PD-CQ-006 Gestão de Risco

GESTO DE RISCO
1.
OBJETIVO
Definir a estratgia, conceitos, mtodos e critrios para a implantao e execuo de processo

contnuo de gesto de riscos em segurana da informao na empresa, criando um padro para a
execuo do processo.
2.
APLICAO
Aplica-se a todas as reas da empresa abrangidas pelas atividades de gesto de risco.

3.
DEFINIES (CONCEITOS E CRITRIOS)
Abordagem de gesto de riscos so as metodologias adotadas no processo de gesto dos riscos

(anlise quantitativa, anlise qualitativa), assim como as restries organizacionais e de escopo.
Banco de Dados de Riscos (BDR), projetado em MS-Excel, contm as informaes necessrias
anlise e avaliao de riscos dos processos de negcio submetidos a este procedimento. O BDR
onde ficam as informaes pertinentes gesto de riscos e formado pelas seguintes planilhas, com
os respectivos contedos:
1. Planilha de Ativos Cdigo, descrio, host, virtual host, aplicaes, servios, classe, valor do
ativo e proprietrio;
2. Planilha de Classe de Ativos Cdigo e nome da classe do ativo;
3. Planilha de Processos Cdigo, nome e descrio do processo, local em que usado e gestor;
4. Planilha Consolidada de Avaliao de Riscos (PCAR) - Cdigo do processo; cdigo e descrio
do ativo; cdigo, descrio e valor da ameaa; cdigo, descrio e valor da vulnerabilidade;
cenrio do incidente e probabilidade de ocorrer o incidente; consequncia, valor do impacto,
mecanismos ou controles existentes para evitar o risco, objetivos de controle a serem
implementados, descrio do tratamento do risco, prazo estimado, custo estimado, nvel de
risco, status, estratgia, com todos os riscos dos processos levantados (recebidos atravs do
TP-CQ-004 Template Planilha de Riscos por Processo), consolidados nessa nica planilha
e com terminologia uniformizada.
5. Planilha de Ameaas Cdigo, tipo, descrio da ameaa e motivao;
6. Planilha de Tipos de Ameaa Cdigo, tipo, descrio do tipo da ameaa;
7. Planilha de Vulnerabilidades Cdigo, tipo, descrio da vulnerabilidade e detalhamento;
8. Controles: Espelho da definio de controles existentes na Declarao de Aplicabilidade ( DACQ-001-Declarao de Aplicabilidade)
que so pertinentes e aplicveis ao SGSI da organizao, para
consulta no BD.
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 1
ELABORADO POR: QUALIDADE

APROVADO POR: DIRETORIA
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
Template Planilha de Riscos por Processo (PRP), projetado em MS-Excel, praticamente uma
cpia do BDR, sendo que ao invs da PCAR, tem a planilha Riscos por Processo (RP), onde sero
identificados os riscos e seus detalhes do processo. Na RP onde ficam as informaes pertinentes
gesto de riscos por processo, e formado pelas seguintes planilhas, com os respectivos
contedos:
1. Planilha de Riscos do Processo (RP) Planilha editvel contendo: Cdigo do processo; cdigo e
descrio do ativo; cdigo, descrio e valor da ameaa; cdigo, descrio e valor da
vulnerabilidade; cenrio do incidente e probabilidade de ocorrer o incidente; consequncia e
valor do impacto.
2. Planilha de Ativos Planilha auxiliar no editvel contendo: Cdigo, descrio, host, virtual
host, aplicaes, servios, classe, valor do ativo e proprietrio;
3. Planilha de Classe de Ativos Planilha auxiliar no editvel contendo: Cdigo e nome da classe
do ativo;
4. Planilha de Processos Planilha auxiliar no editvel contendo: Cdigo, nome e descrio do
processo, local em que usado e gestor;
5. Planilha de Ameaas Planilha auxiliar no editvel contendo: Cdigo, tipo, descrio da
ameaa e motivao;
6. Planilha de Tipos de Ameaa Planilha auxiliar no editvel contendo: Cdigo, tipo, descrio
do tipo da ameaa;
7. Planilha de Vulnerabilidades Planilha auxiliar no editvel contendo: Cdigo, tipo, descrio
da vulnerabilidade e detalhamento;
Anlise dos Riscos o uso sistemtico de informaes para identificar fontes e estimar o risco. Efetuada
pelo Gestor de Riscos, com a colaborao dos gestores de processos das reas no escopo definido.
Avaliao de riscos o processo de comparar o risco estimado com critrios de risco predefinidos
para determinar a importncia do risco e sua prioridade no tratamento, aps a Anlise dos Riscos.
Ameaa tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. O Gestor de
Riscos manter uma Planilha de Ameaas, encontrada no Banco de Dados de Riscos (BDR) e
uma cpia no TP-CQ-004 Template Planilha de Riscos por Processo para consulta pelas partes
interessadas que tm a responsabilidade de identificar e monitorar os riscos em suas reas de
atuao. Deve-se atribuir uma nota relativa de 1 a 5, conforme tabela 1:
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 2
ELABORADO POR: qQUALIDADE

Salvador, BA.
GESTO DE RISCO
Tabela 1 Graduao de Ameaas
AMEAA
Muito alta
Alta
Mediana
Baixa
Muito baixa
Nota 5
Nota 4
Nota 3
Nota 2
Nota 1
CRITRIO
Com potencial altamente crtico para explorar vulnerabilidades
Com alto potencial para explorar vulnerabilidades
Com potencial considervel para explorar vulnerabilidades
Com baixo potencial de explorar vulnerabilidades
Com baixo ou quase nenhum potencial de explorar vulnerabilidades
Vulnerabilidade uma condio ou situao que pode ser explorada por uma ameaa, acarretando
prejuzo. O Gestor de Riscos manter uma Planilha de Vulnerabilidades para consulta pelas partes
interessadas que tm a responsabilidade de identificar e monitorar os riscos em suas reas de
atuao. Deve-se atribuir uma nota relativa de 1 a 5, conforme tabela 2.
Tabela 2 Graduao de Vulnerabilidades
VULNERABILIDADES
Muito alta
Nota 5
Alta
Nota 4
Moderada
Nota 3
Baixa
Nota 2
Muito baixa
Nota 1
CRITRIO
Exposio mxima ou ausncia total de barreiras
Relevncia alta com tratamento complexo
Relevante com tratamento moderado.
Relevante, com tratamento simples.
Irrelevante, com tratamento muito simples.
Contexto o ambiente interno ou externo no qual a organizao busca atingir seus objetivos, cujos
parmetros devero ser levados em considerao ao gerenciar riscos, alm do estabelecimento do
escopo e dos critrios de risco para a poltica de gesto de riscos.
Controle um mecanismo de proteo ou uma medida que modifica o risco.
Critrios bsicos compreende a abordagem para a gesto de riscos, critrios para a avaliao do
dos riscos, critrios de impacto, de tratamento e aceitao do risco, escopo e organizao para
gesto de riscos.
Escopo a abrangncia do processo de gesto de riscos em relao aos processos de negcio e
ativos considerados.
Evento ou incidente a ocorrncia ou mudana em um conjunto especfico de circunstncias. Um
evento pode consistir em uma ou mais ocorrncias e pode ter vrias causas. A probabilidade de
ocorrer um incidente obtida pelo produto dos graus da ameaa e da vulnerabilidade.
Gestor de Riscos colaborador com vnculo empregatcio designado pela direo da empresa como
administrador do processo contnuo de gesto de riscos, sendo detentor de cargo ou no.
Identificao dos riscos o processo de identificar ameaas, vulnerabilidades e os impactos
decorrentes da ocorrncia de eventos que podem causar efeitos negativos em ativos da organizao.
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 3

Salvador, BA.
GESTO DE RISCO
Impacto ou consequncia o efeito do incidente nos objetivos estratgicos ou nos processos de
negcio. Deve-se atribuir uma nota relativa de 1 a 5, conforme tabela 3:
Tabela 3 Graduao de Impacto
IMPACTO
Muito alto
Nota 5
Alto
Nota 4
Mediano
Nota 3
Baixo
Nota 2
Muito baixo
Nota 1
CRITRIO
Compromete grande parte dos objetivos estratgicos definidos no
contexto ou nos objetivos do processo de negcio.
Impacto elevado nos objetivos estratgicos definidos no contexto
podendo comprometer, em parte, o processo de negcio envolvido.
As consequncias nos objetivos estratgicos e nos processos de
negcio so contornveis com esforo razovel.
Pequeno impacto nos objetivos estratgicos e nos processos de
negcio, dependendo de solues razoveis.
Impacto irrelevante nos objetivos estratgicos e nos processos de
negcio podendo ser facilmente resolvido.
Monitoramento dos riscos ser realizado pelo Gestor de Riscos atravs da anlise dos fatores de
risco (valores de ativos, ameaas, vulnerabilidades, controles e probabilidade de ocorrncia). Os
ndices de segurana e de conformidade tambm devero ser recalculados periodicamente, de
acordo com os controles recomendados pela norma ABNT NBR ISO/IEC 27001:2005:
ndice de Segurana (IS) = 100 * RT / RA, onde:
RT a quantidade dos riscos tratados
RA a quantidade de riscos aplicveis.
ndice de Conformidade (IC) = 100 * CI / CA, onde:
CI a quantidade de controles implementados e
CA a quantidade de controles aplicveis.
.
Nvel de Risco obtido pelo produto da nota da probabilidade vezes a nota do impacto. Os valores
possveis so mostrados na Tabela 4, que classifica os riscos por importncia ou severidade [em
vermelho, os riscos altos ( 15), em amarelo, os riscos mdios (entre 8 e 12) e, em verde, os riscos
baixos ( 6)].
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
Probabilidade
Tabela 4 Nveis de risco e importncia
DATA:
14/02/14
PGINA: 4
5
4
3
5
4
3
10
8
6
15
12
9
20
16
12
25
20
15

Salvador, BA.
GESTO DE RISCO
2
1
2
1
1
4
2
2
6
3
3
8
4
4
10
5
5
Impacto
Os possveis nveis de risco so:

Alto: Para riscos com nvel igual ou superior a 15 representados pela cor vermelha na matriz
acima.
Medio: Para riscos com nvel igual a 8, 9, 10 ou 12 representados pela cor amarela na matriz
acima.
Baixo: Para riscos com nvel igual ou menor a 6 representados pela cor verde na matriz acima.
Probabilidade a chance de algo acontecer. O termo aqui usado para expressar, na forma de uma
nota, a probabilidade de ocorrer um determinado evento. Essa nota, que varia de 1 a 5, poder ser
estimada diretamente para o evento prognosticado ou para a probabilidade de uma ameaa explorar
uma vulnerabilidade.
Durante a anlise de riscos, ameaa e vulnerabilidade podem assumir notas de 1 a 5, logo a
probabilidade calculada a partir desses dois fatores pode assumir os valores: 1x1, 1x2, 1x3... at 5x5
e, a depender da faixa de valores desses resultados, a probabilidade ser classificada como: muito
baixa, baixa, mdia, alta e muito alta. A tabela 5, a seguir, mostra esses critrios:
Tabela 5 Graduao da Probabilidade de ocorrer incidentes

AMEAA X
VULNERA-
PROBABILIDADE
CRITRIO
BILIDADE
20 ou 25
12,15 ou16
8, 9 ou 10
3, 4, 5 ou 6
1 ou 2
Muito alta
Alta
Mdia
Baixa
Muito baixa
Iminncia do incidente.
Alta chance de ocorrncia do incidente.
Possibilidade razovel de ocorrncia do incidente.
Pequena possibilidade de ocorrncia do incidente.
Possibilidade quase imperceptvel de ocorrncia do incidente.
Nota 5
Nota 4
Nota 3
Nota 2
Nota 1
Risco o efeito da incerteza nos objetivos (ABNT ISO GUIA 73: 2009) ou um evento ou
condio incerta que, se ocorrer, ter um efeito positivo ou negativo sobre, pelo menos, um objetivo
do projeto, como tempo, custo, mbito ou qualidade (PMI, PMBOK Guide 2004). Na ZCR,
usaremos o primeiro conceito para os procedimentos de gesto de risco e o segundo para os projetos
submetidos ao processo de Gesto de Mudanas.
De qualquer forma, podemos substituir o termo projeto por processo. Esse efeito positivo ou
negativo ser medido pela probabilidade de ocorrer um incidente vezes o grau de impacto. Essa
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 5

Salvador, BA.
GESTO DE RISCO
medida representa o nvel de risco daquele ativo, sendo classificado como alto, mdio ou baixo,
exatamente como definido na Tabela 4, para efeito de tratamento do risco.
Exemplo de medida de risco Suponha avaliar o risco de interromper o processo de Atendimento a
Clientes num Call Center devido ausncia de atendentes. O cenrio de incidente estudado neste
exemplo causado pela ameaa de greve dos rodovirios e pela vulnerabilidade expressa pelo
percentual de pessoas que tm conduo prpria.
Devido alta frequncia de greves desse tipo em Salvador, a ameaa alta e, considerando que no
setor, metade das pessoas dispe de conduo prpria, a vulnerabilidade ser mdia, logo a
probabilidade (P) de ocorrer o incidente ausncia de atendentes alta = 4 (vide Tabela 3). Se
a ausncia de atendentes, em apenas um dia, pode Comprometer grande parte dos objetivos do
processo de negcio, ento o impacto (I) muito alto = 5 (V. Tabela 1). E o nvel de risco ser
R = P x I = 4 x 5 R = 20.
Risco residual o risco remanescente aps o seu tratamento.
Tratamento do risco o processo de seleo e implementao de medidas ou controles para
modificar um risco. H diversas estratgias para tratamento de um risco. Cabe ao Gestor de Risco
selecionar a estratgia mais adequada em funo do nvel do risco, do tempo mximo para
recuperao da operacionalidade do processo, do valor de reposio do ativo, do conhecimento para
tratar o risco, etc. (Vide Tabela 6 Estratgias para Tratamento dos Riscos).
Critrios de tratamento do risco: Independente dos critrios definidos a seguir, a direo da
empresa poder recomendar o tratamento ou aceitar o risco identificado.
riscos altos, sempre sero tratados. Para o tratamento de riscos de alta severidade (faixa
vermelha da Tabela 4), pode-se adotar mais de uma estratgia, inclusive planos de
contingncia, quando no se consegue reduzir o risco a um nvel aceitvel.
riscos mdios sempre sero tratados de forma que sejam reduzidos a um nvel aceitvel;
riscos baixos sero aceitos, sem tratamento. No entanto, estes riscos podero sofrer algum
tratamento em decorrncia do tratamento de outros riscos de maior severidade. Esses riscos
sero sempre acompanhados pelo gestor de riscos a cada ciclo de AR.
Tabela 6 Estratgias para tratamento de riscos

ESTRATGIA
Eliminar
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DESCRIO
Remover a sua causa.
DATA:
14/02/14
PGINA: 6

Salvador, BA.
GESTO DE RISCO
ESTRATGIA
Mitigar ou modificar
Acompanhar e
controlar
COD.: PDCIQ006
P.O.: INTERNO
DESCRIO
Tomar aes para reduzir a probabilidade de ocorrer ou reduzir o
impacto do risco.
Observar e, periodicamente, reavaliar as caractersticas do risco,
podendo at alterar sua estratgia de tratamento. Ainda assim, pode-se
ter um plano de contingncia, se necessrio.
Ter conscincia do risco, mas no tomar nenhuma ao. Normalmente
Aceitar
utilizada para riscos muito baixos e para aqueles cujo tratamento
Transferir ou
invivel.
Realocar os requisitos, ainda atendendo as necessidades do cliente,
compartilhar
para outros requisitos de riscos menores.
REVISO: 11
DATA:
14/02/14
PGINA: 7

Salvador, BA.
GESTO DE RISCO
Status o controle de estado do risco, e nunca deve estar vazio. Os possveis status para os riscos
so:
Tabela 7 Status dos riscos
Status
Descrio
Identificado
Riscos que foram identificados e sero monitorados.
Em Anlise
Riscos que esto sendo analisados pelo Gestor de Riscos
Em Tratamento
Riscos j analisados, priorizados e em processo de tratamento
Aceito
Riscos de nvel igual ou inferior a 6, ou superior e aceitos pela alta

direo.
Ocorrido/Residual
Riscos que ocorreram, foram tratados, mas ainda h como

ocorrerem novamente.
Eliminado
Riscos que no tem mais como ocorrer.
4.
RESPONSABILIDADES
4.1. DO GESTOR DE RISCOS
O Gestor de Riscos designado pela Direo da empresa, a quem responder diretamente, e tem
como atribuies: supervisionar os projetos de tratamento dos riscos; revisar permanentemente os
critrios bsicos da gesto de riscos; realizar, a qualquer tempo, novas anlises de riscos; manter o
Banco de Dados de Riscos; comunicar riscos; monitorar os nveis de risco da empresa; e subsidiar
as reunies de anlise crtica.
4.2.
DOS GESTORES DE PROCESSOS
Os gestores dos processos inscritos no escopo da gesto de riscos devero contribuir

significativamente com a identificao e avaliao dos riscos em sua rea de atuao, alm de
estarem permanentemente atentos a novas ameaas e vulnerabilidades, inclusive pela adio ou
remoo de ativos.
4.3.
DO COMIT DE SEGURANA DA INFORMAO
O Comit de Segurana da Informao exercer um papel consultivo em todas as etapas do

processo de gesto de risco, podendo ser convidado a opinar sobre as decises estratgicas.
5.
IMPLANTAO OU REVISO DO PROCESSO DE GESTO DE RISCOS
Os procedimentos descritos neste captulo sero utilizados para a implantao de um processo de

gesto de riscos na ZCR Informtica ou nas sucessivas revises do processo.
A Direo da empresa:
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 8

Salvador, BA.
GESTO DE RISCO
5.1.
Estabelece o contexto interno e externo para gesto de riscos de segurana da informao
considerando: os objetivos estratgicos da organizao; uma avaliao dos requisitos de segurana

da informao; a poltica do sistema de gesto da segurana da informao da empresa; os riscos
potenciais de incidentes de segurana da informao; os resultados de anlises de riscos efetuadas
anteriormente; a abordagem de anlise e avaliao de riscos na organizao.
5.2. Define o escopo da Anlise de Riscos estabelecendo os processos de negcio que sero
objeto da gesto de riscos.
5.3. Designa o Gestor de Risco, define seu papel, suas responsabilidades e sua vinculao
hierrquica.
O Gestor de Riscos:
5.4. Revisa os critrios bsicos definidos neste documento e elabora o PL-CQ-001-Plano de
Trabalho da Gesto de Riscos, onde constar:
Justificativa para a implantao do processo ou reviso do processo de gesto de riscos
apoiada no contexto interno e externo da empresa, alm do apontamento das restries
organizacionais e que podem afetar o escopo definido.

Estabelecimento ou modificaes introduzidas nos critrios bsicos do processo critrios
de avaliao dos riscos, critrios de impacto, critrios de aceitao dos riscos, estratgias de
e monitoramento dos riscos.

Proposta de organizao para gesto dos riscos na empresa, incluindo atribuies dos
5.5.
tratamento e critrios de monitoramento dos riscos.

Definio do escopo da gesto de riscos processos que sero objeto de anlise, tratamento
envolvidos.
Elabora ou atualiza a DA-CQ-001-Declarao de Aplicabilidade baseada no Anexo A da
norma ABNT ISO IEC 27001:2005, contendo os objetivos de controle e controles no escopo
definido, os controles existentes (j implementados) e as excluses de controles com as respectivas
justificativas.
5.6. Submete o Plano a parecer do Comit de Segurana da Informao.
5.7. Submete aprovao da Direo da empresa.
5.8. Edita o PL-CQ-001-Plano de Trabalho da Gesto de Riscos com as orientaes para
implantao ou reviso da anlise de riscos e recomendaes consideradas.
5.9. Comunica s partes interessadas.
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 9

Salvador, BA.
GESTO DE RISCO
6.
EXECUO DA GESTO DE RISCOS
Os procedimentos constantes deste captulo se referem rotina das atividades de gesto de riscos e
podero ser usados integral ou parcialmente em projetos de anlise de risco ad hoc ou em apoio aos
procedimentos da gesto de mudanas.
Os ciclos de anlise de riscos ocorrero pelo menos duas vezes por ano, e/ou caso o Gestor de
Riscos avalie ser necessrio em outros momentos. Os ciclos de anlise de riscos sero planejados e
mantidos pelo SEPG, no cronograma do mesmo, que fica armazenado sob gerncia de configurao
da rea.
6.1.
ANLISE DE RISCOS
O Gestor de Risco:
6.1.1. Revisa os critrios bsicos vigentes e definidos no captulo 3 CONCEITOS E CRITRIOS

deste documento PD-CQ-006.
6.1.2. Atualiza as tabelas do Banco de Dados de Riscos BDR e do TP-CQ-004 Template
Planilha de Riscos por Processo com os dados de processos, ativos, ameaas e
vulnerabilidades pertinentes ao escopo definido.
6.1.3. Entrega uma cpia do TP-CQ-004 Template Planilha de Riscos por Processo e entrega
aos respectivos gestores.
6.1.4. Entrevista e orienta cada um dos gestores dos processos do escopo considerado e solicita o
preenchimento da planilha Riscos do Processo (RP) no TP-CQ-004 Template Planilha de
Riscos por Processo, conforme as orientaes a seguir.
O Gestor do Processo:
6.1.5. Consulta a Tabela de Ativos no TP-CQ-004 Template Planilha de Riscos por Processo,
identifica e relaciona na RP os ativos de sua responsabilidade, diretamente relacionados ao
processo. Nesse ponto, o Gestor do Processo poder considerar novos ativos e lan-los na
Tabela de Ativos de forma destacada para que o Gestor de Riscos possa identificar mais
adiante.
6.1.6. Para cada ativo, investiga nas respectivas tabelas do TP-CQ-004 Template Planilha de Riscos
por Processo potenciais ameaas e vulnerabilidades que possam afetar negativamente os
processos em anlise, preenche a RP com o cdigo e descrio desses fatores de risco e, em
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 10

Salvador, BA.
GESTO DE RISCO
seguida, lhes d um valor, conforme os critrios predefinidos (Vide probabilidade no
captulo 3 deste documento e tabela 5).
O Gestor do Processo poder considerar novas ameaas e vulnerabilidades e lan-los
nas Tabelas respectivas, mas sempre de forma destacada para que o Gestor de Riscos
possa identificar mais adiante.
6.1.7. Para cada par ameaa-vulnerabilidade, preenche o campo cenrio de incidente com o
evento resultante. A probabilidade calculada automaticamente pela planilha eletrnica, de
acordo com a Tabela 5.
Alguns incidentes podero ser lanados nessa planilha sem que tenham sido
identificadas as respectivas ameaa e vulnerabilidade (vide tabelas 1 e 2), mas neste
caso, o Gestor de Processo dever atribuir uma nota probabilidade de ocorrer aquele
incidente, conforme predefinido (Vide Captulo 3 Probabilidade).
6.1.8. Para cada incidente apontado, descreve as consequncias para o negcio e estima uma nota,
de acordo com os critrios descritos no Captulo 3 Impacto (vide tabela 3).
6.1.9. O gestor do processo encaminha o TP-CQ-004 Template Planilha de Riscos por Processo
com a RP preenchida para o Gestor de Riscos e esclarece eventuais dvidas.
6.2.
AVALIAO DOS RISCOS

O Gestor de Riscos:
6.2.1. Revisa as Planilhas de Riscos do Processo preenchidas pelos Gestores de Processo, esclarece
dvidas, uniformiza a terminologia e a descrio dos cenrios de incidentes, realizando as
devidas correes, onde couber.
6.2.2. Consolida os dados das RP na Planilha de Consolidao e Avaliao de Riscos (PCAR) do
BDR.
6.2.3. Determina o nvel do risco para cada incidente calculando o produto (probabilidade de
ocorrncia do incidente) vezes (valor do impacto). Este clculo automtico, basta que
sejam validadas as notas dadas para Ameaas, Vulnerabilidades e Impacto previamente. Ao
ser atribudo o nvel de risco, o status do risco passa a Identificado (automatizado na PCAR
do BDR).
6.2.4. Classifica a PCAR por ameaa, por processo e por ativo.
6.2.5. Para cada evento de risco, consulta a DA-CQ-001-Declarao de Aplicabilidade, e o Plano
de Ao para Tratamento de Riscos no Whatsup: para os controles implementados (vide DACQ-001-Declarao de Aplicabilidade) ou em implementao (Vide Whatsup), preenche o
cdigo do objetivo de controle (Nesse ponto o risco muda de status Identificado para Em
Anlise) e controle correspondente no campo prprio da PCAR.
6.2.6. Classifica a PCAR por Nvel do Risco, por Processo e por Ativo.
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 11

Salvador, BA.
GESTO DE RISCO
6.2.7. Para os eventos com nvel de risco 15, cujo tratamento no esteja em curso no Plano de
Ao para Tratamento de Riscos (Status Em Tratamento), define os controles a serem
implementados no campo prprio, atravs dos cdigos do objetivo de controle e controle
correspondentes.
6.2.7.1. Para situaes onde os ativos sejam descontinuados, O Gestor de Riscos dever
alterar os valores de ameaa e vulnerabilidade para 0 (zero), os campos
MECANISMOS OU CONTROLES EXISTENTES PARA EVITAR O RISCO,
DESCRIO DO TRATAMENTO DO RISCO, PRAZO ESTIMADO e CUSTO
ESTIMADO para NA, e informar se o ativo foi descontinuado permanentemente ou
temporariamente
no
campo
OBJETIVOS
DE
CONTROLES
SEREM
IMPLEMENTADOS, alm disso, alterar o status e a estratgia dos riscos para

Eliminado. Esses riscos devem ser mantidos para questes de histrico, e possvel
reativao do ativo posteriormente.
6.2.8. Copia a clula de tratamento para todos os demais riscos da planilha que sero mitigados ou
eliminados com o tratamento especificado.
6.2.9. Analisa os eventos com nvel de risco 8 e menor que 15 e, se couber ao de tratamento do
risco, (a critrio do gestor de riscos), define os controles a serem implementados no campo
prprio, atravs dos cdigos do objetivo de controle e controle correspondentes.
6.2.9.1. Copia a clula de tratamento para todos os demais riscos da planilha que sero mitigados
ou eliminados com o tratamento especificado.
6.2.10. Classifica a PCAR por status, por cdigos do objetivo de controle e controle a ser
implementado, por nvel de risco, por processo e por ativo.
6.2.11. Somente para os eventos, cujo nvel de risco seja 8 e que no estejam em tratamento,
descreve o tratamento a ser dado, prazo e custo estimado no campo prprio da PAR.
6.2.12. Emite o F-CQ-014-Relatrio para Tratamento de Riscos com o seguinte contedo mnimo:
Cdigo e descrio do objetivo de controle e controles correspondentes ao projeto;
Descrio do projeto;
Prazo e custo estimados,
Relao dos eventos de risco a serem eliminados ou mitigados aps o projeto concludo,
contendo: processo, cenrio do incidente e impacto.

6.2.13. Emite o F-CQ-015-Relatrio para Aceitao de Riscos com o seguinte contedo mnimo:
Relao dos eventos de risco a serem aceitos, contendo: processo, cenrio do incidente e
impacto.
6.2.14. Encaminha os relatrios para a Direo da empresa.
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 12

Salvador, BA.
GESTO DE RISCO
6.2.15. Diretor da empresa analisa relatrios, esclarece dvidas com o gestor de riscos e com os
gerentes das reas circunscritas pelo escopo da anlise de riscos, recomenda revises e
autoriza o tratamento dos riscos e implementao do SGSI Sistema de Gesto da
Segurana da Informao.
6.2.16. Atualiza o status dos riscos com tratamento aprovados para Em Tratamento.
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 13

Salvador, BA.
GESTO DE RISCO
6.3.
TRATAMENTO DOS RISCOS
6.3.1. De posse do F-CQ-014-Relatrio para Tratamento de Riscos autorizado pela direo da

empresa, o Gestor de Riscos, prepara um plano de ao para cada controle a ser
implementado, negocia com responsveis pela implementao e lana no Whatsup com o
seguinte contedo mnimo:
Cdigo do objetivo de controle e controles correspondentes ao projeto;
Descrio do projeto;
Prazo e custo estimados,
Recursos;
Cronograma com marcos, prazos e responsveis.
6.3.2. A partir da, os projetos sero executados sob a responsabilidade dos gestores de processos
que aceitaram ou designaram o gerenciamento de cada projeto.
6.3.3. Mensalmente, o gestor de risco acompanhar a execuo dos projetos fazendo as devidas
atualizaes na DA-CQ-001-Declarao de Aplicabilidade e no status dos riscos na PCAR
(podendo passar para Ocorrido ou Eliminado aps seu tratamento), localizadas no BDR
(BD-CQ-001).
6.4.
MONITORAMENTO DOS RISCOS
6.4.1. A cada anlise de risco, elaborar grfico com as quantidades de riscos de alto nvel, de nvel
mdio e nvel baixo, nas ltimas anlises realizadas e publicar no portal ISO.
6.4.2. A cada anlise de riscos, o gestor de riscos, com base na ltima Planilha Consolidada de
Avaliao de Riscos (BDR>PCAR) e na planilha Declarao de Aplicabilidade (DA-CQ001-Declarao de Aplicabilidade):
Calcula o ndice de segurana (IS) com base na quantidade de riscos tratados (RT) e dos
riscos aplicveis (RA), mediante a frmula:
IS = 100 * RT / RA
Calcula o ndice de conformidade (IC), com base na quantidade de controles

implementados (CI) e controles aplicveis (CA), mediante a frmula:
IC = 100 * CA / CI
COD.: PDCIQ006
P.O.: INTERNO
Sugere progresso dos ndices de segurana e de conformidade.
REVISO: 11
DATA:
14/02/14
PGINA: 14

Salvador, BA.
GESTO DE RISCO
Submete aprovao da alta direo e faz as correes recomendadas no Plano de Ao
para Tratamento dos Riscos.

6.4.3. Mensalmente, emite tabela e grfico F-CQ-019-Evoluo dos Incidentes de Segurana
mostrando a evoluo dos incidentes de segurana:
6.4.3.1.
Pesquisa dados na base de dados do sistema de gerenciamento de incidentes e emite
6.4.3.2.
tabela e grfico com os valores dos ltimos doze meses;

Pesquisa dados no sistema de antivrus e emite tabela e grfico com as quantidades de
ataques dos ltimos doze meses.

6.4.4. Todos esses indicadores devero ser objeto de anlise e apresentao nas Reunies de
Anlise Crtica da empresa.
7.
REGISTROS
IDENTIFICAO
ARMAZENAMENTO
RECUPE
RAO
PROTEO
SEGU
RANA
TEMPO DE
RETENO
DISPO
SIO
LGICA
DE
ARQUIVA
MENTO
CUIDADOS
ACESSO
ATIVO
INATIVO
DES
TRUIO
COD
TTULO
FORMA
LOCAL
PL-CQ001
TP-CQ004
Plano de Trabalho
da Gesto de Risco
Template Planilha
de Riscos por
Processo
Banco de dados
Gesto de Riscos
Digital
Pasta de
Qualidade
Pasta de
Qualidade
Por Data
Backup/SVN
Restrita
2 anos
1 ano
Deletar
Por Data
Backup/SVN
Restrita
5 anos
1 ano
Deletar
Digital
Pasta de
Qualidade
Por Data
Backup/SVN
Restrita
5 anos
1 ano
Deletar
Declarao de
Aplicabilidade
Relatrio de
Tratamento de
Riscos
Relatrio de
Aceitao de
Riscos
Evoluo dos
incidentes de
segurana
Digital
Pasta de
Qualidade
Pasta de
Qualidade
Por Data
Backup/SVN
Restrita
5 anos
1 ano
Deletar
Por Data
Backup/SVN
Restrita
5 anos
1 ano
Deletar
Digital
Pasta de
Qualidade
Por Data
Backup/SVN
Restrita
5 anos
1 ano
Deletar
Digital
Pasta de
Qualidade
Por Data
Backup/SVN
Restrita
1 ano
1 ano
Deletar
BD-CQ001
DA-CQ001
F-CQ014
F-CQ015
F-CQ019
Digital
Digital
8. ANEXOS
ABNT NBR ISO IEC 27001:2005 Cdigo de Prtica para a Gesto da Segurana da Informao
ABNT NBR ISO IEC 27005 Gesto de Riscos de Segurana da Informao
F-CQ-014 Relatrio de Tratamento de Riscos
F-CQ-015 Relatrio de Aceitao de Riscos
F-CQ-019 Evoluo dos Incidentes de Segurana
9. FLUXOGRAMA
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 15

Salvador, BA.
GESTO DE RISCO
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 16

Salvador, BA.
GESTO DE RISCO
10. CONTROLE DE REVISO

Reviso
01
Data
24/04/2011
02
23/05/2012
03
26/06/2012
04
26/12/2012
05
28/01/2013
06
07/03/2013
07
23/05/2013
08
27/05/2013
09
03/06/2013
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
Histrico das revises

Insero da nova tabela de controle de registros. Alterao
do layout, cdigo do documento e do quadro de revises
conforme documento PD-CQ-001; alterao do quadro de
registros conforme documento PD-CQ-002.
O Objetivo foi reescrito, foram includos novos termos no
glossrio e as etapas foram revistas para dar maior clareza;
foi criado um novo formulrio para levantamento das
probabilidades de ocorrer os incidentes e impactos
gerados.
Documento totalmente reescrito para atender ISO 27000 e
Gesto de Riscos
Incorporao da Declarao de Aplicabilidade ao processo
e definio de novos critrios para tratamento dos riscos.
Reviso de toda a redao.
Alterao da tabela de registros, anexos e Remoo de
hiperlinks.
Reitemizao e redefinio de procedimentos de
tratamento. Criao do Plano de Trabalho da Gesto de
Riscos.
Reviso e ajustes nas definies para compatibilizar com a
nova estrutura do Banco de Dados de Riscos (BDR) e
incorporao da Declarao de Aplicabilidade no mesmo.
Correo nas colunas da PCAR e alterao na tabela de
vulnerabilidades (definio de Muito alta).
Reviso e ajustes nos itens em tratamento (na tabela 7
DATA:
14/02/14
PGINA: 17
Item
5e8
Revisado por
Qualidade
1, 3, 5, 6,
7, 8
Qualidade
Todos
Qualidade
3, 5.1,
5.2.3
Qualidade
5e6
Qualidade
Suporte
1, 3 e 7
Qualidade
Qualidade
3, 6.2.15
Qualidade

Salvador, BA.
GESTO DE RISCO
10
25/06/2013
11
14/02/2014
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
Status de riscos), avaliao de riscos e tratamento de

riscos.
Reviso de ajustes, pois a Declarao de Aplicabilidade
volta a ser documento externo (DA-CQ-001-Declarao
de Aplicabilidade), estabelecimento de uma frequncia de
alterao da Declarao de Aplicabilidade, mudana no
critrio de riscos mdios, que passam a ser tratados
sempre, na periodicidade de reviso da DA, Alterao na
definio de controles e critrios de tratamento de riscos
mdios, da implantao ou reviso do processo de gesto
de riscos, da execuo da gesto de riscos, tratamento dos
riscos, monitoramento dos riscos e tabela de registros.
Incluso das aes referente aos ativos descontinuados.
Alterao do template do documento.
DATA:
14/02/14
PGINA: 18
e 6.3.2
1, 3, 5.5,
6, 6.2.5,
6.2.7.1,
6.3.2,
6.3.3,
6.4.2 e 7
Qualidade
Qualidade

Salvador, BA.

PD-CQ-006 Gestão de Risco

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

PD-CQ-006 Gestão de Risco

Diunggah oleh

Hak Cipta:

Format Tersedia

GESTO DE RISCO

Definir a estratgia, conceitos, mtodos e critrios para a implantao e execuo de processo

Aplica-se a todas as reas da empresa abrangidas pelas atividades de gesto de risco.

DEFINIES (CONCEITOS E CRITRIOS)

Abordagem de gesto de riscos so as metodologias adotadas no processo de gesto dos riscos

que so pertinentes e aplicveis ao SGSI da organizao, para

ELABORADO POR: QUALIDADE

ELABORADO POR: qQUALIDADE

ELABORADO POR: qQUALIDADE

Tabela 4 Nveis de risco e importncia

ELABORADO POR: qQUALIDADE

Os possveis nveis de risco so:

Tabela 5 Graduao da Probabilidade de ocorrer incidentes

ELABORADO POR: qQUALIDADE

Tabela 6 Estratgias para tratamento de riscos

ELABORADO POR: qQUALIDADE

utilizada para riscos muito baixos e para aqueles cujo tratamento

para outros requisitos de riscos menores.

ELABORADO POR: qQUALIDADE

Riscos que foram identificados e sero monitorados.

Riscos que esto sendo analisados pelo Gestor de Riscos

Riscos j analisados, priorizados e em processo de tratamento

Riscos de nvel igual ou inferior a 6, ou superior e aceitos pela alta

Riscos que ocorreram, foram tratados, mas ainda h como

Riscos que no tem mais como ocorrer.

DOS GESTORES DE PROCESSOS

Os gestores dos processos inscritos no escopo da gesto de riscos devero contribuir

DO COMIT DE SEGURANA DA INFORMAO

O Comit de Segurana da Informao exercer um papel consultivo em todas as etapas do

IMPLANTAO OU REVISO DO PROCESSO DE GESTO DE RISCOS

Os procedimentos descritos neste captulo sero utilizados para a implantao de um processo de

ELABORADO POR: qQUALIDADE

Estabelece o contexto interno e externo para gesto de riscos de segurana da informao

considerando: os objetivos estratgicos da organizao; uma avaliao dos requisitos de segurana

organizacionais e que podem afetar o escopo definido.

e monitoramento dos riscos.

tratamento e critrios de monitoramento dos riscos.

ELABORADO POR: qQUALIDADE

EXECUO DA GESTO DE RISCOS

6.1.1. Revisa os critrios bsicos vigentes e definidos no captulo 3 CONCEITOS E CRITRIOS

ELABORADO POR: qQUALIDADE

AVALIAO DOS RISCOS

ELABORADO POR: qQUALIDADE

IMPLEMENTADOS, alm disso, alterar o status e a estratgia dos riscos para

Cdigo e descrio do objetivo de controle e controles correspondentes ao projeto;

Prazo e custo estimados,

contendo: processo, cenrio do incidente e impacto.

ELABORADO POR: qQUALIDADE

ELABORADO POR: qQUALIDADE

TRATAMENTO DOS RISCOS

6.3.1. De posse do F-CQ-014-Relatrio para Tratamento de Riscos autorizado pela direo da

Cdigo do objetivo de controle e controles correspondentes ao projeto;

Prazo e custo estimados,

Cronograma com marcos, prazos e responsveis.

MONITORAMENTO DOS RISCOS

Calcula o ndice de conformidade (IC), com base na quantidade de controles

Sugere progresso dos ndices de segurana e de conformidade.

ELABORADO POR: qQUALIDADE

Submete aprovao da alta direo e faz as correes recomendadas no Plano de Ao

para Tratamento dos Riscos.

tabela e grfico com os valores dos ltimos doze meses;

ataques dos ltimos doze meses.

ELABORADO POR: qQUALIDADE

ELABORADO POR: qQUALIDADE