Anda di halaman 1dari 49

Aula 02

Normas ISO para concursos de TI - Curso Regular (Com videoaulas)

Professor: Victor Dalton


Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

AULA 06: ISO 27005/31000/22301

SUMÁRIO PÁGINA
1. ISO 27005 2
1.1 Considerações iniciais 2
1.2 Termos e definições 2
1.3 Contextualização 3
1.4 O processo de gestão de riscos de segurança da 4
informação
1.5 Definição do contexto 8
1.6 Processo de avaliação de riscos 12
1.7 Tratamento de riscos 14
1.8 Aceitação do risco 15
1.9 Comunicação e consulta do risco de segurança da 16
informação
1.10 Monitoramento e análise crítica de riscos de segurança 17
da informação
2. ISO 22301 e ISO 31000 – principais pontos 20
Exercícios 25
Considerações Finais 40
Lista de Exercícios 41

Olá pessoal! E vamos que vamos para finalizar o curso!

Vamos finalizar a família da normas ISO 27000, abordando a ISO


27005, que comecou a ser cobrada com mais ênfase nos últimos
concursos. E , como bônus, abordaremos, resumidamente, as normas
ISO 22301 e 31000. São normas correlatas, novas, e que estão
ensaiando aparecer com mais regularidade nos próximos concursos de TI.

Aos estudos! 16712855225

Observação importante: este curso é protegido por direitos


autorais (copyright), nos termos da Lei 9.610/98, que altera,
atualiza e consolida a legislação sobre direitos autorais e dá
outras providências.

Grupos de rateio e pirataria são clandestinos, violam a lei e


prejudicam os professores que elaboram os cursos. Valorize o
trabalho de nossa equipe adquirindo os cursos honestamente
através do site Estratégia Concursos ;-)

Prof. Victor Dalton


www.estrategiaconcursos.com.br 1 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
ISO 27005

1. NORMA ISO 27005

1.1 Considerações iniciais

A Norma ISO 27005 fornece diretrizes para o processo de Gestão


de Riscos de Segurança da Informação de uma organização,
atendendo particularmente aos requisitos de um SGSI de acordo com a
ABNT NBR ISO/IEC 27001, sendo o principal referencial em Gestão de
Riscos.

Contudo, a norma não inclui uma metodologia específica para a


gestão de riscos de segurança da informação. Cabe à própria organização
definir sua abordagem ao processo de gestão de riscos, levando em
conta, por exemplo, o escopo do seu SGSI, o contexto da gestão de riscos
e o seu setor de atividade econômica.

A ISO 27005 pode ser aplicada a todos os tipos de organização (por


exemplo: empreendimentos comerciais, agências governamentais,
organizações sem fins lucrativos), que pretendam gerir os riscos que
poderiam comprometer a segurança da informação da organização.

1.2 Termos e definições 16712855225

Conhecer como a norma define certos termos é importante, tanto


para melhor compreensão do conteúdo, quanto para responder questões
de prova. 

Termo Definição
consequência resultado de um evento que afeta
os objetivos (normalmente é negativa)

controle medida que está modificando o

Prof. Victor Dalton


www.estrategiaconcursos.com.br 2 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
risco

nível de risco magnitude de um risco, expressa


em termos das consequências e
probabilidade

probabilidade chance de algo acontecer

risco residual risco remanescente após o


tratamento do risco

risco efeito da incerteza nos objetivos


– referência aos eventos potenciais e
suas consequências

processo de avaliação de processo global de identificação


riscos de riscos, análise de riscos e avaliação
de riscos

análise de risco processo de compreender a


natureza do risco e determinar o
nível do risco

critérios de risco termos de referência contra os


quais a significância de um risco é
avaliada

avaliação de risco processo de comparar os


resultados da análise de risco com os
critérios de risco para determinar se
o risco é aceitável ou tolerável
16712855225

identificação de riscos processo de busca,


reconhecimento e descrição de riscos

gestão de riscos atividades coordenadas para


dirigir e controlar os riscos de uma
organização

tratamento de riscos processo para modificar o risco

Prof. Victor Dalton


www.estrategiaconcursos.com.br 3 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

1.3 Contextualização

Uma abordagem sistemática de gestão de riscos de segurança da


informação é necessária para identificar as necessidades da organização
em relação aos requisitos de segurança da informação e para criar um
sistema de gestão de segurança da informação (SGSI) que seja eficaz.
Esta abordagem deve estar alinhada com o processo maior de gestão de
riscos corporativos.

A gestão de riscos de segurança da informação deve ser um


processo contínuo. Ela deve contribuir para:

 Identificação de riscos
 O processo de avaliação de riscos em função das
consequências ao negócio e da probabilidade de sua ocorrência
 Comunicação e entendimento da probabilidade e das
consequências destes riscos
 Estabelecimento da ordem prioritária para tratamento do risco
 Priorização das ações para reduzir a ocorrência dos riscos
 Envolvimento das partes interessadas quando as decisões de
gestão de riscos são tomadas e mantidas informadas sobre a
situação da gestão de riscos
 Eficácia do monitoramento do tratamento do risco
 Monitoramento e a análise crítica regular de riscos e do
processo de gestão dos mesmos
 Coleta de informações de forma a melhorar a abordagem da
16712855225

gestão de riscos
 Treinamento de gestores e pessoal a respeito dos riscos e das
ações para mitigá-los

Tal processo pode ser aplicado à organização como um todo, a uma


área específica da organização (por exemplo: um departamento, uma
localidade, um serviço), a um sistema de informações, a controles já
existentes, planejados ou apenas a aspectos particulares de um controle
(por exemplo: o plano de continuidade de negócios).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 4 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

1.4 O processo de gestão de riscos de segurança da


informação

O processo de gestão de riscos de segurança da informação consiste


na definição do contexto, avaliação de riscos, tratamento de risco,
comunicação e consulta e monitoramento e análise crítica,
organizados da seguinte forma:

16712855225

Processo de gestão de riscos. Fonte: ABNT ISO 27005.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 5 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
Primeiramente, o contexto é estabelecido. Em seguida, os riscos são
identificados, analisados e avaliados. Se estas etapas fornecem
informações suficientes para que se determine de forma eficaz as ações
necessárias para reduzir os riscos a um nível aceitável, então a tarefa
está completa e o tratamento do risco pode prosseguir.

Por outro lado, se as informações forem insuficientes, executa-se


uma outra iteração do processo de avaliação de riscos, revisando-se o
contexto (por exemplo: os critérios de avaliação de riscos, de aceitação
do risco ou de impacto), possivelmente em partes limitadas do escopo.

16712855225

Prof. Victor Dalton


www.estrategiaconcursos.com.br 6 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

16712855225

Ciclo de gestão de riscos. Interação. Fonte: ABNT ISO 27005.

A atividade de aceitação do risco (consequência do tratamento de


riscos) tem de assegurar que os riscos residuais sejam explicitamente
aceitos pelos gestores da organização. Isso é especialmente importante
em uma situação em que a implementação de controles é omitida ou
adiada, por exemplo, devido aos custos.

Durante o processo de gestão de riscos de segurança da informação,


é importante que os riscos e a forma com que são tratados sejam

Prof. Victor Dalton


www.estrategiaconcursos.com.br 7 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
comunicados ao pessoal das áreas operacionais e gestores apropriados.
Mesmo antes do tratamento do risco, informações sobre riscos
identificados podem ser muito úteis para o gerenciamento de incidentes e
ajudar a reduzir possíveis prejuízos.

A conscientização dos gestores e pessoal no que diz respeito aos


riscos, à natureza dos controles aplicados para mitigá-los e as áreas
definidas como de interesse pela organização, auxiliam a lidar com os
incidentes e eventos não previstos da maneira mais efetiva.

Convém que os resultados detalhados de cada atividade do processo


de gestão de riscos de segurança da informação, assim como as decisões
sobre a análise/avaliação de riscos e sobre o tratamento do risco sejam
documentados.

A ISO 27005 adota o ciclo PDCA para estruturar os processos do


Sistema de Gestão da Segurança da Informação (SGSI).

Em um SGSI, a definição do contexto, a análise/avaliação de riscos,


o desenvolvimento do plano de tratamento do risco e a aceitação do risco,
fazem parte da fase "planejar"(PLAN).

Na fase "executar" (DO) do SGSI, as ações e controles necessários


para reduzir os riscos para um nível aceitável são implementados de
acordo com o plano de tratamento do risco.

Na fase “verificar” (CHECK) do SGSI, os gestores determinarão a


necessidade de revisão das avaliações e tratamento do risco à luz dos
incidentes e mudanças nas circunstâncias.16712855225

Na fase “agir” (ACT), as ações necessárias são executadas, incluindo


a reaplicação do processo de gestão de riscos de segurança da
informação.

Processo Processo de Gestão de riscos de segurança da informação


do SGSI
Definição do contexto
Processo de avaliação de riscos
Planejar
Definição do plano de tratamento do risco
Aceitação do risco

Prof. Victor Dalton


www.estrategiaconcursos.com.br 8 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
Executar Implementação do plano de tratamento do risco
Verificar Monitoramento contínuo e análise crítica de riscos
Agir Manter e melhorar o processo de Gestão de Riscos de Segurança
da Informação

A partir de agora, veremos cada etapa deste processo. A norma


adota um processo mecânico para elucidar as etapas, indicando entradas,
ações, diretrizes de implementação e saídas.

1.5 Definição do contexto

Entrada: Todas as informações sobre a organização relevantes para


a definição do contexto da gestão de riscos de segurança da informação.

Ação: É conveniente que o contexto para gestão de riscos de


segurança da informação seja estabelecido, o que envolve a definição
dos critérios básicos necessários para a gestão de riscos de segurança
da informação, a definição do escopo e dos limites e o
estabelecimento de uma organização para operar a gestão de riscos
de segurança da informação.

Diretrizes para implementação: É essencial determinar o


propósito da gestão de riscos de segurança da informação, pois ele afeta
o processo em geral e a definição do contexto em particular.

Podem ser propósitos para a gestão de riscos:


16712855225

Suporte a um SGSI;
 Conformidade legal e a evidência da realização dos
procedimentos corretos;
 Preparação de um plano de continuidade de negócios;
 Preparação de um plano de resposta a incidentes;
 Descrição dos requisitos de segurança da informação para um
produto, um serviço ou um mecanismo;

Saída: A especificação dos critérios básicos; o escopo e os


limites do processo de gestão de riscos de segurança da
informação; e a organização responsável pelo processo.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 9 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

Quanto às subetapas propostas na ação, podemos destacar:

1.5.1 Definição dos critérios básicos

Nesta etapa devem ser definidos:

 Critérios para a avaliação de riscos

Com base em:


o O valor estratégico do processo que trata as informações
de negócio
o A criticidade dos ativos de informação envolvidos
o Requisitos legais e regulatórios, bem como as obrigações
contratuais
o Importância do ponto de vista operacional e dos
negócios, da disponibilidade, da confidencialidade e da
integridade
o Expectativas e percepções das partes interessadas e
consequências negativas para o valor de mercado (em
especial, no que se refere aos fatores intangíveis desse
valor), a imagem e a reputação

Além disso, os critérios para avaliação de riscos podem ser usados


para especificar as prioridades para o tratamento do risco.

 Critérios de impacto

Desenvolvidos e especificados em função do montante dos danos ou


16712855225

custos à organização causados por um evento relacionado com a


segurança da informação, considerando o seguinte:

o Nível de classificação do ativo de informação afetado


o Ocorrências de violação da segurança da informação (por
exemplo: perda da disponibilidade, da confidencialidade
e/ou da integridade)
o Operações comprometidas (internas ou de terceiros)
o Perda de oportunidades de negócio e de valor financeiro
o Interrupção de planos e o não cumprimento de prazos
o Dano à reputação

Prof. Victor Dalton


www.estrategiaconcursos.com.br 10 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
o Violações de requisitos legais, regulatórios ou contratuais

 Critérios para a aceitação do risco

Devem depender frequentemente das políticas, metas e objetivos da


organização, assim como dos interesses das partes interessadas.

Convém que a organização defina sua própria escala de níveis de


aceitação do risco. Convém que os seguintes tópicos sejam considerados
durante o desenvolvimento:

o Critérios para a aceitação do risco podem incluir mais de um


limite, representando um nível desejável de risco, porém
precauções podem ser tomadas por gestores seniores para
aceitar riscos acima desse nível desde que sob circunstâncias
definidas
o Critérios para a aceitação do risco podem ser expressos como a
razão entre o lucro estimado (ou outro benefício ao negócio) e o
risco estimado
o Diferentes critérios para a aceitação do risco podem ser
aplicados a diferentes classes de risco, por exemplo: riscos que
podem resultar em não conformidade com regulamentações ou
leis podem não ser aceitos, enquanto riscos de alto impacto
poderão ser aceitos se isto for especificado como um requisito
contratual
o Critérios para a aceitação do risco podem incluir requisitos para
um tratamento adicional futuro, por exemplo: um risco poderá
ser aceito se for aprovado e houver o compromisso de que ações
para reduzi-lo a um nível aceitável serão tomadas dentro de um
determinado período de tempo 16712855225

Critérios para a aceitação do risco podem ser diferenciados de acordo


com o tempo de existência previsto do risco, por exemplo: o risco pode
estar associado a uma atividade temporária ou de curto prazo. Convém
que os critérios para a aceitação do risco sejam estabelecidos,
considerando os seguintes itens:

o Critérios de negócio
o Aspectos legais e regulatórios

Prof. Victor Dalton


www.estrategiaconcursos.com.br 11 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
o Operações
o Tecnologia
o Finanças
o Fatores sociais e humanitários

1.5.2 Definição do escopo e dos limites

O escopo do processo de gestão de riscos de segurança da


informação precisa ser definido para assegurar que todos os ativos
relevantes sejam considerados na análise/avaliação de riscos. Além disso,
os limites precisam ser identificados para permitir o reconhecimento dos
riscos que possam transpor esses limites.

Convém que as informações sobre a organização sejam reunidas


para que seja possível determinar o ambiente em que ela opera e a
relevância desse ambiente para o processo de gestão de riscos de
segurança da informação.

Ao definir o escopo e os limites, convém que a organização considere


as seguintes informações:

o Os objetivos estratégicos, políticas e estratégias da organização


o Processos de negócio
o As funções e estrutura da organização
o Requisitos legais, regulatórios e contratuais aplicáveis à
16712855225

organização
o A política de segurança da informação da organização
o A abordagem da organização à gestão de riscos
o Ativos de informação
o Localidades em que a organização se encontra e suas
características geográficas
o Restrições que afetam a organização
o Expectativas das partes interessadas
o Ambiente sociocultural
o Interfaces (ou seja: a troca de informação com o ambiente)

Prof. Victor Dalton


www.estrategiaconcursos.com.br 12 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

1.5.3 Organização para gestão de riscos de segurança da


informação

Convém estabelecer a organização e as responsabilidades para o


processo de gestão de riscos de segurança da informação.

São os principais papéis e responsabilidades dessa organização:

o Desenvolvimento do processo de gestão de riscos de segurança


da informação adequado à organização
o Identificação e análise das partes interessadas
o Definição dos papéis e responsabilidades de todas as partes,
internas e externas à organização.
o Estabelecimento das relações necessárias entre a organização
e as partes interessadas, das interfaces com as funções de alto
nível de gestão de riscos da organização (por exemplo: a
gestão de riscos operacionais), assim como das interfaces com
outros projetos ou atividades relevantes
o Definição de alçadas para a tomada de decisões
o Especificação dos registros a serem mantidos

Convém que essa organização seja aprovada pelos gestores


apropriados.

1.6 Processo de avaliação de riscos


16712855225

Entrada: Critérios básicos, o escopo e os limites, e a organização do


processo de gestão de riscos de segurança da informação, todos
produzidos na etapa anterior.

Ação: Convém que os riscos sejam identificados, quantificados ou


descritos qualitativamente, priorizados em função dos critérios de
avaliação de riscos e dos objetivos relevantes da organização.

Diretrizes para implementação: Um risco é a combinação das


consequências advindas da ocorrência de um evento indesejado e

Prof. Victor Dalton


www.estrategiaconcursos.com.br 13 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
da probabilidade da ocorrência do mesmo. O processo de avaliação
de riscos quantifica ou descreve o risco qualitativamente e capacita os
gestores a priorizar os riscos de acordo com a sua gravidade percebida ou
com outros critérios estabelecidos.

O processo de avaliação de riscos consiste nas seguintes atividades:

o Identificação de riscos, que envolve:


 Identificação dos ativos – define os ativos com riscos a
serem gerenciados e os processos de negócio que os
envolvem;
 Identificação das ameaças – produz uma lista de
ameaças com o tipo e a fonte das ameaças;
 Identificação dos controles existentes;
 Identificação das vulnerabilidades;
 Identificação das consequências;

o Análise de riscos

Uma metodologia para a análise de risco pode ser qualitativa


ou quantitativa, ou uma combinação de ambas. Na prática, a primeira
antecede a segunda.
Análise qualitativa – utiliza uma escala com atributos
qualificadores e que descrevem a magnitude das consequências
potenciais e a probabilidade dessas consequências ocorrerem. É de fácil
compreensão pelos envolvidos. Exemplo:

16712855225

Probabilidade\Magnitude Impacto leve Impacto médio Alto impacto


Pouco provável
Provável
Muito provável
Escalas hipotéticas em uma análise qualitativa de risco: ilustração.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 14 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
Análise quantitativa – escala com valores numéricos.
Depende da exatidão, da integralidade dos valores utilizados e da
validade dos modelos utilizados.

Probabilidade\Magnitude 0,05 0,20 0,40 0,60 0,75


0,05
0,20
0,40
0,60
0,75
Escalas hipotéticas em uma análise quantitativa de risco: ilustração.

Para tal, devem ser avaliadas as consequências dos riscos (custo


da recuperação do ativo afetado, reposição da informação e
consequências sobre o negócio – uma análise de impacto no negócio
(BIA) pode ser empregada); e a probabilidade dos incidentes
ocorrerem. Ambos servirão de subsídio para a criação de uma lista com
os cenários de incidentes possíveis, probabilidades e consequências,
segundo o modelo (quantitativo e/ou qualitativo) adotado.

Desta forma, teremos ao final desse processo a determinação do


nível do risco em uma lista.

o Avaliação de riscos: esta etapa recebe a lista de riscos


estabelecida na análise, compara com os critérios de avaliação
de riscos e com os critérios para a aceitação do risco e produz
uma lista de riscos ordenados por prioridade e associados aos
16712855225

cenários de incidentes que os provocam.

Afinal, ao sairmos da avaliação de riscos, alguns riscos estarão


dentro dos critérios aceitáveis pela organização, e outros não estarão.
Aqueles que estiverem fora dos critérios de aceitação de risco certamente
estarão nas prioridades da organização para serem tratados.

O processo de avaliação de riscos é executado frequentemente em


duas (ou mais) iterações. Primeiramente, uma avaliação de alto nível é
realizada para identificar os riscos com potencial de alto impacto, os quais
merecem uma avaliação mais aprofundada. A segunda iteração pode

Prof. Victor Dalton


www.estrategiaconcursos.com.br 15 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
considerar com mais profundidade os riscos de alto impacto potencial
revelados na primeira iteração.

Cabe à organização selecionar seu próprio método para o processo


de avaliação de riscos baseado nos objetivos e na meta do processo de
avaliação de riscos.

Saída: Uma lista de riscos avaliados, ordenados por prioridade


de acordo com os critérios de avaliação de riscos.

1.7 Tratamento de Riscos

Diante dos riscos listados, a norma recomenda a definição de


controles para tratar os riscos.

Aqui vem o nosso mnemônico mais importante.

Quer lidar com os riscos? MORE COM o risco. MOdificar, Reter,


Evitar e COMpartilhar. Vejamos estes verbos e o seu relacionamento com
a norma:

MOdificar: aplicar controles apropriados para reduzir os riscos.

Reter: aceitar os riscos, sabendo que eles atendem claramente à


política da organização e aos critérios para a aceitação de risco.
16712855225

Evitar: evitar riscos, não permitindo ações que poderiam causar a


ocorrência de riscos.

COMpartilhar: compartilhar o risco com outra entidade que possa


gerenciá-lo de forma mais eficaz (seguradora, terceirizado).

Cabe ressaltar que as quatro opções para o tratamento do risco não


são mutuamente exclusivas. Às vezes, a organização pode beneficiar-se
substancialmente de uma combinação de opções, tais como a redução da

Prof. Victor Dalton


www.estrategiaconcursos.com.br 16 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
probabilidade do risco, a redução de suas consequências e o
compartilhamento ou retenção dos riscos residuais.

A saída do tratamento do risco é o plano de tratamento do risco e


16712855225

os riscos residuais, sujeitos à aceitação pelos gestores da organização.

1.8 Aceitação do risco

Entrada: O plano de tratamento do risco e o processo de avaliação


do risco residual.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 17 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
Ação: Convém que a decisão de aceitar os riscos seja feita e
formalmente registrada, juntamente com a responsabilidade pela decisão.

Diretrizes para implementação: Convém que os planos de


tratamento do risco descrevam como os riscos avaliados serão tratados
para que os critérios de aceitação do risco sejam atendidos. É importante
que gestores responsáveis façam uma análise crítica e aprovem, se for o
caso, os planos propostos de tratamento do risco, os riscos residuais
resultantes e que registrem as condições associadas a essa aprovação.

Os critérios para a aceitação do risco podem ser mais complexos do


que somente a determinação se o risco residual está, ou não, abaixo ou
acima de um limite bem definido. Em alguns casos, o nível de risco
residual pode não satisfazer os critérios de aceitação do risco, pois os
critérios aplicados não estão levando em conta as circunstâncias
predominantes no momento. Por exemplo, pode ser válido argumentar
que é preciso que se aceite o risco, pois os benefícios que o acompanham
são muito atraentes ou porque os custos de sua redução são
demasiadamente elevados. Tais circunstâncias indicam que os critérios
para a aceitação do risco são inadequados e convém que sejam revistos,
se possível.

No entanto, nem sempre é possível rever os critérios para a


aceitação do risco no tempo apropriado. Nesses casos, os tomadores de
decisão podem ter que aceitar riscos que não satisfaçam os critérios
normais para o aceite. Se isso for necessário, convém que o tomador de
decisão comente explicitamente sobre os riscos e inclua uma justificativa
para a sua decisão de passar por cima dos critérios normais para a
aceitação do risco.
16712855225

Saída: Uma lista de riscos aceitos, incluindo uma justificativa para


aqueles que não satisfaçam os critérios normais para aceitação do risco.

1.9 Comunicação e consulta do risco de segurança da


informação

Entrada: Todas as informações sobre os riscos obtidas através das


atividades de gestão de riscos.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 18 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

Ação: Convém que as informações sobre riscos sejam trocadas e/ou


compartilhadas entre o tomador de decisão e as outras partes
interessadas.

Diretrizes para implementação: a comunicação do risco é uma


atividade que objetiva alcançar um consenso sobre como os riscos devem
ser gerenciados, fazendo uso para tal da troca e/ou partilha das
informações sobre o risco entre os tomadores de decisão e as outras
partes interessadas. A informação inclui, entre outros possíveis fatores, a
existência, natureza, forma, probabilidade, severidade, tratamento e
aceitabilidade dos riscos.

Saída: Entendimento contínuo do processo de gestão de riscos de


segurança da informação da organização e dos resultados obtidos.

1.10 Monitoramento e análise crítica de riscos de segurança


da informação

Entrada: Todas as informações sobre os riscos obtidas através das


atividades de gestão de riscos.

Ação: Convém que os riscos e seus fatores (isto é, valores dos


ativos, impactos, ameaças, vulnerabilidades, probabilidade de ocorrência)
sejam monitorados e analisados criticamente, a fim de se
identificar, o mais rapidamente possível, eventuais mudanças no
contexto da organização e de se manter uma visão geral dos riscos. Além
disso, o processo de gestão de riscos deve ser continuamente
16712855225

monitorado, analisado criticamente e melhorado, quando necessário


e apropriado.

Diretrizes para implementação: Os riscos não são estáticos. As


ameaças, as vulnerabilidades, a probabilidade ou as consequências
podem mudar abruptamente, sem qualquer indicação. Portanto, o
monitoramento constante é necessário para que se detectem essas
mudanças. Serviços de terceiros que forneçam informações sobre novas
ameaças ou vulnerabilidades podem prestar um auxílio valioso.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 19 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
Convém que as organizações assegurem que os seguintes itens
sejam monitorados continuamente:

o Novos ativos que tenham sido incluídos no escopo da gestão de


riscos
o Modificações necessárias dos valores dos ativos, por exemplo:
devido à mudança nos requisitos de negócio
o Novas ameaças que podem estar ativas tanto fora quanto
dentro da organização e que não tenham sido avaliadas
o A possibilidade de que vulnerabilidades novas ou ampliadas
venham a permitir que alguma ameaça as explore
o As vulnerabilidades já identificadas, para determinar aquelas
que estão se tornando expostas a ameaças novas ou
ressurgentes
o As consequências ou o impacto ampliado de ameaças,
vulnerabilidades e riscos avaliados em conjunto – em um todo
agregado, resultando em um nível inaceitável de risco
o Incidentes relacionados à segurança da informação

Saída: Alinhamento contínuo da gestão de riscos com os objetivos


de negócios da organização e com os critérios para a aceitação do risco.

1.11 Análise final

Pois bem, acabamos de ver, de forma resumida, as principais


recomendações de segurança da ISO 27005. A norma completa possui
mais de 60 páginas, incluindo anexos que detalham cada uma das etapas
apresentadas. 16712855225

Mais uma vez, convido você a pegar o “espírito” da norma. Logo, ao


deparar-se com os exercícios, você será capaz de enxergar, nas
alternativas, sentenças que fazem (ou não fazem) sentido estar na
norma, o que fará que você consiga acertar questões sobre o assunto. De
qualquer forma, recomendo a visualização da mesma pelo menos uma
vez, para melhor entendimento.

2. NORMAS ISO 22301 e ISO 31000

Prof. Victor Dalton


www.estrategiaconcursos.com.br 20 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

2.1 Norma ISO 31000:2009

A Norma ISO 31000, por seu turno, especifica Princípios e


Diretrizes para a Gestão de Riscos.

Para a gestão de riscos ser eficaz, a organização deverá ter em


mente os princípios abaixo descritos:

a) A gestão de riscos cria e protege valor;


b) A gestão de riscos é parte integrante de todos os processos
organizacionais;
c) A gestão de riscos é parte da tomada de decisões;
d) A gestão de riscos aborda explicitamente a incerteza;
e) A gestão de riscos é sistemática, estruturada e oportuna;
f) A gestão de riscos baseia-se nas melhores informações
disponíveis;
g) A gestão de riscos é feita sob medida;
h) A gestão de riscos considera fatores humanos e culturais;
i) A gestão de riscos é transparente e inclusiva;
j) A gestão de riscos é dinâmica, iterativa e capaz de reagir a
mudanças
k) A gestão de riscos facilita e melhoria contínua da organização.

Para a ISO 31000, o sucesso da gestão de riscos dependerá da


eficácia da estrutura de gestão da organização. A estrutura auxilia a
gerenciar os riscos de forma eficaz através da aplicação do processo de
gestão de riscos, que será visto mais adiante.
16712855225

Os componentes da estrutura para gerenciar riscos propostos pela


norma, bem como o relacionamento entre eles está descrito na imagem
abaixo:

Prof. Victor Dalton


www.estrategiaconcursos.com.br 21 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

Por fim, temos o Processo de Gestão de Riscos. Este processo já


foi devidamente estudado na norma ISO 27005.

2.2 Norma ISO 22301:2013

A Norma ISO 22301 especifica Requisitos para estabelecer e


gerenciar um eficaz Sistema de Gestão de Continuidade de Negócios
16712855225

(SGCN).

Um SGCN é importante para:

 Entender as necessidades da organização


 Implementar e operar controles de medidas para gerenciar
incidentes de interrupção
 Monitorar e analisar o desempenho e a eficácia do SGCN
 Melhorar continuamente com base na medição objetiva.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 22 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
Esta norma adota o PDCA (Plan-Do-Check-Act) para planejar,
estabelecer, implementar, operar, monitorar, analisar criticamente e
melhorar continuamente a eficácia do SGCN de uma organização.

Modelo PDCA aplicado à norma ISSO 22301. Fonte: ISSO 22301.

Dentro desse ciclo, a norma preconiza as seguintes etapas:

1 – Contexto da organização

Para a norma, neste passo é importante:


16712855225

Entender a organização e seu contexto


 Entender as necessidades e expectativas das partes
interessadas
 Determinar o escopo do SGCN
 Criar o SGCN

2 – Liderança

Prof. Victor Dalton


www.estrategiaconcursos.com.br 23 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
A ISSO 22301 acredita que os membros da Alta Direção e demais
gestores com papéis relevantes devem demonstrar Liderança em relação
ao SGCN.

Para tal, deverão demonstrar comprometimento, garantindo


recursos, estabelecendo uma política alinhada com o propósito da
organização e definindo papéis, responsabilidades e autoridades
organizacionais.

3 – Planejamento

Nesta etapa, deve-se levantar:

 Ações para direcionar riscos e oportunidades


 Objetivos de continuidade de negócio e planos para
alcançá-los

4 – Suporte

A organização deve determinar e prover os recursos necessários para


o SGCN, determinando competências às pessoas, conscientizando-as
e determinando as necessidades de comunicação entre elas. Além disso,
informação documentada deve ser produzida, para que estejam
16712855225

disponíveis e utilizáveis, quando e onde forem necessárias.

5 – Operação

Neste momento, a organização deverá planejar, implementar e


controlar os processos necessários para atender aos requisitos e
implementar as ações definidas no Planejamento.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 24 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
Tendo como foco como proceder diante de uma interrupção no
negócio, a operação envolve:

 Analisar o impacto nos negócios e avaliar os riscos de tal


interrupção;
 Definir uma Estratégia de Continuidade de Negócios;
 Estabelecer e Implementar procedimentos de
continuidade de negócios; e
 Exercitar e testar os procedimentos, para garantir que
realmente são compatíveis com os objetivos de continuidade
de negócios.

6 – Avaliação de Desempenho

Naturalmente, a organização irá:

 Monitorar, medir, analisar e avaliar os procedimentos de


continuidade de negócios;
 Realizar auditorias internas, em intervalos planejados, para
verificar a conformidade e eficiência dos procedimentos;e
 A direção irá analisar criticamente o SGCN, para garantir sua
contínua aptidão, adequação e eficácia.

7 – Melhoria

Na melhoria, define-se procedimentos a serem tomados pela


16712855225

organização no caso de não conformidade, por meio de ações corretivas,


e melhoria contínua, para que o SGCN permaneça atendendo às
necessidades da organização.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 25 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
EXERCÍCIOS ISO 27005

1ª Questão) (FCC – SABESP – Técnico em Gestão – Informática


– 2014) De acordo com a Norma NBR ISO/IEC 27005, o processo de
Gestão de Riscos da Segurança da Informação é composto pelas
atividades mostradas na figura abaixo:

As atividades I, II e III da figura acima correspondem,


respectivamente, a:

(A) Definição das ameaças; Categorização do risco; Tratamento do


risco.

(B) Avaliação das ameaças; Tratamento das ameaças; Aceitação dos


16712855225

riscos e ameaças.

(C) Avaliação do contexto; Categorização das ameaças; Tratamento


das ameaças.

(D) Contextualização dos riscos; Tratamento dos riscos e das


ameaças; Aceitação dos riscos e das ameaças.

(E) Definição do contexto; Tratamento do risco; Aceitação do risco.

O processo de gestão de riscos de segurança da informação consiste


na definição do contexto, análise/avaliação de riscos, tratamento
Prof. Victor Dalton
www.estrategiaconcursos.com.br 26 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
do risco, aceitação do risco, comunicação do risco e
monitoramento e análise crítica de riscos, organizados da seguinte
forma:

16712855225

Primeiramente, o contexto é estabelecido. Em seguida, executa-se


uma análise/avaliação de riscos. Se ela fornecer informações
suficientes para que se determine de forma eficaz as ações necessárias
para reduzir os riscos a um nível aceitável, então a tarefa está completa e
o tratamento do risco pode suceder-se.

Por outro lado, se as informações forem insuficientes, executa-se


uma outra iteração da análise/avaliação de riscos, revisando-se o
Prof. Victor Dalton
www.estrategiaconcursos.com.br 27 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
contexto (por exemplo: os critérios de avaliação de riscos, de aceitação
do risco ou de impacto), possivelmente em partes limitadas do escopo.

A atividade de aceitação do risco tem de assegurar que os riscos


residuais sejam explicitamente aceitos pelos gestores da organização.
Isso é especialmente importante em uma situação em que a
implementação de controles é omitida ou adiada, por exemplo, devido aos
custos.

Durante o processo de gestão de riscos de segurança da informação,


é importante que os riscos e a forma com que são tratados sejam
comunicados ao pessoal das áreas operacionais e gestores apropriados.
Mesmo antes do tratamento do risco, informações sobre riscos
identificados podem ser muito úteis para o gerenciamento de incidentes e
ajudar a reduzir possíveis prejuízos.

A conscientização dos gestores e pessoal no que diz respeito aos


riscos, à natureza dos controles aplicados para mitigá-los e as áreas
definidas como de interesse pela organização, auxiliam a lidar com os
incidentes e eventos não previstos da maneira mais efetiva.

Convém que os resultados detalhados de cada atividade do processo


de gestão de riscos de segurança da informação, assim como as decisões
sobre a análise/avaliação de riscos e sobre o tratamento do risco sejam
documentados.

Resposta certa, alternativa e).

2ª Questão) (FCC – TJ/AP – Analista Judiciário – Tecnologia da


16712855225

Informação – 2014) Segundo Norma ABNT NBR ISO/IEC 27005:2011,


convém que a organização defina sua própria escala de níveis de
aceitação de risco e que critérios para a aceitação do risco

a) possam ser expressos como a razão entre o lucro estimado (ou


outro benefício ao negócio) e o risco estimado.
b) possam incluir apenas um limite, representando um nível
desejável de risco.
c) dependam das políticas, metas e objetivos da organização e nunca
dos interesses das partes interessadas.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 28 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
d) não sejam diferenciados de acordo com o tempo de existência
previsto do risco.
e) não incluam requisitos para um tratamento adicional futuro do
risco.

Segundo a ISO 27005,

Convém que a organização defina sua própria escala de níveis de


aceitação do risco, e que os seguintes tópicos sejam considerados durante
o desenvolvimento:

 Critérios para a aceitação do risco podem incluir mais de um


limite, representando um nível desejável de risco, porém
precauções podem ser tomadas por gestores seniores para
aceitar riscos acima desse nível desde que sob circunstâncias
definidas;

 Critérios para a aceitação do risco podem ser expressos


como a razão entre o lucro estimado (ou outro benefício
ao negócio) e o risco estimado;

 Diferentes critérios para a aceitação do risco podem ser


aplicados a diferentes classes de risco, por exemplo: riscos que
podem resultar em não conformidade com regulamentações ou
leis podem não ser aceitos, enquanto riscos de alto impacto
poderão ser aceitos se isto for especificado como um requisito
contratual;

 Critérios para a aceitação do risco podem incluir requisitos para


16712855225

um tratamento adicional futuro, por exemplo: um risco poderá


ser aceito se for aprovado e houver o compromisso de que
ações para reduzi-lo a um nível aceitável serão tomadas dentro
de um determinado período de tempo.

Resposta certa, alternativa a).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 29 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
3ª Questão) (FCC – TJ/AP – Analista Judiciário – Tecnologia da
Informação – 2014) Segundo Norma ABNT NBR ISO/IEC 27005:2011,
o processo de avaliação de riscos de segurança da informação consiste
nas atividades de identificação de riscos, análise de riscos e avaliação de
riscos. Segundo a Norma, a entrada da atividade de avaliação de riscos é
uma lista de riscos

a) priorizada de acordo com os objetivos do negócio e com os


cenários de incidentes.
b) associada a cada ativo, processo de negócio ou processo de TI.
c) categorizada e priorizada a partir da análise crítica dos incidentes
ocorridos.
d) com níveis de valores designados e critérios para a avaliação de
riscos.
e) e cenários de incidentes com suas consequências associadas aos
ativos e processos de negócio.

Na avaliação de riscos, tem-se como entrada uma lista de riscos com


níveis de valores designados e critérios para a avaliação de riscos. Tal
lista foi formulada na Análise de Riscos.

Resposta certa, alternativa d).

4ª Questão) (FCC – INFRAERO – Analista de Sistemas –


Segurança da Informação – 2011) De acordo com a ISO/IEC
27005:2008, as opções completas para tratamento do risco são: mitigar
(risk reduction), 16712855225

a) ignorar (risk ignore), evitar (risk avoidance) e transferir (risk


transfer).
b) aceitar (risk retention), evitar (risk avoidance) e transferir (risk
transfer).
c) ignorar (risk ignore), aceitar (risk retention), evitar (risk
avoidance) e transferir (risk transfer).
d) aceitar (risk retention), evitar (risk avoidance), transferir (risk
transfer) e ocultar (risk hide).
e) evitar (risk avoidance) e transferir (risk transfer).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 30 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

Lembre-se. Para tratar os riscos, MATE os riscos!

1) aplicar os controles apropriados – mitigar (risk reduction)


2) aceitar (risk retention) os riscos consciente e objetivamente,
desde que satisfaçam claramente às políticas da organização e aos
critérios de aceitação de riscos;
3) evitar (risk avoidance) riscos; e
4) transferir (risk transfer) os riscos associados ao negócio a
outras partes, por exemplo, seguradoras e fornecedores.

As quatro opções para o tratamento do risco não são mutuamente


exclusivas. Às vezes, a organização pode beneficiar-se substancialmente
de uma combinação de opções, tais como a redução da probabilidade do
risco, a redução de suas consequências e a transferência ou retenção dos
riscos residuais.

16712855225

Resposta certa, alternativa b).

Prof. Victor Dalton


www.estrategiaconcursos.com.br 31 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

5ª Questão) (FCC – INFRAERO – Analista de Sistemas –


Segurança da Informação – 2011) A norma ISO/IEC 27005:2008
adota o modelo “Plan-Do-Check-Act” (PDCA), que é aplicado para
estruturar os processos do ISMS (Information Security Management
System). Na fase “Do” do ISMS é representado o processo de
gerenciamento de risco:

a) Risk acceptance.
b) Continual monitoring and reviewing of risks.
c) Implementation of risk treatment plan.
d) Maintain and improve the Information Security Risk Management
Process.
e) Developing risk treatment plan.

A ISO 27005 adota o ciclo PDCA para estruturar os processos do


Sistema de Gestão da Segurança da Informação (SGSI).

Em um SGSI, a definição do contexto, a análise/avaliação de riscos,


o desenvolvimento do plano de tratamento do risco e a aceitação do risco,
fazem parte da fase "planejar"(PLAN).

Na fase "executar" (DO) do SGSI, as ações e controles necessários


para reduzir os riscos para um nível aceitável são implementados de
acordo com o plano de tratamento do risco.

Na fase “verificar” (CHECK) do SGSI, os gestores determinarão a


necessidade de revisão das avaliações e tratamento do risco à luz dos
16712855225

incidentes e mudanças nas circunstâncias.

Na fase “agir” (ACT), as ações necessárias são executadas, incluindo


a reaplicação do processo de gestão de riscos de segurança da
informação.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 32 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

Resposta certa, alternativa c).

6ª Questão) (CESPE – TC/DF – Analista de Administração


Pública – Sistemas de TI – 2014) Conforme a norma ISO/IEC 27005,
é recomendável que o nível de risco seja estimado em todos os cenários
de incidentes relevantes. Essa estimativa serve para designar valores
qualitativos ou quantitativos para a probabilidade e para as consequências
do risco.

Correto. De acordo com a norma, dentro da etapa de análise do


risco, subetapa estimativa do nível de risco, “convém que o nível de
risco seja estimado para todos os cenários de incidentes considerados
relevantes”. Além disso, A estimativa de riscos designa valores para a
probabilidade e para as consequências de um risco. Esses valores podem
16712855225

ser de natureza quantitativa ou qualitativa. A estimativa de riscos é


baseada nas consequências e na probabilidade estimadas. Além disso, ela
pode considerar o custo-benefício, as preocupações das partes
interessadas e outras variáveis, conforme apropriado para a avaliação de
riscos. O risco estimado é uma combinação entre a probabilidade de um
cenário de incidente e suas consequências.

7ª Questão) (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas – 2014) Para a fase de tratamento do risco da segurança da
informação, essa norma estabelece quatro possíveis ações não

Prof. Victor Dalton


www.estrategiaconcursos.com.br 33 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
mutuamente exclusivas: redução, retenção, prevenção e eliminação do
risco.

Errado! Lembre-se. Para tratar os riscos, MATE os riscos!

1) aplicar os controles apropriados – mitigar (risk reduction)


2) aceitar (risk retention) os riscos consciente e objetivamente,
desde que satisfaçam claramente às políticas da organização e aos
critérios de aceitação de riscos;
3) evitar (risk avoidance) riscos; e
4) transferir (risk transfer) os riscos associados ao negócio a
outras partes, por exemplo, seguradoras e fornecedores.

Do que foi apresentado pela assertiva, prevenção e eliminação não


são condutas previstas na ISO 27005.

8ª Questão) (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas – 2014) Na identificação dos ativos de uma organização, que
ocorre durante a atividade de análise de riscos, é exigida a identificação
de um responsável para cada ativo de forma a garantir as
responsabilidades na prestação de contas.

Correto. Convém que um responsável seja identificado para cada


ativo, a fim de oficializar sua responsabilidade e garantir a possibilidade
da respectiva prestação de contas. O responsável pelo ativo pode não ter
direitos de propriedade sobre o mesmo, mas tem responsabilidade sobre
16712855225

sua produção, desenvolvimento, manutenção, utilização e segurança,


conforme apropriado. O responsável pelo ativo é frequentemente a
pessoa mais adequada para determinar o valor do mesmo para a
organização.

9ª Questão) (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas – 2014) A comunicação de riscos visa assegurar que as
informações sobre os riscos sejam compartilhadas entre os responsáveis
pelas decisões e as outras partes envolvidas.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 34 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

Correto. Segundo os termos e definições da norma, comunicação do


risco é a troca ou compartilhamento de informação sobre o risco entre o
tomador de decisão e outras partes interessadas.

10ª Questão) (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas – 2014) A referida norma fornece as diretrizes para o
processo de gestão de riscos da segurança da informação bem como uma
metodologia específica para todos os tipos de organização que pretendam
gerir os riscos passíveis de comprometer a segurança da informação da
organização.

Errado! Segundo a ISO 27005, ela fornece diretrizes para o processo


de Gestão de Riscos de Segurança da Informação. Contudo, a mesma não
inclui uma metodologia específica para a gestão de riscos de segurança
da informação, cabendo à própria organização definir sua abordagem ao
processo de gestão de riscos, levando em conta, por exemplo, o escopo
do seu SGSI, o contexto da gestão de riscos e o seu setor de atividade
econômica.

11ª Questão) (CESPE – TJ/SE – Analista Judiciário – Segurança


da Informação – 2014) Requisitos legais e regulatórios a serem
necessariamente atendidos pela organização devem fazer parte do escopo
da gestão de riscos de segurança da informação.
16712855225

Correto. Para a norma, ao definir o escopo e os limites da gestão


de riscos, convém que a organização considere as seguintes informações:

-Os objetivos estratégicos, políticas e estratégias da organização;

-Processos de negócio;

-As funções e estrutura da organização;

-Requisitos legais, regulatórios e contratuais aplicáveis à


organização;

Prof. Victor Dalton


www.estrategiaconcursos.com.br 35 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
-A política de segurança da informação da organização;

-A abordagem da organização à gestão de riscos;

-Ativos de informação;

-Localidades em que a organização se encontra e suas


características geográficas;

-Restrições que afetam a organização;

-Expectativas das partes interessadas;

-Ambiente sociocultural;

-Interfaces (ou seja: a troca de informação com o ambiente).

12ª Questão) (CESPE – TJ/SE – Analista Judiciário – Segurança


da Informação – 2014) Deve ser recebida como entrada do processo
de avaliação de riscos uma lista de cenários de incidentes identificados
como relevantes, com as respectivas consequências para os processos de
negócio.

Errado! Essa lista de cenários é entrada da subetapa avaliação das


consequências, da etapa análise de riscos.

A entrada da avaliação de riscos é uma lista de riscos com níveis de


valores designados e critérios para a avaliação de riscos.
16712855225

13ª Questão) (CESPE – TJ/SE – Analista Judiciário – Segurança


da Informação – 2014) A perda de uma oportunidade de negócio
devido a um evento de segurança da informação é considerada um
critério de impacto.

Correto. Segundo norma, critérios de impacto devem ser


desenvolvidos e especificados em função do montante dos danos
ou custos à organização causados por um evento relacionado com a
segurança da informação, considerando o seguinte:

Prof. Victor Dalton


www.estrategiaconcursos.com.br 36 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
 Nível de classificação do ativo de informação afetado;

 Ocorrências de violação da segurança da informação (por


exemplo: perda da disponibilidade, da confidencialidade e/ou
da integridade);

 Perda de oportunidades de negócio e de valor financeiro;

 Interrupção de planos e o não cumprimento de prazos;

 Dano à reputação;

 Violações de requisitos legais, regulatórios ou contratuais.

14ª Questão) (CESPE – TJ/SE – Analista Judiciário – Segurança


da Informação – 2014) Para o tratamento dos riscos, a referida norma
estabelece as seguintes opções: reter, reduzir, evitar ou transferir o risco.

Correto. Lembre-se. Para tratar os riscos, MATE os riscos!

15ª Questão) (CESPE – ANATEL – Analista Administrativo –


Desenvolvimento de Sistemas – 2014) Processos disciplinares não
fazem parte da gestão de segurança da informação e devem ser tratados
apenas no âmbito administrativo.

Errado! A norma cita como exemplo de vulnerabilidade a


inexistência de um processo disciplinar no
16712855225

caso de
incidentes relacionados à segurança da informação.

Questão profunda, pois obriga o candidato a ler o Anexo D da norma.


Porém, dentro daquele espírito de bom senso, é bem razoável que a
organização lide com processos disciplinares no contexto da segurança da
informação, punindo funcionários que eventualmente descumpram as
normas e coloquem a organização em risco.

16ª Questão) (CESPE – ANATEL – Analista Administrativo –


Desenvolvimento de Sistemas – 2014) A referida norma prevê quatro

Prof. Victor Dalton


www.estrategiaconcursos.com.br 37 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
opções para o tratamento de um risco identificado: redução do risco por
meio de controles, para que o risco residual seja considerado aceitável;
retenção do risco: que considera o risco como aceitável; transferência do
risco: em que se transfere o risco para outra entidade que possa
gerenciá-lo de forma eficaz; e reversão do risco, em que o risco é
transformado em oportunidade de negócio.

Errado! Lembre-se. Para tratar os riscos, MATE os riscos!

1) aplicar os controles apropriados – mitigar (risk reduction)


2) aceitar (risk retention) os riscos consciente e objetivamente,
desde que satisfaçam claramente às políticas da organização e aos
critérios de aceitação de riscos;
3) evitar (risk avoidance) riscos; e
4) transferir (risk transfer) os riscos associados ao negócio a
outras partes, por exemplo, seguradoras e fornecedores.

Do que foi apresentado pela assertiva, reversão do risco não é


conduta prevista na ISO 27005.

17ª Questão) (CESPE – ANATEL – Analista Administrativo –


Desenvolvimento de Sistemas – 2014) Como o processo de gestão de
riscos de segurança da informação contribui para a identificação de riscos,
para a análise de riscos e para o estabelecimento da ordem prioritária
para tratamento de riscos, ele deve ser aplicado à organização como um
todo, e não apenas a uma área específica.
16712855225

Errado! Segundo a ISO 27005, o processo de gestão de riscos de


segurança da informação pode ser aplicado à organização como
um todo, a uma área específica da organização (por exemplo: um
departamento, uma localidade, um serviço), a um sistema de
informações, a controles já existentes, planejados ou apenas a aspectos
particulares de um controle (por exemplo: o plano de continuidade de
negócios)."

Prof. Victor Dalton


www.estrategiaconcursos.com.br 38 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
18ª Questão) (CESPE – CNJ – Analista Judiciário – Análise de
Sistemas – 2013) De acordo com a ABNT NBR ISO/IEC 27005, é preciso
identificar controles existentes e planejados em uma organização. Além
disso, é necessário manter uma lista que descreva sua implantação e seu
status de utilização.

Correto. É saída da identificação dos riscos, sub etapa da análise de


riscos, uma lista de todos os controles existentes e planejados, sua
implementação e status de utilização.

19ª Questão) (CESPE – TCU – Auditor Federal de Controle


Externo – Tecnologia da Informação – 2015) Conforme a NBR
ISO/IEC 27005:2011, para a avaliação dos riscos de segurança da
informação na organização, convém que os critérios de avaliação sejam
desenvolvidos considerando-se a criticidade dos ativos de informação
envolvidos.

Correto.

20ª Questão) (CESPE – TCU – Auditor Federal de Controle


Externo – Tecnologia da Informação – 2015) Retenção é uma forma
de tratamento do risco que visa implantar controles para se reduzirem os
riscos a um nível aceitável pela organização. Na escolha dos controles,
consideram-se os critérios da organização para a aceitação do risco, tais
como requisitos legais, regulatórios, contratuais, culturais, ambientais e
16712855225

aspectos técnicos, além de custos e prazos para a implantação de


controles.

Errado! Retenção é aceitar o risco, desde que ele atenda aos


critérios de aceitação do risco da organização. A forma de tratamento
citada na questão é modificar o risco.

21ª Questão) (CESPE – STJ – Analista Judiciário – Suporte em


Tecnologia da Informação – 2015) De acordo com a norma ISO

Prof. Victor Dalton


www.estrategiaconcursos.com.br 39 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
27005, na estimativa de riscos, podem ser aplicadas metodologias
qualitativas para a identificação de riscos.

Correto. Na análise de riscos, emprega-se metodologias qualitativas


e quantitativas para o risco. O termo “estimativa” é oriundo da versão
2008 da norma, embora já exista e versão 2011 da mesma.

EXERCÍCIOS ISO 22301 e 31000

22ª Questão) (CESPE – TCU – AFCE – Auditoria de TI – 2015)


De acordo com a NBR ISO/IEC 22301:2013, em caso de não
conformidade no sistema de gestão de continuidade de negócio (SGCN), a
organização deverá avaliar a necessidade para a eliminação das causas
desse problema, de modo que estas não ocorram em outro lugar, por
meio de, entre outras ações, mudanças no SGCN, se necessário.

Correto. Além disso, também deverá identificar a não conformidade,


reagir a ela, implantar qualquer ação necessária e analisar criticamente a
eficácia de qualquer ação corretiva tomada.
16712855225

23ª Questão) (CESPE – TCU – AFCE – Auditoria de TI – 2015)


De acordo com a NBR ISO/IEC 31000:2009, a fim de assegurar que a
gestão de riscos seja eficaz e continue a apoiar o desempenho
organizacional, convém que a organização garanta recursos materiais
irrestritos para evitar desvios em relação ao plano de gestão de riscos,
que deve ser mantido inflexível, especialmente em relação ao contexto
interno da organização.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 40 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

Errado! Garantir recursos “irrestritos” e um “plano inflexível” é


absurdo. Segundo a norma (e o bom senso), a organização deve garantir
recursos apropriados para a gestão de riscos. Além disso, a gestão de
riscos é dinâmica, iterativa e capaz de reagir a mudanças,
características que exigem flexibilidade.

CONSIDERAÇÕES FINAIS

E encerramos o curso!

Estudar Tecnologia da Informação para concursos é um verdadeiro


desafio, e louvo aqueles que enfrentam essa jornada de peito aberto.
Espero que esse material possa colaborar com sua aprovação, seja qual
for o concurso que você estudar.

Dedique-se de corpo e alma, e a sonhada aprovação virá.

16712855225

Victor Dalton

Prof. Victor Dalton


www.estrategiaconcursos.com.br 41 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
LISTA DE EXERCÍCIOS 27005

1ª Questão) (FCC – SABESP – Técnico em Gestão – Informática


– 2014) De acordo com a Norma NBR ISO/IEC 27005, o processo de
Gestão de Riscos da Segurança da Informação é composto pelas
atividades mostradas na figura abaixo:

As atividades I, II e III da figura acima correspondem,


respectivamente, a:

(A) Definição das ameaças; Categorização do risco; Tratamento do


risco.
16712855225

(B) Avaliação das ameaças; Tratamento das ameaças; Aceitação dos


riscos e ameaças.

(C) Avaliação do contexto; Categorização das ameaças; Tratamento


das ameaças.

(D) Contextualização dos riscos; Tratamento dos riscos e das


ameaças; Aceitação dos riscos e das ameaças.

(E) Definição do contexto; Tratamento do risco; Aceitação do risco. -


certa

Prof. Victor Dalton


www.estrategiaconcursos.com.br 42 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

2ª Questão) (FCC – TJ/AP – Analista Judiciário – Tecnologia da


Informação – 2014) Segundo Norma ABNT NBR ISO/IEC 27005:2011,
convém que a organização defina sua própria escala de níveis de
aceitação de risco e que critérios para a aceitação do risco

a) possam ser expressos como a razão entre o lucro estimado (ou


outro benefício ao negócio) e o risco estimado.
b) possam incluir apenas um limite, representando um nível
desejável de risco.
c) dependam das políticas, metas e objetivos da organização e nunca
dos interesses das partes interessadas.
d) não sejam diferenciados de acordo com o tempo de existência
previsto do risco.
e) não incluam requisitos para um tratamento adicional futuro do
risco.

3ª Questão) (FCC – TJ/AP – Analista Judiciário – Tecnologia da


Informação – 2014) Segundo Norma ABNT NBR ISO/IEC 27005:2011,
o processo de avaliação de riscos de segurança da informação consiste
nas atividades de identificação de riscos, análise de riscos e avaliação de
riscos. Segundo a Norma, a entrada da atividade de avaliação de riscos é
uma lista de riscos

a) priorizada de acordo com os objetivos do negócio e com os


cenários de incidentes.
b) associada a cada ativo, processo de negócio ou processo de TI.
16712855225

c) categorizada e priorizada a partir da análise crítica dos incidentes


ocorridos.
d) com níveis de valores designados e critérios para a avaliação de
riscos.
e) e cenários de incidentes com suas consequências associadas aos
ativos e processos de negócio.

4ª Questão) (FCC – INFRAERO – Analista de Sistemas –


Segurança da Informação – 2011) De acordo com a ISO/IEC

Prof. Victor Dalton


www.estrategiaconcursos.com.br 43 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
27005:2008, as opções completas para tratamento do risco são: mitigar
(risk reduction),

a) ignorar (risk ignore), evitar (risk avoidance) e transferir (risk


transfer).
b) aceitar (risk retention), evitar (risk avoidance) e transferir (risk
transfer).
c) ignorar (risk ignore), aceitar (risk retention), evitar (risk
avoidance) e transferir (risk transfer).
d) aceitar (risk retention), evitar (risk avoidance), transferir (risk
transfer) e ocultar (risk hide).
e) evitar (risk avoidance) e transferir (risk transfer).
5ª Questão) (FCC – INFRAERO – Analista de Sistemas –
Segurança da Informação – 2011) A norma ISO/IEC 27005:2008
adota o modelo “Plan-Do-Check-Act” (PDCA), que é aplicado para
estruturar os processos do ISMS (Information Security Management
System). Na fase “Do” do ISMS é representado o processo de
gerenciamento de risco:

a) Risk acceptance.
b) Continual monitoring and reviewing of risks.
c) Implementation of risk treatment plan.
d) Maintain and improve the Information Security Risk Management
Process.
e) Developing risk treatment plan.

6ª Questão) (CESPE – TC/DF – Analista de Administração


Pública – Sistemas de TI – 2014) Conforme a norma ISO/IEC 27005,
16712855225

é recomendável que o nível de risco seja estimado em todos os cenários


de incidentes relevantes. Essa estimativa serve para designar valores
qualitativos ou quantitativos para a probabilidade e para as consequências
do risco.

7ª Questão) (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas – 2014) Para a fase de tratamento do risco da segurança da
informação, essa norma estabelece quatro possíveis ações não
mutuamente exclusivas: redução, retenção, prevenção e eliminação do
risco.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 44 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02

8ª Questão) (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas – 2014) Na identificação dos ativos de uma organização, que
ocorre durante a atividade de análise de riscos, é exigida a identificação
de um responsável para cada ativo de forma a garantir as
responsabilidades na prestação de contas.

9ª Questão) (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas – 2014) A comunicação de riscos visa assegurar que as
informações sobre os riscos sejam compartilhadas entre os responsáveis
pelas decisões e as outras partes envolvidas.

10ª Questão) (CESPE – TJ/SE – Analista Judiciário – Análise de


Sistemas – 2014) A referida norma fornece as diretrizes para o
processo de gestão de riscos da segurança da informação bem como uma
metodologia específica para todos os tipos de organização que pretendam
gerir os riscos passíveis de comprometer a segurança da informação da
organização.

11ª Questão) (CESPE – TJ/SE – Analista Judiciário – Segurança


da Informação – 2014) Requisitos legais e regulatórios a serem
necessariamente atendidos pela organização devem fazer parte do escopo
da gestão de riscos de segurança da informação.
16712855225

12ª Questão) (CESPE – TJ/SE – Analista Judiciário – Segurança


da Informação – 2014) Deve ser recebida como entrada do processo
de avaliação de riscos uma lista de cenários de incidentes identificados
como relevantes, com as respectivas consequências para os processos de
negócio.

13ª Questão) (CESPE – TJ/SE – Analista Judiciário – Segurança


da Informação – 2014) A perda de uma oportunidade de negócio
Prof. Victor Dalton
www.estrategiaconcursos.com.br 45 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
devido a um evento de segurança da informação é considerada um
critério de impacto.

14ª Questão) (CESPE – TJ/SE – Analista Judiciário – Segurança


da Informação – 2014) Para o tratamento dos riscos, a referida norma
estabelece as seguintes opções: reter, reduzir, evitar ou transferir o risco.

15ª Questão) (CESPE – ANATEL – Analista Administrativo –


Desenvolvimento de Sistemas – 2014) Processos disciplinares não
fazem parte da gestão de segurança da informação e devem ser tratados
apenas no âmbito administrativo.

16ª Questão) (CESPE – ANATEL – Analista Administrativo –


Desenvolvimento de Sistemas – 2014) A referida norma prevê quatro
opções para o tratamento de um risco identificado: redução do risco por
meio de controles, para que o risco residual seja considerado aceitável;
retenção do risco: que considera o risco como aceitável; transferência do
risco: em que se transfere o risco para outra entidade que possa
gerenciá-lo de forma eficaz; e reversão do risco, em que o risco é
transformado em oportunidade de negócio.

17ª Questão) (CESPE – ANATEL – Analista Administrativo –


Desenvolvimento de Sistemas – 2014) Como o processo de gestão de
riscos de segurança da informação contribui para a identificação de riscos,
para a análise de riscos e para o estabelecimento da ordem prioritária
16712855225

para tratamento de riscos, ele deve ser aplicado à organização como um


todo, e não apenas a uma área específica.

18ª Questão) (CESPE – CNJ – Analista Judiciário – Análise de


Sistemas – 2013) De acordo com a ABNT NBR ISO/IEC 27005, é preciso
identificar controles existentes e planejados em uma organização. Além
disso, é necessário manter uma lista que descreva sua implantação e seu
status de utilização.

Prof. Victor Dalton


www.estrategiaconcursos.com.br 46 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
19ª Questão) (CESPE – TCU – Auditor Federal de Controle
Externo – Tecnologia da Informação – 2015) Conforme a NBR
ISO/IEC 27005:2011, para a avaliação dos riscos de segurança da
informação na organização, convém que os critérios de avaliação sejam
desenvolvidos considerando-se a criticidade dos ativos de informação
envolvidos.

20ª Questão) (CESPE – TCU – Auditor Federal de Controle


Externo – Tecnologia da Informação – 2015) Retenção é uma forma
de tratamento do risco que visa implantar controles para se reduzirem os
riscos a um nível aceitável pela organização. Na escolha dos controles,
consideram-se os critérios da organização para a aceitação do risco, tais
como requisitos legais, regulatórios, contratuais, culturais, ambientais e
aspectos técnicos, além de custos e prazos para a implantação de
controles.

21ª Questão) (CESPE – STJ – Analista Judiciário – Suporte em


Tecnologia da Informação – 2015) De acordo com a norma ISO
27005, na estimativa de riscos, podem ser aplicadas metodologias
qualitativas para a identificação de riscos.

EXERCÍCIOS ISO 22301 e 31000

22ª Questão) (CESPE – TCU – AFCE – Auditoria de TI – 2015)


16712855225

De acordo com a NBR ISO/IEC 22301:2013, em caso de não


conformidade no sistema de gestão de continuidade de negócio (SGCN), a
organização deverá avaliar a necessidade para a eliminação das causas
desse problema, de modo que estas não ocorram em outro lugar, por
meio de, entre outras ações, mudanças no SGCN, se necessário.

23ª Questão) (CESPE – TCU – AFCE – Auditoria de TI – 2015)


De acordo com a NBR ISO/IEC 31000:2009, a fim de assegurar que a
gestão de riscos seja eficaz e continue a apoiar o desempenho
organizacional, convém que a organização garanta recursos materiais

Prof. Victor Dalton


www.estrategiaconcursos.com.br 47 de 48
Normas ISO para Concursos de TI
Curso Regular
Prof Victor Dalton Aula 02
irrestritos para evitar desvios em relação ao plano de gestão de riscos,
que deve ser mantido inflexível, especialmente em relação ao contexto
interno da organização.

GABARITO

1.e 2.a 3.d 4.b 5.c 6.c 7.e 8.c 9.c 10.e
11.c 12.e 13.c 14.c 15.e 16.e 17.e 18.c 19.c 20.e
21.c 22.c 23.e

16712855225

Prof. Victor Dalton


www.estrategiaconcursos.com.br 48 de 48