades de TI
como um todo.
4.4.7 Linguagem padrão e de fácil entendimento
O COBIT 5 for Risk afirma os benefícios que se tem ao definir uma linguagem comum e a
necessidade de tal ação. A adoção de uma linguagem padrão de gestão de riscos o é essencial ao
processo, possibilitando um melhor entendimento entre as partes e um processo homogêneo
(ISACA, 2013).
Neste mesmo sentido, Everett (2011) afirma que uma das principais coisas a se ter em mente
no contexto da gestão de riscos, é que os registros de riscos não devem ser excessivamente
complexos, mas devem ser escritos em linguagem de negócios, sem a utilização jargões
técnicos. Além disso, os riscos também devem ser definidos em termos gerais, juntamente com o
seu potencial impacto sobre as operações de negócios, em vez de enumerados em detalhes infinitos.
Isto garante um melhor entendimento tanto da alta administração, stakeholders e usuários.
110
O uso de uma linguagem comum garante que toda a organização tenha o mesmo
entendimento a respeito dos conceitos da gestão de riscos, além disso garante que as políticas sejam
claras, evitando o uso de termos excessivamente técnicos que não são entendíveis para os usuários.
A comunicação é uma grande beneficiada quando se usa tal preceito, pois garante que não
haverá divergências entre os conceitos utilizados na comunicação entre as partes interessadas.
A linguagem padrão e de fácil entendimento dá uma maior clareza e objetividade nas
políticas da organização, garantindo que o usuário consiga entender o real objetivo de cada
normativa, não podendo posteriormente alegar o não conhecimento das normas da organização.
4.4.8 Alinhamento da Gestão de Riscos com a estratégia global da organização
Para que a gestão de risco seja eficaz, a alta direção deve assegurar que a organização dispõe
da capacidade necessária para atingir a sua missão e aos objetivos do negócio. Os processos de
gestão de riscos de segurança da informação devem estar integrados aos processos inerentes ao
negócio, de forma que os primeiros possam suportar as metas e objetivos da organização, estando
integrados ás práticas de gestão e políticas organizacionais, e ainda estando em conformidade com
as leis e regulamentos inerentes às IFES. Nesse sentido a estratégia de GR não deve focar apenas
a determinados tipos de riscos específicos, mas deve concentrar a gestão de riscos de forma global
a toda organização (CASACA, 2014).
Nesta mesma linha, Stoneburner (2002) afirma que o processo de gerenciamento de riscos
não deve ser considerado apenas na área de tecnologia da informação e comunicação, mas sim em
todas as unidades de negócio.
A norma complementa 04/IN01/DSIC/GSI/PR em suas considerações afirma que convém
que o processo de Gestão de Riscos de Segurança da Informação e Comunicações esteja alinhado
ao planejamento estratégico da organização e também, com o processo maior de gestão de riscos
corporativos, se este existir (BRASIL, 2015).
O COBIT também estabelece em seus objetivos de controle o alinhamento da gestão de
riscos de TI e do negócio - Estabelecer uma estrutura de gestão de riscos de TI alinhada com a
estrutura de gestão de riscos da organização (corporação).
111
Alguns preceitos devem ser considerados na adoção da uma Gestão de Riscos na
organização:
Gestão centralizada, baseada em uma estratégia comum e na política de toda a
organização;
Deve ser parte integrante da gestão estratégica da organização e estabelecer a gestão de
riscos, os objetivos de controle, os controles e o nível de garantia necessário;
Estar em total conformidade com os objetivos e a missão da organização, oferecendo
um sistema que, ao invés de simplesmente garantir que as pessoas executem as suas
atividades, deve também permitir a organização realizar o controle dessas atividades;
4.4.9 Celeridade na identificação e no tratamento dos riscos
As ações de segurança da informação e gestão de riscos devem oferecer respostas rápidas
a incidentes, falhas e vulnerabilidades. Quanto antes se identificar o risco, menos chance se tem de
que atacantes explorem as vulnerabilidades dos ativos organizacionais, podendo implementar os
controles necessários para mitigar e tratar os riscos.
O uso de metodologias de análise a avaliação de riscos pode auxiliar nos processo de
identificação e tratamento dos riscos dando maior celeridade a essa ação. A celeridade desse
processo depende também de rotinas bem definidas para atualizações periódicas de documentação
de processos de trabalho e dos procedimentos relativos à gestão de riscos. O conhecimento e
expertise da equipe de gestão de riscos são fatores fundamentais para este quesito, pois a equipe
quando bem treinada, pode aplicar as melhores ferramentas, controles e propor o melhor tratamento
ao risco de acordo com o perfil da organização (MOYO, 2013).
4.4.10 Orientação técnica em medidas de segurança
Straub e Welke (1998) afirma que os gestores devem implementar programas de segurança
que incluam formação e conscientização em segurança, análise e gestão de riscos. O programa de
conscientização em segurança tem como objetivo providenciar conhecimento sobre as ações de
segurança tomadas e sua importância para a Instituição. Algumas técnicas podem ser utilizadas
para demonstrar a importância da gestão de riscos para os colaboradores, entre elas estão os
112
seminários de sensibilização, treinamentos de segurança e campanhas de divulgação e
conscientização (palestras, elaboração de material promocional) para usuários e stakeholders a
respeito da importância da segurança da informação e da Gestão de Riscos.
A orientação técnica de medidas de segurança faz com que a equipe crie a conscientização
a respeito das técnicas e medidas que podem ser tomadas para garantir a segurança da informação
e a gestão de riscos.
4.4.11 Efetividade e eficiência no alcance dos objetivos da GR
Para se ter efetividade na gestão de riscos devem ser considerados todos os componentes
do risco e a forma como eles se relacionam entre si, para só aí ter uma real situação do que se deve
ser tratado ou analisado.
A efetividade e eficiência na gestão de riscos são práticas essenciais para a instituição. A
eficácia consiste em atingir seu objetivo da forma correta, já a eficiência diz respeito a alcançar s
os objetivos propostos utilizando menos recursos.
Demonstrar a efetividade da gestão de riscos em segurança da informação deve ser uma das
partes mais visíveis do processo de GR, pois é por meio dos dados disponibilizados pela GR que a
alta administração terá acesso aos resultados das atividades executadas, sendo essa estratégia
essencial, pois é aqui que a diretoria vai validar ou solicitar mudanças.
A padronização dos procedimentos relativos à gestão de riscos deve ser utilizada para
alcançar a eficiência, com isso, é aconselhado o uso de uma metodologia de análise e avaliação de
riscos. Como existem diversas metodologias disponíveis para gestão de riscos, é aconselhável o
uso de uma metodologia que se adeque a realidade da instituição e que possibilite as adaptações
necessárias a realidade da organização, evitando ações ad-hoc e sem planejamento. A instituição
também pode utilizar uma metodologia própria seguindo os padrões de boas práticas. Algumas das
metodologias ou frameworks disponíveis são:
OCTAVE
NIST SP 800-30
COBIT for Risk (Framework)
ISO 27005 (Norma)
ISO 31000
113
COSO ERM
4.4.12 Publicidade no tratamento da informação de acordo com os critérios legais
A publicidade é fator inerente ao setor público e consta em seus princípios constitucionais
conforme art. 37, caput, da CF/88 que elenca expressamente o princípio da publicidade como de
observância obrigatória na administração pública.
Diante desse fato todos os dados das instituições públicas, desde que não comprometam a
segurança da organização, nem divulguem os dados sigilosos da organização, devem ser
disponibilizados ao público. Para que haja uma correta divulgação do que se pode divulgar, deve
haver uma filtragem a respeito do que se pode ou não divulgar de forma que não possa comprometer
a missão institucional. O Acórdão n. 1603/2008 – Plenário TCU afirma a importância que se deve
dar ao tratamento da informação:
“A importância do correto tratamento para a confidencialidade, a
integridade e a disponibilidade das informações de órgãos públicos é
evidente, sem falar na autenticidade, na responsabilidade pelos dados e na
garantia de não-repúdio. A própria prestação do serviço de uma instituição
pública aos cidadãos depende da confiabilidade das informações por ela
tratadas e ofertadas” (BRASIL, 2008).
O acórdão afirma ainda que o deve haver a classificação das informações nos órgãos da
APF. Esse processo visa garantir que cada informação tenha o tratamento de segurança adequado
ao seu valor, aos requisitos legais, à sensibilidade e ao risco de sua perda para a organização. Nesse
processo devem existir, pelo menos, dois documentos de referência: o esquema de classificação,
que contém as definições dos níveis de proteção considerados, e um conjunto apropriado de
procedimentos para rotulação e tratamento da informação segundo esse esquema (BRASIL, 2008).
A publicidade também pode gerar ganhos a imagem da instituição, demonstrando a quem
for de direito as ações efetivamente realizadas pela instituição, melhorando com isso a imagem da
instituição e dando credibilidade sob suas atividades.
114
4.4.13 Treinamento específico sobre GRSI
O gerenciamento de riscos é uma parte fundamental em todas as funções da instituição.
Para confirmar os níveis adequados de experiência e prática de risco, as instituições necessitam de
capacidades para treinar de forma eficaz as partes interessadas e usuários.
Muitos autores consideram que as pessoas podem ser o elo mais fraco da segurança da
informação se não tiverem a formação adequada, e sem a formação e ações de sensibilização em
segurança, as organizações não conseguem atingir os seus objetivos em matéria de conformidade.
Neste sentido, Schultz (2005) tem a opinião que a segurança é um problema das pessoas, e
não de tecnologia, pois a tecnologia foi projetada para ser gerenciada por pessoas.
Com isso, contata-se que os programas de formação devem permitir a formação com base
em níveis variados de sensibilização para o risco. A capacidade de oferecer programas de
treinamento direcionados é essencial para a atualização bem-sucedida e sustentabilidade das
práticas de risco.
4.4.14 Atualização periódica da política/diretriz de gestão de riscos
As regras de GRSI devem ser atualizadas e revistas periodicamente, garantindo que política
de gestão de riscos e segurança da informação estão adequadas e condizentes com a realidade da
instituição.
A gestão de riscos é um processo continuo que nunca está concluído e que deve ser
constantemente revisto e atualizado em função das alterações no ambiente organizacional e da
descoberta de novas ameaças e ou vulnerabilidades (CASACA, 2014), nesse sentido faz-se
necessária a atualização periódica da normas, políticas e diretrizes de gestão de riscos mantendo a
organização sempre a par das situações de mudanças organizacionais, garantindo com isso a
proteção de seus ativos e alinhada com os objetivos organizacionais.
O Guia de Governança de TI apresenta algumas medidas que podem ser tomadas no
desenvolvimento de políticas e diretrizes (BRASIL, 2015):
Definir periodicidade de revisão das políticas e diretrizes de segurança e gestão de
riscos;
115
Estabelecer estrutura responsável para propor melhorias nos processos de segurança e
GR e realizar o monitoramento de mudanças;
Os processos de GR devem ser constantemente atualizados e revistos de forma a busca
manter o ciclo de melhoria contínua sempre ativo;
Qualquer alteração no ambiente da instituição deve ser comunicado ao setor
responsável pela GR e Segurança da Informação; e
Deve ser um processo contínuo, que permita a organização melhorar a segurança,
selecionando melhor os controles aplicados e adaptando-se às mudanças constantes a
que estão submetidas os seus processos de negócios.
4.5 Conclusão do Capítulo
Este capítulo buscou realizar o diagnóstico situacional das Instituições Federais de Ensino
Superior e identificar as principais diretrizes estratégicas de gestão de riscos de segurança da
informação para serem adotadas por estas instituições.
Para que se pudesse identificar a situação da IFES foi realizado um questionário survey e
com base nas respostas foi possível realizar o diagnóstico da situação das IFES no tocante a gestão
de riscos. O questionário foi baseado nas normas ISO 27005, ISO 31000, COBIT 5 for risk e nos
trabalhos identificados através da revisão sistemática. Como resultado da pesquisa, notou-se que
grande parte das instituições ainda estão incipientes na área de Gestão de Riscos das instituições.
Um fato que demonstra isso é que apenas 2% das instituições adotam integralmente e 28% de forma
parcial uma política/diretriz ou sistema de gestão de riscos. Este fato é preocupante e demonstra
que as IFES ainda não estão tomando as iniciativas adequadas para aplicar a gestão de riscos de
forma integral em suas instituições, mesmo com normativas do governo “recomendando” que a
atividade de gestão de riscos de TI seja realizada mediante um processo formalmente instituído.
Com isso faz-se necessário ações que possam conscientizar os gestores institucionais sobre os
benefícios da implantação da gestão de riscos.
A análise do estudo de campo é finalizada com uma percepção dos profissionais quanto a
área de Gestão de Riscos nas IFES, demonstrando a importância da gestão de riscos como um dos
meios para se obter a segurança da informação.
116
O survey além de proporcionar o diagnóstico situacional das IFES serviu para identificar as
principais diretrizes estratégicas de gestão de riscos que possam ser usadas nestas instituições.
Entre 14 diretrizes estratégicas 05 foram consideradas prioritárias para implantação da gestão de
riscos, são elas: Apoio da alta administração, Comprometimento da direção, Mapeamento dos
Riscos, Definição de papéis e responsabilidades e clareza nas regras de GRSI, essas diretrizes são
as mais implantadas nas instituições que possuem um melhor nível de gestão de riscos. Esse
resultado encontra-se alinhado com o resultado da concordância dos gestores em relação as
estratégias, onde as 04 primeiras selecionadas pelos gestores foram também as mais implantadas
pelas 06 IFES melhores posicionadas no ranking.
Ao final do capítulo foi feito o detalhamento de cada uma das 14 diretrizes estratégicas,
demonstrando a importância de cada uma para que se possa alcançar a gestão de riscos nas
instituições.
117
5 CONCLUSÃO E TRABALHOS FUTUROS
5.1 Conclusão.
Esta pesquisa teve como objetivo principal identificar as principais diretrizes estratégicas
de gestão de riscos de segurança da informação para as Instituições Federais de Ensino Superior
(IFES). Estas diretrizes foram baseadas nas normas ISO/IEC 27005:2011, ISO 31000:2009, no
framework COBIT 5 for Risk e na revisão sistemática da literatura. Neste trabalho também foi
realizado o diagnóstico destas instituições a respeito da gestão de riscos.
Para o desenvolvimento da pesquisa, o trabalho foi dividido em quatro fases.
A primeira fase foi o levantamento bibliográfico para que se pudesse buscar o conhecimento
necessário a respeito do tema de gestão de riscos. Esta primeira fase foi composta da revisão
bibliográfica, revisão sistemática da literatura e análise documental. Obteve-se o conhecimento
teórico-empírico necessário para o entendimento do tema e para verificação do estado da arte a
respeito da gestão de riscos de segurança da informação. Entre os assuntos tratados na revisão da
literatura estão a gestão de riscos de segurança da informação, seus conceitos e as normas e modelos
inerentes a gestão de riscos.
A segunda fase foi composta da elaboração dos questionários, aplicação dos mesmos as
IFES e o levantamento dos dados. O questionário foi realizado por meio da ferramenta limesurvey
e direcionado aos gestores de TI ou servidores que atuassem na área de segurança da informação.
As 13 (treze) questões elaboradas foram desenvolvidas com base na norma ISO 27005, no COBIT
5 for risk e nos trabalhos selecionados na revisão sistemática. Para a obtenção dos dados o
questionário foi encaminhado por e-mail para as 104 IFES. Das 104 instituições, 53 responderam
o questionário, número esse considerado válido para que o estudo tivesse um nível de confiança
estabelecido e estável. Os dados foram armazenados na própria ferramenta para posterior análise.
A terceira fase do trabalho consistia em realizar a análise dos dados coletado e fazer a
análise situacional das instituições.
O survey permitiu que se tivesse uma visão abrangente das práticas realizadas, das
fraquezas, abordagens, metodologias, além das diretrizes estratégicas consideradas essenciais na
visão dos respondentes da pesquisa. Os resultados dos dados coletados apresentaram a
118
vulnerabilidade destas IFES a respeito da gestão de riscos e segurança da informação, quadro esse
alarmante para estas instituições. A pesquisa revelou que apenas 2% das instituições pesquisadas
utilizam uma política/diretriz de gestão de riscos de forma integral, demonstrando que as IFES
estão em um patamar abaixo dos demais órgãos da Administração Pública Federal que obtiveram
um percentual de 8% de forma integral no mesmo quesito, no ano de 2014, conforme Acórdão
3.1117/14 do Tribunal de Contas da União. Estes dados demonstram que a gestão de riscos não é
tida como prioritária nas ações de segurança das IFES. Alguns fatores podem ser considerados: A
gestão de riscos de segurança da informação é um tema novo e de pouco conhecimento dos
gestores; para a implantação da gestão de riscos se faz necessário o apoio da alta administração das
instituições tendo em vista que as ações não ocorrem apenas no setor de TI, mas em todas as áreas
da instituição; e a adoção das atividades de gestão de riscos muitas vezes é complexa exigindo
tempo e recursos para serem operadas e poucos colaboradores tem conhecimento suficiente sobre
as práticas de gestão de riscos.
A quarta fase do trabalho consistiu em identificar as diretrizes estratégicas de gestão de
riscos de Segurança da Informação para instituições federais de ensino superior. Através dos
trabalhos selecionados na revisão sistemática da literatura, foram identificadas 14 diretrizes
estratégicas de gestão de riscos. Para verificar quais diretrizes estratégicas são consideradas
prioritárias para as IFES foi necessário estabelecer um ranking. Dentre as 34 instituições mais bem
classificadas nesse ranking selecionou-se as diretrizes estratégicas que são mais utilizadas por todas
estas instituições. As diretrizes estratégicas selecionadas foram: apoio da alta administração,
definição de papéis e responsabilidades, comprometimento da direção, mapeamento dos
Riscos e conscientização dos stakeholders a respeito da Gestão de Riscos.
Quando questionados quanto ao nível de concordância das 14 diretrizes estratégicas, as
melhores avaliadas na percepção dos gestores foram apoio da alta administração, definição de
papéis e responsabilidades, comprometimento da direção, mapeamento dos Riscos e
conscientização dos stakeholders a respeito da Gestão de Riscos, ou seja, dentre as 05 diretrizes
estratégias melhores avaliadas pelos gestores, 05 (cinco) são iguais as identificadas como
prioritárias para implantação nos IFES.
Com base nesse resultado, pode-se considerar que tais diretrizes estratégicas devem ser
prioritariamente aplicadas em uma IFES que deseje obter a potencialização de sua gestão de riscos
119
na instituição. Apesar das demais diretrizes estratégias não serem utilizadas com a mesma
frequência em todas essas 34 instituições mais bem avaliadas, não significa que as mesmas não
necessitam ser implantadas, mas deve-se haver uma priorização das diretrizes no contexto da
instituição.
Quanto aos objetivos propostos para este estudo, considera-se que os objetivos específicos
foram alcançados, tendo em vista que: foi realizada uma revisão sistemática da literatura; realizou-
se o diagnóstico do processo de gestão de riscos das IFES identificando as lacunas e oportunidades
a serem trabalhadas; e identificou-se as cinco diretrizes estratégicas consideradas prioritárias paras
as IFES. Desta forma, o objetivo geral deste trabalho foi alcançado na medida em que se identificou
as cinco principais diretrizes estratégicas para serem aplicadas as IFES.
5.2 Contribuições
Algumas contribuições científicas podem ser consideradas a respeito deste trabalho, são
elas:
Realização da Pesquisa Teórica por meio do procedimento de revisão sistemática
da literatura, o que permitiu levantar trabalhos relevantes publicados nos últimos 06
anos, com base em critérios estabelecidos no protocolo de pesquisa, conforme
APÊNDICE A – REVISÃO SISTEMÁTICA.
Diagnóstico da Gestão de Riscos de Segurança da informação das IFES,
identificando a situação das instituições em cada quesito referente a ISO 27005.
Proposta de diretrizes estratégicas a serem implantadas pelas Instituições federais
de Ensino Superior.
5.3 Trabalhos Futuros
Durante a execução deste trabalho, verificou-se o quão importante é o tema para a segurança
da informação e nele surgiram algumas propostas de trabalhos futuros. A seguir três propostas de
estão elencadas:
120
A gestão de riscos manipula um imenso volume de informações o que torna difícil
a manipulação e controle de tais dados. Uma proposta de trabalho futuro é o
desenvolvimento de um software que possa automatizar e realizar o controle de
riscos oferecendo suporte à atividade de gestão de riscos.
Aplicação da pesquisa em outros órgãos da Administração Pública Federal,
realizando o comparativo com os dados obtidos nesta pesquisa.
O desenvolvimento de um modelo de gestão de riscos de segurança da informação
para as Instituições Federais de Ensino Superior. Tendo em vista que poucas
instituições aderem a gestão de riscos por falta de orientações, com isso, tal lacuna
pode ser sanada com o desenvolvimento de um modelo de gestão de riscos.
5.4 Limitações
Durante o desenvolvimento deste trabalho, algumas limitações foram detectadas,
destacadas a seguir:
Limitação concernente à não possibilidade de realizar um estudo de caso em uma
IFES, com a finalidade de aplicar o objeto de estudo produzido. Essa limitação deu-
se pelo curto período de tempo em que se dá o desenvolvimento da dissertação e o
tempo para aplicação da diretriz em uma instituição.
Limitação referente ao número de instituições participantes da pesquisa. Mesmo
obtendo o número necessário de participantes (53), verifica-se que o universo de
IFES é bem maior (104) instituições.
121
REFERÊNCIAS
ALBERTIN, A. L. Comércio Eletrônico: um estudo no setor bancário. Revista de
Administração Contemporânea, v. 3, n. 1, Jan/Abr. 1999: 47-70.
ABNT. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, NBR ISO/IEC 27002 –
Código de Prática para a Gestão de Segurança da Informação. Rio de Janeiro, 2013.
_____. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, NBR ISO/IEC 27005 –
Gestão de Riscos de Segurança da Informação. Rio de Janeiro, 2011.
_____. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, NBR ISO/IEC 31000 –
Gestão de Riscos. Rio de Janeiro, 2009
_____. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, NBR ISO/IEC 38500 –
Governance of IT for the organization. Rio de Janeiro, 2015.
AS/NZS 4360. Risk Management Guidelines. 2004.
BRASIL, Departamento de Segurança da Informação e Comunicações, Norma Complementar nº
04/IN01/DSIC/GSIPR. 2014
_______, Ministério do Planejamento, Orçamento e Gestão. Guia de Governança de TIC do
SISP, 2015.
_______, Ministério do Planejamento, Desenvolvimento e Gestão. Modelo de Gestão –
Estratégia de Governança Digital, 2016.
_______, Tribunal de Contas da União. Acórdão 1.603/2008-TCU-Plenário
_______, Tribunal de Contas da União. Acórdão 1.233/2012-TCU-Plenário.
_______, Tribunal de Contas da União. Acórdão 3.051/2014-TCU-Plenário
_______, Tribunal de Contas da União. Levantamento de Governança de TI 2012. 2012.
_______, Tribunal de Contas da União. Levantamento de Governança de TI 2014. 2014.
BEAL, A. A Segurança da Informação: princípios e melhores práticas para a proteção dos
ativos de informação nas organizações. São Paulo, 2005.
BREIER, J. HUDEC, L ; Risk Analysis Supported by Information Security Metrics.
Proceedings of the 12th International Conference on Computer Systems and Technologies, 2011.
122
CASACA, J. A. Gestão de Riscos na Segurança da Informação: Conceitos e Metodologias.
2014.
COSO - COMMITTEE OF SPONSORING ORGANIZATIONS OR THE TREADWAY
COMMISSION. Enterprise risk management: integrated framework. Executive Summary.
Jersey City, NJ. AICPA, 2004.
DANTAS, M. L., Segurança da Informação: Uma Abordagem Focada em Gestão de Riscos.
Pernambuco, 2011.
DAVIS, Fred D. Perceived usefulness, perceived ease of use and user acepptance of information
technology. Mis Quarterly, v. 13, n. 3, p. 319-340, 1989
DILLARD, K; PFOST, J.; RYAN, S. Security Risk Management Guide. [S.1.]: Microsoft
Corporation. 2004
DYBA, T.; KAMPENES, V.; SJOBERG, D. A Systematic Review of Statistical Power in
Software Engineering Experiments. Journal of Information and Software Technology, v. 1, n.
11, 2005ª
EVERETT, C. A risk business: ISO 31000 and 27005 unwrapped. Computer Fraud &
Security, Volume 2011
FENZ, S. An Ontology- and Bayesian-based Approach for Determining Threat Probabilities.
Hong Kong, China, 2011
GIL, Antônio Carlos. Como elaborar projetos de pesquisa. 4. ed. São Paulo: Editora Atlas, 2008.
GUANGFU W, et al. Research on E-government Information Security Risk Assessment -
Based on Fuzzy AHP and Artificial Neural Network Model, Networking and Distributed
Computing (ICNDC), First International Conference on, 2010.
IVAN, S.; TAMWHARA. P, "Security Risk Management in complex
organization," Information and Communication Technology, Electronics and Microelectronics
(MIPRO), 2015 38th International Convention on, Opatija, 2015, pp. 1331-1337.
ISACA. COBIT. 5: A Business Framework for the Governance and Management of
Enterprise IT. ISACA, 2012.
______ COBIT 5 for Risk. ISACA, 2013
ISO/IEC TR 13335 - Techniques for the management of it security. 2004
______, GUIDE 73. Risk Management. 2009.
123
KAUARK, Fabiana. Metodologia da pesquisa : guia prático / Fabiana Kauark, Fernanda Castro
Manhães e Carlos Henrique Medeiros. – Itabuna : Via Litterarum, 2010.
KIRAN, K.V.D. et al. Information security Risk Management in Critical informative Systems,
2014
KITCHENHAM, B. A.; MENDES, E.; TRAVASSOS, G. H. Cross Versus within Company Cost
Estimation Studies: a systematic review. IEEE Transactions on Software Engineering, v. 33, n.
5, p. 316-329, 2007
LIANG, L. et al. The state of the art of risk assessment and management for information
systems. Information Assurance and Security (IAS), 9th International Conference on. 2013.
LIMA, E. P. et al. Diretrizes Estratégicas para implantação da Gestão do Conhecimento
Organizacional. Produto & Produção, n. 2, p. 57-73, jun. 2005.
LV, X. Information Security Risk Evaluation for E-Campus, Zhejiang Business Technology
Institute. CHINA, 2011.
MARCONI, M. A.; LAKATOS, E. M. Técnicas de Pesquisa: planejamento e execução de
pesquisas, amostragens e técnicas de pesquisas, elaboração, análise e interpretação de dados, 5. ed.
São Paulo: Atlas, 2002.
MAYER, N.; AUBERT, J. Sector-Specific Tool for Information Security Risk Management in
the Context of Telecommunications Regulation (Tool demo). Glasgow, Scotland Uk, 2014
MENG, M. The research and application of the risk evaluation and management of
information security based on AHP method and PDCA method. 2013
MELO, L. P. Proposta de Metodologia de Gestão de Riscos em Ambientes Corporativos na
Área de TI. Universidade de Brasília – UNB, Brasília/2008.
MOYO, M. et al. Information security risk management in small-scale organizations: A case
study of secondary schools computerised information systems. South Africa, 2013
PERMINOVA, O.; GUSTAFSSON, M.; WIKSTRÖM, K. Defining uncertainty in projects–a
new perspective. International Journal of Project Management, 2008.
SAMY, G.N. AHMAD, R. ISMAIL, Z.; A framework for integrated risk management process
using survival analysis approach in information security. Information Assurance and Security
(IAS), International Conference on, 2010.
SANTOS, A. R. Metodologia Científica: a construção do conhecimento. 5. ed. Rio de Janeiro:
DP&A, 2002.
124
SCHNEIDER, R. M.; A Comparison of Information Security Risk Analysis in the Context of
e-Government to Criminological Threat Assessment Techniques, Information Security
Curriculum Development Conference, 2010
SÊMOLA, M. Gestão da Segurança da Informação: Uma visão executiva. 2. ed. Rio de Janeiro:
Elsevier, 2013.
SEDINIC, I., PERUSIC, T. Security Risk Management in complex organization. 2015.
SHI, Y. A Value Based Security Risk Assessment Method. China, 2012
SHING, M. L.; SHING, C.S.; CHEN, K. L., LEE, H. Study of a Risk Management Model.
International Journal of Electronic Commerce Studies Vol.2, No.1 , pp.67-76, 2011
SILLABER, C.; BREU, R. Using Stakeholder Knowledge for Data Quality Assessment in IS
Security Risk Management Processes. Proceedings of the 2015 ACM SIGMIS Conference on
Computers and People Research, 2015
SILVA, E. L.; MENEZES, E. M.. Metodologia da Pesquisa e Elaboração de Dissertação. 4. ed.
revisada e atualizada, Universidade Federal de Santa Catarina - UFSC, Florianópolis/2005.
SILVA, L. F. da C. P.; MENEZES, E. M.. Gestão de Riscos em Tecnologia da Informação como
fator crítico de sucesso na Gestão da Segurança da Informação dos órgãos da Administração
Pública Federal: estudo de caso da Empresa Brasileira de Correios e Telégrafos - ECT.
Universidade de Brasília – UNB, Brasília/2010.
SILVA, M. M. A multidimensional approach to information security risk management using
\{FMEA\} and fuzzy theory, 2014
STONEBURNER, G., GOGUEM, A., FERINGA, A.. Risk Management Guide For
Information Technology Systems – Recommendations of the national institute of Standards
and Technology. EUA, 2002.
STRAUB, D. W., WELKE, R. J. Coping With Systems Risks: Security Planning Models for
Management Decision Making. 1998
TEIXEIRA FILHO, J. G. D. A. 2010. MMPE-SI/TI (Gov) - Modelo de maturidade para
planejamento estratégico de SI/TI direcionado às organizações governamentais brasileiras
baseado em melhores práticas. Tese (Doutorado em Ciências da Computação) – Universidade
Federal de Pernambuco (UFPE), Recife-PE.
TUYIKEZE, Tite; FLOWERDAY, Stephen. Information Security Policy Development and
Implementation: A Content Analysis Approach. In:HAISA. 2014. p. 11-20.
125
WEBB, J. et al. A Situation Awareness Model for Information Security Risk Management -
Computers & security [0167-4048], 2014.
WYNNE, B. Uncertainty and environmental learning 1, 2 Reconceiving science and policy in
the preventive paradigm. Global Environmental Change, 1992
VAUGHAN, E.; Risk Management; New Baskerville: John Wiley & Sons. 1997.
YEO, M. L. et al. Risk Mitigation Decisions for IT Security. ACM Trans. Manage, 2014
YUAN W. et al. Research on risk management and control system for information security
K-PRS-ISMCS based on knowledge management, IT in Medicine and Education (ITME),
International Symposium on, 2011
ZHANG, X. Information Security Risk Management Framework for the Cloud Computing
Environments. China, 2010
126
APÊNDICE A – REVISÃO SISTEMÁTICA
A Segurança da Informação diz respeito à proteção de determinados dados, com a intenção
de preservar seus respectivos valores para uma organização ou um indivíduo (ALVES e
MOREIRA, 2012). Para isso, alguns procedimentos são utilizados na tentativa de manter a
disponibilidade, integridade, confiabilidade e autenticidade das informações, tais como a Política
de Segurança da Informação, gestão de riscos e a própria gestão da segurança da informação.
A necessidade da existência de políticas para a existência do processo de segurança da
informação é descrita na NBR ISO/IEC 27002:2013: “A segurança da informação é alcançada pela
implantação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos,
estruturas organizacionais e função de software e hardware”, (ABNT, 2012).
Pensando nesse questionamento, este estudo de Revisão Sistemática teve como objetivo
levantar informações acerca da segurança da informação, na tentativa de identificar as melhores
práticas para a implantação e revisão de uma Política de Segurança da Informação. O método de
revisão sistemática consiste na revisão da literatura seguindo critérios de seleção, pré-
estabelecidos, sobre um determinado assunto ou tema e consiste em: 1) definir uma pergunta; 2)
buscar fontes primárias de informação relacionadas com a pergunta a ser respondida (artigos,
livros, etc.); 3) definir critérios de inclusão e exclusão das fontes primárias encontradas; 4) analisar
a qualidade das fontes primárias com base nos critérios de inclusão estabelecidos e 5) apresentar
os resultados do estudo (KITCHENHAN et al., 2008).
A revisão sistemática atua como um meio para identificar, avaliar e interpretar
toda pesquisa relevante e disponível sobre uma questão de pesquisa específica,
tópico ou fenômeno de interesse, fazendo uso de uma metodologia de revisão que
seja confiável, rigorosa e que permita auditagem (TEIXEIRA FILHO, 2010, p. 2).
Dessa forma, uma das razões para se utilizar o método de revisão sistemática é buscar
fundamentação teórica, obtendo, com isso, agregação de conteúdos que tragam resolução de um
problema proposto ou a busca de uma resposta a questões de pesquisa (MELO et al., 2014), bem
como identificar temas que necessitam ser comprovadas, auxiliando na orientação para
investigações futuras (SAMPAIO e MANCINI, 2007).
Através desta sintetização de evidências, pretende-se obter um resultado de maior valor
127
quantitativo, devido ao grande número de fontes primárias de informação selecionadas utilizando
metodologia sistemática e explícita, selecionados com o objetivo de minorar erros, evidenciando
que estudos e pesquisas com maior precisão de confiabilidade possam ser utilizados na tomada de
decisão e aproximação das questões de estudo em pesquisa (TEIXEIRA FILHO, 2010). Assim, a
utilização dessa metodologia evita o erro sistemático ou a tendenciosidade e possibilita uma análise
mais objetiva dos resultados, facilitando uma síntese conclusiva sobre determinada intervenção
(SAMPAIO e MANCINI, 2007).
Segundo Galvão e Pereira (2014), algumas etapas são necessárias para a condução da
revisão sistemática: elaboração da pergunta de pesquisa; busca na literatura; seleção dos artigos;
extração dos dados; avaliação da qualidade metodológica; síntese dos dados (metanálise);
avaliação da qualidade das evidências e redação e publicação dos resultados. Porém, Teixeira Filho
(2010) relata que alguns passos sistemáticos atrelados a um conjunto de fases são importantes para
conduzir a pesquisa de forma precisa. Dessa forma, todas as etapas relatadas por Galvão e Pereira
(2014), são descritas em um protocolo que conduzirá, de forma sistemática, todo o processo da
revisão sistemática da literatura.
Segundo Biolchini et al. (2005) e Kitchenham (2004), são estabelecidas três etapas no
processo que conduzirá a revisão de literatura: planejamento, execução/desenvolvimento e análise
e divulgação dos resultados.
As fases de condução, etapas e demais atividades utilizadas na revisão desse estudo, foram
seguidas conforme orientação de Teixeira Filho (2010):
Quadro 1. Fases do Processo de Condução da Revisão Sistemática
REVISÃO SISTEMÁTICA
Planejamento de Revisão Execução da Revisão Análise e divulgação dos
resultados
1. Formulação da questão de
pesquisa;
2. Identificação dos estudos;
3. Avaliação crítica dos
estudos.
1. Extração dos dados 1. Sintetização dos resultados;
2. Interpretação dos
resultados.
Fonte: adaptado de Teixeira Filho (2010)
As seguintes atividades foram desenvolvidas em cada fase da revisão:
Planejamento:
128
1 - Formulação das questões de pesquisa com foco no objetivo da pesquisa;
2 - Intervenções coerentes e utilização de palavras chaves que levam a resultados positivos
em estudos extremamente científicos;
3 - Utilização de critérios específicos que conduzam a uma filtragem de inclusão e exclusão
dos estudos.
Execução:
A utilização de formulários específicos ajudou a catalogar e conduzir nas avaliações futuras
dos estudos. Esses formulários ajudaram a manter um histórico dos estudos escolhidos para revisão
e validação.
Análise e divulgação:
1 – Os dados são analisados de forma descritiva, levando-se em conta a qualidade dos
estudos e relevância nas questões de pesquisa;
2 – Os resultados interpretados tendem estar menos susceptíveis a interesses pessoais, o que
asseguram o sentido original dos estudos.
A Figura 1 apresenta o processo de condução da revisão sistemática e suas atividades
relacionadas para este trabalho.
Figura 1. Processo de condução da Revisão Sistemática.
Fonte: Arruda (2014)
Para contemplação de todas as etapas descritas anteriormente, a revisão sistemática teve
início com a elaboração de um protocolo de revisão específicado com o objetivo de realizar um
levantamento bibliográfico e científico na área de Gestão de Segurança da Informação.
129
Para utilização do protocolo nessa pesquisa, foi adaptado um formulário (ver Quadro 2),
seguindo modelo de Teixeira Filho (2010), com o objetivo de testar e validar todas as etapas antes
de sua utilização.
Quadro 2. Formulário Teste de Protocolo
Formulário de Teste de Protocolo (FTP)
Responsáveis: Evandro Souza de Paula Cordeiro, Joilson Dantas
Siqueira Silva e Orlivaldo Kleber Lima Rios
Versão: 02
O protocolo já foi avaliado por especialistas? Caso positivo, em
qual versão ocorreu essa avaliação e quem avaliou?
SIM ( x ) NÃO ( )
Protocolo versão 01 e 02. Avaliador: Prof. Dr. José Gilson Almeida Teixeira Filho
Foi testado todos os passos descritos no protocolo? SIM ( x ) NÃO ( )
O protocolo atendia as 03 (três) áreas de segurança da informação, assim foi necessário
compreensão, avaliação e aprovação dos pesquisadores.
Todas as strings de busca foram utilizadas para o teste? Caso
não tenham sido utilizadas todas as strings propostas indicar as
que ficaram de fora do teste.
SIM ( x
)
NÃO ( )
O uso do operador AND foi utilizado o mínimo possível por que restringia muito o resultado
das buscas.
As strings de busca propostas foram aceitas por todos os sites? SIM ( x
)
NÃO ( )
A fonte de busca pesquisada retornou com erro? Caso
afirmativo descrever quais foram os problemas encontrados.
SIM ( x
)
NÃO ( x )
Foi necessário fazer ajustes nas strings de busca!
Foram encontrados problemas na geração dos Bibtex nas fontes
de busca pesquisadas. Caso positivo informar a base e descrever
os problemas encontrados.
SIM ( x ) NÃO ( )
A base Google Scholar não gerou o arquivo bibtex para todas as strings pesquisadas. O
arquivo era gerado individualmente para cada estudo apresentado. Foi necessário criar um
130
arquivo no formato bibtex para unificar os primeiros 115 estudos mais relevantes no período
pesquisado.
Dentre as strings testadas, alguma apresentou problemas? Caso
tenha
encontrado algum problema com as strings de busca nas fontes
selecionadas, relatar a seguir.
SIM ( ) NÃO (x)
Todas as strings de busca retornaram resultados satisfatório
com o que foi inicialmente proposto pela pesquisa? Caso
negativo relatar o problema.
SIM ( ) NÃO ( x)
Foi necessário desmembrar as categorias para melhor resultados de busca nas bases/fontes,
conforme consta em protocolo.
Foi necessário incluir outras strings após primeiro testes de
consultas?
SIM ( x ) NÃO ( )
Foi adicionada uma nova string (5, 6) após etapa II da revisão, na tentativa de obter maiores
resultados em uma linha de pesquisa que ainda não tinha sido capturada com as strings
iniciais.
Na etapa de busca nas bases/fontes, houve a necessidade de
inserir uma outra fonte de busca. Caso positivo identificar e
justificar.
SIM ( x ) NÃO ( )
Finalizado a filtragem de estudos, na Etapa II de seleção de trabalhos, a busca realizada nas
bases ACM, IEEEXplore, ScienceDirect e Google Scholar, retornaram uma quantidade de
estudos razoável em conformidade com as questões de pesquisa. Assim houve a
compreensão de inserir a base Scopus e outras fontes de pesquisa (repositório de
dissertações de universidades) em busca de outros estudos primários.
Na etapa de busca, houve a necessidade de inserir estudos fora
do período pesquisado?
SIM ( ) NÃO ( x)
Fonte: adaptado de Teixeira Filho (2010).
131
Segundo Sampaio e Mancini (2007), “a realização de uma revisão sistemática envolve o
trabalho de pelo menos dois pesquisadores, que avaliarão, de forma independente, a qualidade
metodológica de cada artigo selecionado”. Essa avaliação deverá ser considerada em análise
obedecendo rigorosamente aos critérios de inclusão e exclusão definidos no protocolo de pesquisa.
Assim, para essa pesquisa, 03 (três) pesquisadores (ver Quadro 3) validaram os estudos
encontrados nas fontes pesquisadas, seguindo os critérios de inclusão e exclusão estabelecidos no
protocolo de revisão.
Quadro 3. Identificação dos pesquisadores da revisão sistemática.
Pesquisadores/Avaliadores dos Estudos
Avaliador Tema de pesquisa
Evandro Souza de Paula Cordeiro Maturidade em Gestão de Segurança da
Informação.
Orlivaldo Kléber Lima Rios Política de Segurança da Informação.
Joilson Dantas Siqueira Silva Gestão de Risco em Segurança da Informação.
Fonte: Elaborado pelo autor com base em Teixeira Filho (2010).
As fases do processo de revisão sistemática são descritas a seguir:
1. Fase de Planejamento
Nesta etapa de revisão, primeiramente, deve-se definir qual será o foco ou qual será a
pergunta a ser respondida, ou seja, o que se espera da elaboração e execução de uma revisão
sistemática. A partir disso tem-se a base para a obtenção do volume inicial de fontes de informação
primárias.
Magge (1998, apud SAMPAIO e MANCINI, 2007) ressalta a importância e necessidade da
elaboração do protocolo de revisão, antes do início da pesquisa, incluindo os seguintes itens:
palavras chaves de pesquisa, onde os estudos serão encontrados, critérios de inclusão e exclusão
dos artigos, definição dos desfechos de interesse, verificação dos resultados, determinação da
qualidade dos estudos e análise da estatística utilizada.
Para a etapa de planejamento, primeiro, foi estabelecido o seguinte objetivo - realizar
levantamento bibliográfico e científico em segurança da informação com temas relacionados à
Gestão de Risco, Política de Segurança da Informação e Gestão de Segurança da Informação, onde
foi desenvolvido um protocolo de revisão adaptado, seguindo modelo de Kitchenham; Biolchini
132
(2004; 2005, apud TEIXEIRA FILHO, 2010), contemplando itens como: questões de pesquisa,
critérios de seleção de fontes, método de pesquisa, critérios de inclusão e exclusão, definição e
procedimentos para seleção de trabalhos.
Os tópicos abordados, bem como o conteúdo de cada item do protocolo dessa revisão
sistemática são apresentados no Apêndice B.
2. Fase de Execução
A etapa de execução envolve a seleção e validação das fontes primárias de informação
através dos critérios de inclusão e exclusão levantados na etapa de planejamento, ou seja, deve ser
aplicado os critérios nas fontes de informações pesquisadas, a fim de filtrar o que está de acordo
com os critérios pré-estabelecidos.
Nessa etapa foi realizada toda a condução criteriosa dos estudos primários, conforme
estabelecido no protocolo já citado. Para o desenvolvimento e execução da revisão sistemática,
todas as atividades de seleção e leitura foram compreendidas entre o período de 17/12/2015 à
06/05/2016. Todos os estudos foram identificados, coletados e organizados em uma lista
estruturada, passando por revisões, a cada etapa, para ter certeza que os estudos relevantes não
foram eliminados ou passados despercebidos pelo pesquisador. Concluindo essa fase, as
informações foram extraídas somente dos estudos selecionados.
A seguir é mostrado o resultado de todas as etapas de execução da revisão e os quantitativos
de estudos encontrados e selecionados (ver Tabela 1).
Toda análise nas etapas apresentadas serviu como parâmetro para a extração dos dados que
serão exibidos na Etapa de Resultados.
Tabela 1. Etapas da Revisão Sistemática
Base Etapa 1. Busca
nas bases
Etapa 2.
Leitura Título
Etapa 3.
Leitura
Resumo
Etapa 4.
Leitura Int.
e Conc.
Etapa 5.
Leitura
Completa
ACM 368 32 10 7 6
IEEE Xplore 327 39 22 15 10
Science Direct 509 27 23 2 2
Google Scholar 114 3 3 1 0
Scopus 94 -- -- -- --
Outros 8 0 0 0 0
Total 1420 101 58 25 18
133
Na etapa 2, conforme apresentado na Tabela 1, foram lidos os títulos e selecionados apenas
os que tinham relevância com o estudo em pesquisa. Por meio dessa filtragem, foram selecionados
101 estudos dos 1420 que retornaram por meio da busca na etapa 1. Na etapa 3, a seleção de cada
estudo foi aprimorada por meio de filtragem, utilizando-se dos critérios de inclusão e exclusão, a
partir da leitura do resumo (abstract). Sendo assim, foram selecionados 58 estudos dos 101 estudos
filtrados na etapa 2. Na etapa 4, foram lidas a introdução e a conclusão dos estudos da etapa
anterior, passando por outra filtragem e sendo selecionados apenas os estudos que tivessem relação
com as questões de pesquisa. Dessa forma, foram selecionados 25 dos 58 estudos selecionados na
etapa anterior.
A etapa 5 serviu para realizar a leitura completa de todos os estudos selecionados na etapa
anterior, nesta foram selecionados 18 trabalhos, destacando pontos relevantes de acordo com os
propósitos estabelecidos pela pesquisa, ou seja, verificar e compreender as melhores práticas em
gestão da segurança da informação de modo a encontrar os principais fatores para o aprimoramento
da maturidade da gestão da segurança da informação.
3. Fase de análise e divulgação dos resultados
A etapa de Resultados é a etapa final do processo de elaboração de uma revisão sistemática.
Consiste em mostrar os dados em um formato que possa ser analisado e estudado. Essa fase fornece
subsídios para que a pergunta definida na Etapa de Planejamento seja respondida e os estudos
primários que atenderam ao propósito da revisão sistemática sejam analisados criticamente e
sintetizados no formulário de aprovação dos trabalhos - FAT, através da preparação de resumos
contendo as discussões e observações dos autores acerca de cada estudo (KITCHENHAM et al.,
2007).
Quadro 4. Formulário de Aprovação de Trabalho (FAT). Ano Trabalho Tipo Autor Base
2014 Sector-Specific Tool for Information Security
Risk Management in the Context of
Telecommunications Regulation (Tool Demo)
Artigo Mayer, Nicolas and
Aubert, Jocelyn
ACM
2011 An Ontology- and Bayesian-based Approach for
Determining Threat Probabilities
Artigo Fenz, Stefan ACM
2013 Risk Mitigation Decisions for IT Security Artigo Yeo, M. Lisa and
Rolland, Erik and Ulmer,
ACM
134
Jackie Rees and
Patterson, Raymond A.
2015 Using stakeholders knowledge for data quality of
information system, information system security
documentation quality, information systems
security risk management
Artigo Sillaber, Christian and
Breu, Ruth
ACM
2011 Risk Analysis supported by information Security
Metrics
Artigo Breier, Jakub and Hudec,
Ladislav
ACM
2010 A Comparison of Information Security Risk
Analysis in the Context of e-Government to
Criminological Threat Assessment Techniques
Artigo Schneider, Richard M. ACM
2010 A framework for integrated risk management
process using survival analysis approach in
information security
Artigo Samy, G.N. and Ahmad,
R. and Ismail, Z.
IEEE
2010 Research on E-government Information Security
Risk Assessment - Based on Fuzzy AHP and
Artificial Neural Network Model
Artigo Guangfu Wei and Xin
Xhang and Xinlan Zhang
and Zhifang Huang
IEEE
2013 The State of the Art of Risk Assessment and
Management for Information Systems
Artigo Lulu Liang and Wang
Ren and Jing Song and
Huaming Hu and Qiang
He and Shuo Fang
IEEE
2011 Information Security Risk Evaluation for E-
Campus
Artigo Xinrong Lv IEEE
2013 The research and application of the risk
evaluation and management of information
security based on AHP method and PDCA
method
Artigo Meng Meng IEEE
2010 Information Security Risk Management
Framework for the Cloud
Computing Environments
Artigo Xuan Zhang and
Wuwong, N. and Hao Li
and Xuejie Zhang
IEEE
2012 A Value Based Security Risk Assessment
Method
Artigo Yijie Shi and Qiaoyan
Wen
IEEE
2014 Information security Risk Management in
Critical informative Systems
Artigo Kiran, K.V.D. and
Reddy, L.S.S. and
Kumar, V.P.
IEEE
2015 Security Risk Management in complex
organization
Artigo Sedinic, I. and Perusic, T. IEEE
2013 Information security risk management in small-
scale organisations: A case study of secondary
schools computerised information systems
Artigo Moyo, M. and Abdullah,
H. and Nienaber, R.C.
IEEE
2014 A multidimensional approach to information
security risk management using \{FMEA\} and
fuzzy theory
Artigo Maisa Mendonça Silva
and Ana Paula Henriques
de Gusmãoo
Science
Direct
2011 A risky business: ISO 31000 and 27005
unwrapped
Artigo Cath Everett Science
Direct
Fonte: adaptado de Teixeira Filho (2010).
135
Geralmente, nessa fase da revisão, os resultados são exibidos em forma de tabelas ou
gráficos, tendo como base as fontes de informação primária selecionada (SAMPAIO e MANCINI,
2007). O Gráfico 1 exibe os resultados dos estudos com a relevância primária extraídos na etapa 2.
O gráfico tem por objetivo apresentar as informações quantitativas referentes aos trabalhos
selecionados nessa fase. Foram selecionados 101 estudos, sendo 32% advindos da base ACM (32
estudos); 38% advindos da base IEEE Xplore (38 estudos); 27% advindos da base Science Direct
(27 estudos); 3% advindos da base Google Scholar (3 estudos).
Gráfico 1. Estudos selecionados na etapa 2 (leitura dos títulos)
O Gráfico 2 apresenta informações referentes ao número de trabalhos selecionados na etapa
5 e divididos por ano. Considerando que a busca da pesquisa foi planejada entre o período de
janeiro de 2010 a dezembro de 2015, verifica-se que a um equilíbrio entre as publicações nos anos
de 2010, 2011, 2013 e 2014 com 04 (quatro) e estudos relevantes e que o ano de 2012 apresentou
o menor número (01 estudo). Analisando o Gráfico 2, percebe-se uma certa queda nos anos de
2015 tema gestão de riscos segurança da informação.
Gráfico 2. Quantidade de estudos selecionados por ano
32%
38%
27%
3%
Estudos Selecionados - Etapa 02
Acm
IEEE
Science
Scholar
136
Desta forma, algumas conclusões podem ser elaboradas quanto ao resultado apontado pela
revisão sistemática e os estudos relevantes na área de segurança da informação e gestão da
segurança da informação:
Foram encontrados diversos modelos, normas e frameworks para análise de riscos de
segurança da informação, porém foram desenvolvidos especificamente para um tipo de
organização ou ramo de atividade;
Frameworks e Modelos conceituais já estão definidos, entretanto não dizem o COMO fazer,
apenas o que deve ser feito;
Os frameworks/normas COBIT, OCTAVE, NIST 800 são largamente utilizados pelas
empresas, mas o que se nota é o pouco uso desses frameworks em órgãos da APF
Os órgãos públicos, em sua maioria, seguem a Norma Complementar
04/IN01/DSIC/GSIPR como metodologia de gestão riscos de segurança da informação e
comunicações nos órgãos e entidades da Administração Pública Federal.
Na revisão sistemática notou-se que diversas organizações começam a tomar iniciativas a
respeito do tema Gestão de Riscos, tanto de forma geral para aplicação na organização como um
todo, quanto na área de projetos e segurança da informação. Estudos vem sendo divulgados sobre
o tema e frameworks e normas estão sendo propostos a cada ano como é o caso da ISO
31.000:2009, ISO 27005:2011 e o COBIT 5 for risk.
4 4
1
4 4
2
2010 2011 2012 2013 2014 2015
Quantidade de Estudos por ano
137
Todos os estudos selecionados nessa pesquisa da revisão sistemática foram lidos
integralmente e seus resumos no Trabalhos Relacionados Extraídos da Revisão Sistemática deste
trabalho.
Acm Failure Impact Analysis of Key Management in AMI
Using Cybernomic Situational Assessment (CSA)
Abercrombie, Robert K. and
Sheldon, Frederick T. 2013
Acm A Two-phase Quantitative Methodology for
Enterprise Information Security Risk Analysis
Bhattacharjee, Jaya and
Sengupta, Anirban 2012
Acm
Sector-Specific Tool for Information Security Risk
Management in the Context of Telecommunications
Regulation (Tool Demo)
Mayer, Nicolas and Aubert,
Jocelyn 2014
Acm An Ontology- and Bayesian-based Approach for
Determining Threat Probabilities Fenz, Stefan 2011
Acm Risk Mitigation Decisions for IT Security Yeo, M. Lisa and Rolland,
Erik and Ulmer, Jackie Rees
Acm
Using Stakeholder Knowledge for Data Quality
Assessment in IS Security Risk Management
Processes
Sillaber, Christian and Breu,
Ruth 2015
Acm Security Based Survivability Risk Analysis with
Extended HQPN
Youn, Hyunsang and Park,
Cheolhyun and Lee,
Eunseok
2011
Acm Teaching Cybersecurity: Protecting the Business
Environment
Murphy, Diane R. and
Murphy, Richard H. 2013
Acm Risk Analysis Supported by Information Security
Metrics
Breier, Jakub and Hudec,
Ladislav 2011
Acm Is Privacy Supportive for Adaptive ICT Systems? Wohlgemuth, Sven 2014
Acm Poster: Using Quantified Risk and Benefit to
Strengthen the Security of Information Sharing
Han, Weili and Shen,
Chenguang and Yin,
Yuliang and Gu, Yun and
Chen, Chen
2011
Acm Insider Threat Assessment: A Model-Based
Methodology
Nostro, Nicola and
Ceccarelli, Andrea and
Bondavalli, Andrea and
Brancati, Francesco
Acm A Methodology and Supporting Techniques for the
Quantitative Assessment of Insider Threats
Nostro, Nicola and
Ceccarelli, Andrea and
Bondavalli, Andrea and
Brancati, Francesco
2013
Acm Information and Communication Technology for
Managing Supply Chain Risks
Tang, Christopher S. and
Zimmerman, Joshua
Acm Complexity Reduction in Information Security Risk
Assessment Haya, Glourise M. 2015
Acm Modeling Stakeholder/Value Dependency Through
Mean Failure Cost
Aissa, Anis Ben and
Abercrombie, Robert K. and
Sheldon, Frederick T. and
Mili, Ali
2010
Acm Software Requirements for a System to Compute
Mean Failure Cost
Aissa, Anis Ben and
Abercrombie, Robert K. and
Sheldon, Frederick T. and
Mili, Ali
2010
138
Acm
Information Security Risk Management in Computer
Networks Based on Fuzzy Logic and Cost/Benefit
Ratio Estimation
Anikin, Igor and
Emaletdinova, Lilia Yu. 2015
Acm Architecture-driven Smart Grid Security
Management
Kammerstetter, Markus and
Langer, Lucie and Skopik,
Florian and Kastner,
Wolfgang
2014
Acm Threat Based Risk Management in the Federal Sector Volk, Nathan 2010
Acm A Primer on Carrying out a Successful Yet Rigorous
Security Risk Management Based Case Study Zafar, Humayun 2010
Acm
A Comparison of Information Security Risk Analysis
in the Context of e-Government to Criminological
Threat Assessment Techniques
Schneider, Richard M. 2010
Acm
A Decision Framework Model for Migration into
Cloud: Business, Application, Security and Privacy
Perspectives
Islam, Shareeful and
Weippl, Edgar R. and
Krombholz, Katharina
2014
Acm Development of Qualification of Security Status
Suitable for Cloud Computing System
Kai, Satoshi and Shigemoto,
Tomohiro and Kito, Tetsuro
and Takemoto, Satoshi and
Kaji, Tadashi
2012
Acm A Qualitative Analysis of Effects of Security Risks
on Architecture of an Information System
Kumar, Rakesh and Singh,
Hardeep
Acm Towards an Innovative Systemic Approach of Risk
Management
Cholez, Herv{\'e} and
Feltus, Christophe 2014
Acm Information Assurance Modeling Using the
Department of Defense Architecture Framework
O'Farrell, Ryan and
Banavara, Sriharsha and
Folds, Donald and
Hamilton,Jr., John A.
2010
Acm Ontologies for Modeling Enterprise Level Security
Metrics
Singhal, Anoop and
Wijesekera, Duminda 2010
Acm Information Security, Risk Governance and
Management Frameworks: An Overview of COBIT 5 Ataya, Georges 2013
Acm Development of Educational Ontology for Software
Risk Analysis
Robin, C. R. Rene and Uma,
G. V. 2011
Acm Risk Forecast Using Hidden Markov Models Pak, Charles and Cannady,
James
Acm A Risk Management Process for Consumers: The
Next Step in Information Security van Cleeff, Andre 2010
Ieee
Research on risk assessment model of information
security based on particle swarm algorithm -RBF
neural network
Dieguez, M. and Sepulveda,
S. and Cares, C. 2010
Ieee Information Security Risk Assessment Model of IT
Outsourcing Managed Service Cheng Ying 2012
Ieee Cloud computing: Security model comprising
governance, risk management and compliance
Al-Anzi, F.S. and Yadav,
S.K. and Soni, J. 2014
Ieee Incentive Alignment and Risk Perception: An
Information Security Application
Farahmand, F. and Atallah,
M.J. and Spafford, E.H. 2013
Ieee
A framework for integrated risk management process
using survival analysis approach in information
security
Samy, G.N. and Ahmad, R.
and Ismail, Z. 2010
139
Ieee
Research on E-government Information Security
Risk Assessment - Based on Fuzzy AHP and
Artificial Neural Network Model
Guangfu Wei and Xin
Xhang and Xinlan Zhang
and Zhifang Huang
2010
Ieee Coalitional Game Theory for Security Risk
Management
Saad, W. and Alpcan, Tansu
and Basar, T. and
Hjorungnes, A.
2010
Ieee Research the information security risk assessment
technique based on Bayesian network
Wang Lijian and Wang Bin
and Peng Yongjun 2010
Ieee
Research on risk management and control system for
information security K-PRS-ISMCS based on
knowledge management
Yuan Wei-hua and Jian,
Zhang and Qi Wen-jing 2011
Ieee A Ranking Method for Information Security Risk
Management Based on AHP and PROMETHEE
Jun-Jie Lv and Yuan-Zhuo
Wang 2010
Ieee A Risk Analysis Model for PACS Environments in
the Cloud
Da Silva Cordeiro, S. and
SantAna, F.S. and Suzuki,
K.M.F. and Mazzoncini
Azevedo-Marques, P.
2015
Ieee Complex systems and risk management Gros, S. 2011
Ieee A property based security risk analysis through
weighted simulation
Winkelvos, T. and Rudolph,
C. and Repp, J. 2011
Ieee Managing Risk in Secure System: Antecedents to
System Engineers' Trust Assumptions Decisions Offor, P.I. 2013
Ieee Information Security Risk Assessment Using Markov
Models
Marn-Ling Shing and Chen-
chi Shing 2010
Ieee Physical and logical Security Risk Analysis model Pecina, K. and Bilbao, A.
and Bilbao, E. 2011
Ieee Roles of perceived risk and usefulness in information
system security adoption Chang, A.J. 2010
Ieee Information Security Risk Assessment Model Based
on OCTAVE for E-Government
Chen Xin-ming and Wen
Ning 2010
Ieee The state of the art of risk assessment and
management for information systems
Lulu Liang and Wang Ren
and Jing Song and Huaming
Hu and Qiang He and Shuo
Fang
2013
Ieee Information security risk assessment model base on
FSA and AHP
Zi-Qiu Wei and Ming-Fang
Li 2010
Ieee Information security risk evaluation for e-campus Xinrong Lv 2011
Ieee
The risk control model in corporate governance
#x2014;Based on conditional random fields based
security risk evaluation for IT systems
Tang Jing and Shen Leping 2010
Ieee A causal model for information security risk
assessment Kondakci, S. 2010
Ieee
The research and application of the risk evaluation
and management of information security based on
AHP method and PDCA method
Meng Meng 2013
Ieee A Risk Assessment Model Based-Business-Circle of
E-Government Information System
Zhou Quan and Fu Gui and
Zhilian Zeng and Jiuhao Li
and Deqin Xiao
2010
Ieee
Long-term security of digital information:
Assessment through risk management and Enterprise
Architecture
Barateiro, J. and Antunes,
G. and Borbinha, J. 2011
Ieee Risk Assessment Methodology Based on the NISTIR
7628 Guidelines
Abercrombie, Robert K. and
Sheldon, Frederick T. and 2013
140
Hauser, Katie R. and Lantz,
Margaret W. and Mili, Ali
Ieee Information Security Risk Management Framework
for the Cloud Computing Environments
Xuan Zhang and Wuwong,
N. and Hao Li and Xuejie
Zhang
2010
Ieee Managing Emerging Information Security Risks
during Transitions to Integrated Operations
Ying Qian and Yulin Fang
and Jaatun, M.G. and
Johnsen, S.O. and
Gonzalez, J.J.
2010
Ieee Risk assessment model for TPCM based on threat
analysis Dan Wang and Yi Wu 2011
Ieee A Value Based Security Risk Assessment Method Yijie Shi and Qiaoyan Wen 2012
Ieee Information security Risk Management in Critical
informative Systems
Kiran, K.V.D. and Reddy,
L.S.S. and Kumar, V.P. and
Dheeraj, K.K.S.
2014
Ieee Towards Cloud Computing SLA Risk Management:
Issues and Challenges
Morin, J. and Aubert, J. and
Gateau, B. 2012
Ieee
Information security risk management planning: A
case study at application module of state asset
directorate general of state asset ministry of finance
Prasetyo, S. and Sucahyo,
Y.G. 2014
Ieee Experimentation tool for critical infrastructures risk
management Bialas, A. 2015
Ieee Security Risk Management in complex organization Sedinic, I. and Perusic, T. 2015
Ieee Information security risk assessment in SCM Roy, A. and Gupta, A.D.
and Deshmukh, S.G. 2013
Ieee
Information security risk management in small-scale
organisations: A case study of secondary schools
computerised information systems
Moyo, M. and Abdullah, H.
and Nienaber, R.C. 2013
Ieee Development of risk factor management method for
federation of clouds
Alguliyev, R. and
Abdullayeva, F. 2014
Science
direct
Managing information security risks during new
technology adoption
Ying Qian and Yulin Fang
and Jose J. Gonzalez 2012
Science
direct
A multidimensional approach to information security
risk management using \{FMEA\} and fuzzy theory
Maisa Mendonça Silva and
Ana Paula Henriques de
Gusmão
2014
Science
direct
A risky business: \{ISO\} 31000 and 27005
unwrapped Cath Everett 2011
Science
direct
A Quantitative Approach to Risk Management in
Critical Infrastructures
E. Sapori and M. Sciutto
and G. Sciutto 2014
Science
direct
Monitoring information security risks within health
care
Nicole van Deursen and
William J. Buchanan and
Alistair Duff
2013
Science
direct Chapter 1 - Information Security Risk Assessments
Mark Talabis and Jason
Martin 2013
Science
direct
Chapter 2 - Information Security Risk Assessment: A
Practical Approach
Mark Talabis and Jason
Martin 2013
Science
direct Chapter 6 - Risk Management Matthew Metheny 2013
Science
direct
Security Risk Management: Building an Information
Security Risk Management Program from the Ground
Up
Katina Michael 2012
Science
direct Chapter 4 - Policy Management Henry Dalziel 2015
141
Science
direct Chapter 5 - Risk Management
David Watson and Andrew
Jones 2013
Science
direct
Chapter 4 - Domain 3: Information Security
Governance and Risk Management
Eric Conrad and Seth
Misenar and Joshua
Feldman
2012
Science
direct
Chapter 3 - Domain 3: Information Security
Governance and Risk Management
Eric Conrad and Seth
Misenar and Joshua
Feldman
2014
Science
direct
Chapter 5 - Applying the \{NIST\} Risk Management
Framework Matthew Metheny 2013
Science
direct
Chapter 3 - Information Protection Function Three:
Risk Management 2013
Science
direct
Chapter 2 - Domain 1: Information security
governance and risk management
Eric Conrad and Seth
Misenar and Joshua
Feldman
2010
Science
direct Chapter 13 - Risk Management
Stephen D. Gantz and
Daniel R. Philpott 2013
Science
direct Chapter 2 - Risky Business Evan Wheeler 2011
Science
direct
Chapter 1 - Domain 1: Information Security
Governance and Risk Management Eric Conrad 2011
Science
direct Chapter 53 - Risk Management Sokratis K. Katsikas 2013
Science
direct
Chapter 9 - Risk Management Framework Steps 5 &
6
Stephen D. Gantz and
Daniel R. Philpott 2013
Science
direct
Chapter 4 - Understanding the \{FISMA\}
Compliance Process Laura P. Taylor 2013
Science
direct Chapter 3 - The Risk Management Lifecycle Evan Wheeler 2011
Science
direct
Risk perception and risk management in cloud
computing: Results from a case study of Swiss
companies
Nathalie Brender and Iliya
Markov 2013
Science
direct
Chapter 7 - Risk Management Framework Steps 1 &
2
Stephen D. Gantz and
Daniel R. Philpott 2013
Science
direct
Chapter 8 - Risk Management Framework Steps 3 &
4
Stephen D. Gantz and
Daniel R. Philpott 2013
Science
direct
Chapter 6 - Risk Management Framework Planning
and Initiation
Stephen D. Gantz and
Daniel R. Philpott 2012
Scholar
Modelo integrado para avaliação de riscos da
SEGURANÇA de INFORMAÇÃO em ambiente
corporativo
Morales, CÉsar SilvÉrio 2011
Scholar Um modelo conceitual para especificação da gestão
de riscos de segurança em sistemas de informação Kroll, Josiane
Scholar
An integrated risk management framework:
measuring the success of organizational knowledge
protection
Manhart, Markus and
Thalmann, Stefan 2013
142
PROTOCOLO DE REVISÃO SISTEMÁTICA (PRS) Versão: 02
Foco da
pesquisa Realizar um levantamento bibliográfico, literário e científico em Gestão de segurança da
informação com temas relacionados a Gestão de Risco, Política de Segurança e Modelo
de Maturidade.
Amplitude
da revisão
sistemática
Questão de pesquisa Q1 – Quais são os fatores críticos de sucesso que levam algumas instituições federais de
ensino a terem o nível de maturidade da gestão da segurança da informação mais elevados
do que outras?
Q2 – Quais as melhores práticas em gestão de TI para o desenvolvimento e implantação
de políticas de segurança da informação?
Q3 - Como realizar o gerenciamento dos riscos de segurança da informação para atender
os riscos que afetam os negócios de forma eficiente, apropriada e condizente com a
realidade das instituições de ensino superior da rede pública federal?
Palavras-chaves relacionadas às questões de pesquisa A pesquisa abrange a área de gestão da segurança da informação, porém será delimitado
nas sub áreas de política de segurança da informação, gestão de riscos e modelo de
maturidade. Os idiomas pesquisados serão o inglês e português, acreditando que bons materiais da
literatura científica também são encontrados no idioma de aplicação da pesquisa.
Português:
- Segurança da informação, modelo
de maturidade de segurança da
informação, nível de maturidade
de segurança da informação,
maturidade organizacional de
segurança da informação;
- Política de segurança da
informação, Gerenciamento de
política de segurança da
informação, ISO/IEC 27002,
ITIL, COBIT, boas práticas;
- Gestão de Riscos de Segurança,
Modelos de Gestão de Riscos de
Segurança da Informação,
Metodologia de Gestão de Riscos
Inglês:
- Information security, information
security maturity model, level of
information security maturity,
organizational maturity of
information security;
- Information security policy,
information security policy
management, ISO / IEC 27002; ISO
/ IEC 27005; ITIL, COBIT, best
practices,
- Security Risk Management, Models
Security Risk Management of
Information, Security Risk
Management Methodology of
143
de Segurança da Informação,
Framework de Gestão de Riscos
de Segurança da Informação
Information, Security Risk
Framework for the Management of
Information.
Intervenção Pretende-se, por meio de busca na literatura científica, intervenções na área de segurança
da informação em Gestão de Risco, Política de Segurança da Informação e Modelo de
Maturidade em segurança da Informação. Efeito Com a referida pesquisa pretende-se alcançar as seguintes ações:
- identificação de um diretrizes estratégicas de Gestão de Riscos de Segurança da
Informação que possa direcionar as Instituições Públicas de Ensino Superior na
busca pela implantação de um modelo de Gestão de Riscos de acordo com as
peculiaridades e especificidades dessas instituições.
- atinar informações para que políticas de segurança tenham suas
implementações orientadas a partir de práticas de gestão de TI, reconhecida
internacionalmente, tais como ISO/IEC 27002, ITIL e COBIT.
- propor que a maturidade da gestão de segurança da informação possam ser
formulados e direcionados de maneira mais condizente com as melhores práticas
mundiais e necessidades do negócio.
Métricas de Resultados Os resultados obtidos com este trabalho serão mensurados através da abordagem GQM. População A população aplicável a esta pesquisa pode ser resumida em estudos e trabalhos (artigos,
dissertações, teses, livros, normas, decretos e normativas aplicadas na Administração
Pública Federal) encontrados na literatura em segurança da informação. Aplicação O resultado dessa pesquisa é a aplicação de propostas para modelos de implementação e
melhorias de política de segurança da informação, com base nas melhores práticas de
gestão de TI, elaboração/revisão e melhoria da maturidade da gestão de segurança da
informação nas instituições federais de ensino; elaboração de um modelo a ser utilizado
nas Instituições Públicas de Ensino Superior da rede Federal para a Gestão de Riscos de
Segurança da Informação .
Critérios de seleção de fontes para a pesquisa dos trabalhos
144
Seleção das
fontes de
pesquisa
devem selecionar estudos de nível primário;
os estudos selecionados devem sem ser revisado por pares;
devem estar na web, com exceção apenas de livros que podem ser impressos; devem disponibilizar os trabalhos na íntegra e gratuitamente para fins de pesquisa; devem possuir mecanismos avançados de busca que permitam a combinação de
palavras-chave com os termos de relação “AND” e “OR”; devem ser de renome científico-acadêmico mundial, com exceção de sites web de
universidades, caso seja necessário, que contenham os mecanismos de busca
exigidos.
Procedimentos para seleção das fontes As fontes serão selecionadas por meio de testes com as palavras-chave já citados. Caso
retornem resultados satisfatórios ao teste, elas serão incluídas, ao contrário serão excluídas
(descartadas).
Idiomas de estudos Português e Inglês.
Identificação
das fontes
Método de pesquisa: a busca por trabalhos será realizada de forma
eletrônica, através de mecanismos de busca de sites web especializada e
de renome científico-acadêmico, podendo ser utilizados também sites de
universidades que contenham esses mecanismos disponíveis;
Strings de busca: as strings ou frases de busca são baseadas nas palavras-
chave já citadas. Esses strings serão aplicadas de acordo com a
disponibilidade técnica de estratégia de busca do mecanismo a ser
utilizado, podendo sofrer pequenas adaptações para que o mecanismo
consiga executá-las. As strings são as seguintes:
Português: 1 .
- gestão de segurança da
Informação OR política
de segurança da
informação OR gestão de
riscos da segurança da
informação
2.
- "Gestão de Segurança
da Informação" OR nível
de maturidade” OR
“modelo de maturidade”
- política de segurança da
informação OR COBIT
OR ITIL OR “ISO/IEC
Inglês: 4.
- Information Security
Management OR
information security policy
OR management risk
security information
5.
- "Information Security
Management" OR “maturity
level” OR “maturity model”
- "information security
polity" OR COBIT OR ITIL
OR “ISO/IEC 27002” OR
"best practices"
145
27002” OR "melhores
práticas"
- "Gestão de risco "AND
(Modelos OR framework
OR metodologia OR
“ISO/IEC 27005”)
3.
- COBIT OR ITIL OR
“ISOIEC 27002”
- "management risk" AND
(Models OR framework OR
methodology OR “ISO/IEC
27005”)
6. - COBIT OR ITIL OR ISO/IEC
27002
Lista de fontes de busca ACM Portal, IEEE Xplore, ScienceDirect, Google Scholar, Scopus,
outras (repositório de universidades).
Seleção dos
trabalhos
pesquisados
Definição dos trabalhos Os seguintes critérios devem nortear a inclusão e exclusão dos trabalhos. Inclusão: - Estudos primários; - Estudos revisados por pares; - Os estudos devem apresentar relevância no título; - Os trabalhos devem estar disponibilizados por completo; - Os trabalhos devem demonstrar algum embasamento científico que comprove os seus
resultados; - Estudos que discutem as questões de pesquisa já citados; - Estudos publicados entre janeiro de 2010 a dezembro de 2015. Exclusão: - Estudos secundários; - Estudos não revisados por pares; - Estudos duplicados; - Estudos que não apresentam relevância no título; - Estudos que não relatem as questões pesquisadas;
Procedimentos para seleção dos trabalhos Serão aplicadas cinco etapas para a seleção definitiva dos estudos a serem avaliados no
contexto da pesquisa. Os seguintes procedimentos vão proporcionar filtrar os trabalhos
mais relevantes para a pesquisa:
ETAPA I – Realizar pesquisas de acordo com as strings de busca definidas para
a pesquisa; ETAPA II – Os trabalhos retornados serão inicialmente avaliados segundo o
título, sem a necessidade de fichar no formulário de condução da revisão. Caso o
título seja relevante ao contexto da pesquisa, o trabalho será potencialmente
selecionado para a próxima etapa, caso contrário ele será excluído;
ETAPA III – Dos estudos pré-selecionados na primeira etapa, uma nova pesquisa
146
(busca) será realizada, aplicando-se strings de busca de forma mais refinada. Os
trabalhos que retornarem resultados com esse refinamento vão ter seus resumos
(abstract) lidos, depois serão selecionados para a próxima etapa e fichados no
formulário de condução da revisão. Caso contrário eles serão excluídos;
ETAPA IV – Na próxima etapa será realizada uma leitura da introdução e
conclusão de cada trabalho pré-selecionado. Se houver relevância com o contexto
da pesquisa, o trabalho será selecionado para a próxima etapa e fichado no
formulário de condução da revisão. Caso contrário ele será excluído;
ETAPA V – A última etapa aprimora a seleção principalmente, porque o trabalho
será completamente lido, analisado e criticado haja vista a relevância contextual
e filtro proporcionado pelas etapas anteriores. Nesta última etapa o trabalho será
considerado apto e será fichado no formulário de aprovação dos estudos.
147
ACOMPANHAMENTO DA LEITURA E FICHAMENTO
Nº do Resumo
Trabalho Início da leitura
Fim do resumo
Tempo (em dias)
01 Sector-Specific Tool for Information Security
Risk Management in the Context of
Telecommunications Regulation (Tool Demo)
01/02/2016 06/02/2016
6
02 An Ontology- and Bayesian-based Approach
for Determining Threat Probabilities
07/02/2016 11/02/1016 4
03 Risk Mitigation Decisions for IT Security 13/02/2016 16/02/2016 3
04 Using stakeholders knowledge for data quality
of information system, information system
security documentation quality, information
systems security risk management
18/02/2016 22/02/2016 4
05 Risk Analysis supported by information
Security Metrics
23/02/2016 28/02/2016 5
06 A Comparison of Information Security Risk
Analysis in the Context of e-Government to
Criminological Threat Assessment Techniques
04/03/2016 07/03/2016 3
07 A framework for integrated risk management
process using survival analysis approach in
information security
08/03/2016 10/03/2016 2
08 Research on E-government Information
Security Risk Assessment - Based on Fuzzy
AHP and Artificial Neural Network Model
10/03/2015 24/03/2015 14
09 The State of the Art of Risk Assessment and
Management for Information Systems
25/03/2016 03/04/2016 9
10 Information Security Risk Evaluation for E-
Campus
04/06/2016 06/04/2016 2
11 The research and application of the risk
evaluation and management of information
security based on AHP method and PDCA
method
07/06/2016 12/06/2016 5
12 Information Security Risk Management
Framework for the Cloud Computing
Environments
13/04/2016 14/04/2016 1
13 A Value Based Security Risk Assessment
Method
16/04/2016 17/04/2016 1
14 Information security Risk Management in
Critical informative Systems
17/04/2016 18/04/2016 1
15 Security Risk Management in complex
organization
21/04/2016 28/04/2016 7
16
Information security risk management in
small-scale organizations: A case study of
01/05/2016 06/05/2016 5
148
secondary schools computerized information
systems 17 A multidimensional approach to information
security risk management using \{FMEA\} and
fuzzy theory
20/05/2016 22/05/2016 2
18 A risky business: ISO 31000 and 27005
unwrapped
23/05/2016 26/05/2016 3
Tempo total gasto com fichamentos (leituras, resumos e levantamento de práticas)
77 Dias
149
APÊNDICE B – RANKING IFES GESTÃO DE RISCOS
INST MÉDIA
IFES28 41,83
IFES48 41,79
IFES36 34,7
IFES50 34,7
IFES47 31,51
IFES32 27,45
IFES25 27,07
IFES51 26,07
IFES13 23,75
IFES21 20,3
IFES45 19,94
IFES49 19,94
IFES46 19,83
IFES14 19,74
IFES33 19,53
IFES26 19,3
IFES41 19,09
IFES05 15,93
IFES16 15,79
IFES01 15,75
IFES17 15,73
IFES09 15,41
IFES08 15,16
IFES37 15,15
IFES03 12,53
IFES20 12,44
IFES30 12,26
IFES42 12,19
IFES18 11,95
IFES43 11,95
IFES34 11,94
IFES15 8,61
IFES53 8,34
IFES12 8,32
IFES24 8,32
IFES29 8,32
IFES02 8,23
IFES07 7,98
IFES06 7,87
IFES19 7,64
IFES39 7,55
IFES10 4,4
IFES40 4,4
IFES52 4,4
IFES27 3,83
IFES35 3,58
IFES44 3,58
IFES28 41,83
IFES48 41,79
IFES36 34,7
IFES50 34,7
IFES47 31,51
150
APÊNDICE C – RANKING IFES ISO 27005
IFE
S2
8
IFE
S4
8
IFE
S3
6
IFE
S5
0
IFE
S4
7
IFE
S3
2
IFE
S2
5
IFE
S5
1
IFE
S1
3
IFE
S2
1
IFE
S4
5
IFE
S4
9
IFE
S4
6
IFE
S1
4
IFE
S3
3
IFE
S2
6
IFE
S4
1
IFE
S0
5
IFE
S1
6
IFE
S0
1
IFE
S1
7
IFE
S0
9
IFE
S0
8
IFE
S3
7
IFE
S0
3
IFE
S2
0
IFE
S3
0
IFE
S4
2
IFE
S1
8
IFE
S4
3
IFE
S3
4
IFE
S1
5
IFE
S5
3
IFE
S1
2
To
tal
Q 8_4 4 3 4 4 3 2 3 3 3 4 3 3 4 3 4 3 4 3 4 4 3 3 4 4 3 2 3 2 2 3 3 3 4 3 110
Q 8_1 3 3 4 3 3 4 2 3 4 5 2 2 4 3 4 3 3 2 4 4 2 4 2 3 3 3 3 4 3 3 3 3 4 4 109
Q 8_2 4 3 4 4 3 2 3 3 3 4 3 3 4 2 2 2 3 2 4 3 2 3 2 3 2 2 3 4 3 3 3 2 2 2 97
Q 7_1 5 3 2 2 3 2 2 3 2 4 2 2 3 3 2 4 4 4 4 3 2 3 2 4 2 2 2 1 2 3 4 2 3 4 95
Q 7_2 4 3 2 2 3 2 2 2 3 4 2 2 3 3 2 3 4 3 4 3 2 5 2 4 2 2 2 1 2 3 5 2 3 3 94
Q 9_3 4 3 3 3 4 2 2 4 2 4 2 2 4 3 2 3 3 3 4 3 2 2 2 3 3 2 2 1 2 2 3 2 3 2 91
Q 7_3 4 3 2 2 3 2 2 2 3 2 3 3 3 2 2 3 3 3 4 4 2 3 2 3 2 2 2 1 2 2 5 2 2 4 89
Q 8_5 4 3 3 3 3 2 2 2 2 3 2 3 4 3 2 2 3 3 4 3 3 2 2 3 2 2 3 1 2 3 3 2 2 3 89
Q 8_3 3 3 3 3 3 2 3 2 3 3 2 2 3 2 2 2 3 2 4 4 2 3 2 3 2 2 3 3 2 3 3 2 2 2 88
Q 8_6 4 3 3 3 3 2 2 2 2 4 2 2 4 3 2 2 3 2 4 3 2 2 2 3 2 2 2 1 2 3 4 2 2 3 87
Q 9_1 4 3 3 3 4 2 3 2 3 3 2 2 3 2 2 2 3 2 4 3 2 2 2 3 2 2 2 1 2 2 3 2 2 2 84
Q 9_2 3 3 3 3 4 2 2 2 3 3 2 2 3 2 2 2 3 2 4 3 2 2 2 3 2 2 2 1 2 3 3 2 2 2 83
Q 10 4 3 3 3 3 2 2 3 3 2 2 2 3 1 2 3 3 2 4 3 2 2 2 3 2 2 2 1 2 2 3 2 3 2 83