Trabalho de Conclusão do Curso de MBA Executivo em Gestão de TI, na BSP - Business School São Paulo - realizado em 2012.

1. I
Fábio Alexandre da Silva Marques
MBA Executivo em Gestão de TI
Geração de Valor nas Empresas a
partir da Implantação de um Sistema de
Gestão de Segurança da Informação
Projeto Final apresentado à Diretoria Acadêmica da Business School
São Paulo em cumprimento parcial às exigências para obtenção do
certificado de conclusão do MBA Executivo em Gestão de TI.
Orientador: Prof. Edison Audi Kalaf
São Paulo
2012

2. II
Este projeto final de MBA Executivo em Gestão de TI está aprovado.
____________________________________
Prof. Armando Dal Colletto
Diretor Acadêmico
____________________________________
Prof. Edison Audi Kalaf
Orientador

3. III
Dedicatória
À minha esposa Vanessa e meus filhos Lucas e Laura, a quem eu dedico minha vida.
Que o tempo ausente ontem e hoje se transforme em, no mínimo, um bom exemplo amanhã.

4. IV
Agradecimentos
Em primeiro lugar a Vanessa Marques, com sua experiência incontestável
na condução de auditorias e em sistemas de qualidade, pela contribuição na
definição do tema, na estruturação geral da abordagem do trabalho e por levar
nossos filhos para passear longe de casa durante os finais de semanas que
antecederam a entrega deste trabalho.
Agradeço também a Sidnei David, pela contribuição no processo de
aprendizagem sobre o sistema da qualidade, que está refletido neste trabalho, pelo
material e pelas palavras para sempre seguir em frente.
A Francisco Palma, pela experiência transmitida na condução de sistemas
de gestão e pelo empréstimo do material chave para o desenvolvimento deste
trabalho.
Ao Professor Edison Kalaf, que aceitou o desafio em ser meu orientador,
respondendo sempre prontamente com comentários pertinentes, apoio e incentivo.
Aos colegas de turma, pelos momentos agradáveis passados durantes
esses dois anos de ótima convivência, boas risadas e excelentes trocas de
experiências.
Aos meus pais, que puderam me dar os valores éticos e morais, balizadores
para os momentos mais difíceis.
E por fim, aos professores da BSP, que fazem a diferença dessa instituição.

5. V
Epígrafe
"[...] não somos estudantes de
assuntos, mas estudantes de
problemas. E os problemas
constituem os recortes de
qualquer assunto [...]"
POPPER (1972, p.92)

6. VI
Resumo
A informação, por se tratar de um dos principais elementos para a tomada de
decisão dentro nas organizações, se tornou um bem muito valioso, e, por
consequência, sua proteção também se transformou em ponto elementar para o
bem estar das empresas e o bom desempenho dos negócios.
Em plena era da economia baseada no conhecimento e com a importância
inegável da informação nesse contexto, a obtenção de uma certificação reconhecida
no mercado, atestando que o ambiente empresarial garante a segurança da
informação, ou seja, a “preservação da confidencialidade, integridade e
disponibilidade da informação”, faz com que a empresa evidencie efetivamente ao
mercado seu tratamento diferencial com relação ao seu bem maior, a informação,
agregando maior valor ao produto ou serviço da empresa, gerando valor para a
organização como um todo.
A certificação ABNT NBR ISO/IEC 27001:2006, é um selo que faz com que a
empresa implante um Sistema de Gestão de Segurança de Informação (SGSI1
)
eficiente e eficaz, com todos os controles de segurança personalizados
especificados para as necessidades individuais da empresa. Uma vez tendo o
sistema certificado, a organização demonstrará sua capacidade de definir,
implementar, operar, manter e sempre fazer as melhorias da segurança da
informação.
A outra forma de se avaliar a geração de valor dentro de uma organização e
que será demonstrada por este estudo é o Retorno sobre o Investimento em
Segurança da Informação, a partir da gestão de risco implantada pelo SGSI.
Mais uma grande vantagem do sistema de gestão de segurança da
informação e fonte de geração de valor a ser explorada por este estudo vem
novamente da implantação da gestão de riscos. A gestão de riscos, além de outros
objetivos do próprio SGSI, são importantes recursos para empresas que buscam
conformidade com outros padrões, como o PCI-DSS (Payment Card Industry Data
Security Standard), além de ser uma forma de atender requisitos impostos pelas leis,
normas, e regulamentações relacionadas com a segurança da informação, como na
Lei Sarbanes-Oxley, o Acordo da Basiléia II e a Resolução nº 3380 do Banco Central
do Brasil.
Palavras chave: Segurança da Informação, ABNT NBR ISO/IEC 27001,
Geração de Valor, Gestão de Riscos.
1
SGSI – Sistema de Gestão de Segurança da Informação. Alguns autores utilizam a sigla em inglês: ISMS – Information
Security Management System.

7. VII
Abstract
The information, because it is a key element in decision making within
organizations, has become a very valuable asset, and therefore its protection also
became elementary point for the well being of companies and the good performance
of business.
In the era of knowledge-based economy and the undeniable importance of the
information in this context, obtaining a certification recognized in the market, stating
that the business environment ensures information security, i.e., the "preservation of
confidentiality, integrity and availability information", that makes the company
effectively shows up to market its differential treatment related to its highest good, the
information, adding great value to its product or service, providing value to the whole
organization.
Certification ISO / IEC 27001:2006, is a seal that makes the company an
implant Information Security Management System (ISMS) efficiently and effectively,
with all specified security controls customized to the individual needs of the company.
Once you have the system certificate, the organization will demonstrate its ability to
define, implement, operate, maintain, and always make improvements of information
security.
The other way to assess value creation within an organization and that will be
demonstrated by this study is the Return on Investment in Information Security from
the risk management implemented by ISMS.
Another great advantage of the management system of information security
and source of value creation to be explored by this study is once more the
implementation of risk management. Risk management, and other objectives of the
ISMS itself, are important resources for companies seeking compliance with other
standards such as PCI-DSS (Payment Card Industry Data Security Standard),
besides being a way to meet requirements imposed by laws , rules, and regulations
related to information security, such as the Sarbanes-Oxley, Basel II and the
3380/BACEN resolution.
Keywords: Information Security, ISO / IEC 27001, Value Creation, Risk
Management.

8. VIII
Sumário
Dedicatória............................................................................................................................................. III
Agradecimentos ..................................................................................................................................... IV
Epígrafe ................................................................................................................................................... V
Resumo................................................................................................................................................... VI
Abstract................................................................................................................................................. VII
Lista de Figuras........................................................................................................................................ 1
Lista de Quadros...................................................................................................................................... 2
Capítulo 1 – Introdução........................................................................................................................... 3
Capítulo 2 – Sistema de Gestão da Segurança da Informação ............................................................... 6
Histórico .............................................................................................................................................. 7
Princípios básicos da segurança da informação................................................................................ 11
Definição de escopo e ativos............................................................................................................. 13
Política do SGSI.................................................................................................................................. 15
Metodologia para abordagem e gestão de riscos............................................................................. 17
Implementar e Operar o SGSI ........................................................................................................... 22
Objetivos de controles e controles da norma ABNT NBR ISO/IEC 27001 ......................................... 24
Capitulo 3 – Retorno sobre o Investimento em Segurança da Informação.......................................... 26
3.1 Um modelo prático ..................................................................................................................... 28
3.2 Outros modelos........................................................................................................................... 37
Capitulo 4 – O SGSI em conformidade com outros Padrões, Leis e Regulamentações ......................... 39
4.1 Lei Sarbanes-Oxley ...................................................................................................................... 39
4.2 Basiléia II e a Resolução nº 3380/BACEN .................................................................................... 42
4.3 PCI-DSS ........................................................................................................................................ 48
Capitulo 5 – Geração de Valor com Segurança da Informação ............................................................ 53
Capitulo 6 – Considerações Finais......................................................................................................... 56
Referências Bibliográficas ..................................................................................................................... 57
APÊNDICE A – Texto da Resolução nº 3380 do Banco Central do Brasil............................................... 61

9. 1
Lista de Figuras
Figura 1 – Número de empresas com a certificação ISO/IEC 27001 no mundo por país ....................... 9
Figura 2 – Empresas com a certificação ISO/IEC 27001 no Brasil ......................................................... 10
Figura 3 – Princípios básicos (ou tripé) da Segurança da Informação .................................................. 11
Figura 4 – Definição de escopos progressivos....................................................................................... 13
Figura 5 – Relacionamentos entre os princípios da gestão de riscos, estrutura e processos............... 18
Figura 6 – Visão geral do tratamento de riscos em projetos................................................................ 19
Figura 7 – Proposta de Metodologia para implantação do SGSI .......................................................... 22
Figura 8 – Modelo PDCA aplicado aos processos do SGSI .................................................................... 23
Figura 9 – Capital Mínimo Requerido.................................................................................................... 43
Figura 10 – Definição de risco operacional ........................................................................................... 45
Figura 11 – Possíveis riscos operacionais.............................................................................................. 46
Figura 12 – Estrutura de gerenciamento do risco operacional............................................................. 46
Figura 13 – Subconjuntos dos Dados da Conta..................................................................................... 49

10. 2
Lista de Quadros
Quadro 1 - Grupos dos objetivos de controle na norma ...................................................................... 24
Quadro 2 - Objetivos de controles da norma........................................................................................ 24
Quadro 3 - Possíveis causas diárias de perda de produtividade........................................................... 34
Quadro 4 - Perda de Produtividade devida as Soluções de Segurança ................................................ 36
Quadro 5 - Composição da Lei Sarbanes-Oxley .................................................................................... 40
Quadro 6 - Seções da Lei Sarbanes-Oxley relacionadas com a Segurança da Informação................... 42
Quadro 7 - Objetivos de controles e controles possivelmente implementáveis pelo artigo 3º, inciso V
............................................................................................................................................................... 47
Quadro 8 - Objetivos de controles e controles possivelmente implementáveis pelo artigo 3º, inciso VI
............................................................................................................................................................... 47
Quadro 9 - Os 12 requerimentos para implantação do PCI-DSS........................................................... 50
Quadro 10 - Sugestão de alinhamento entre os grupos do PCI-DSS e os Objetivos de controle da ABNT
NBR ISO/IEC 27001................................................................................................................................ 51

11. 3
Capítulo 1 – Introdução
O aumento significativo do volume de e-business dos últimos anos e a
descoberta do potencial comercial existente na exploração das redes sociais
(CHACRA, 2012), somada com a explosão do uso de smartphones e tablets nas
empresas2
, fez com que, além de um ambiente de negócios cada vez mais
interconectado, a preocupação com a segurança e a integridade das redes
computacionais corporativas fosse redobrada.
Esse consequente aumento de exposição da rede corporativa trouxe uma
ameaça ainda maior a corporação, pois expôs os sistemas de informações a ela
conectados a uma grande variedade de ameaças e vulnerabilidades, sistemas estes
que até então estavam protegidos internamente. É importante destacar que, por
tratar de um ativo que circula em todos os ambitos da empresa, a informação, seja
ela eletrônica, em papel, falada, etc., tornou-se um dos artefatos mais importantes,
estratégicos e essenciais para os negócios de uma organização nos últimos tempos.
(ABNT NBR ISO/IEC 17799:2005)
Segundo Cendón (2002) a informação é um dos principais insumos para a
tomada de decisão nas organizações. Dias (2003) foi além, comentando que a
informação é o principal patrimônio da empresa e está em constante risco.
Portanto, realizar a segurança da informação, tornou-se também ponto chave
para o bem estar das empresas e um bom desempenho nos negócios.
Segurança da Informação, segundo a norma ABNT NBR ISO/IEC
17799:2005, “é a proteção da informação de vários tipos de ameaças para garantir a
continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os
investimentos e as oportunidades de negócio”.
Para ajudar num processo de proteção efetiva da informação, já não é mais
suficiente proteger a rede corporativa apenas com a escolha de ferramentas de
proteção típicas de mercado, como firewalls e antivírus, ou a criação de programas
internos na empresa para “uso consciente recursos de internet”; deve-se haver a
adoção de um modelo de gestão inteligente e eficaz para monitorar o ambiente
corporativo, tomar ações eficientes e criar a possibilidade para se agir
preventivamente.
Para isso, deve-se ter um modelo de gestão para servir de base para a
segurança da informação. Assim sendo, a norma ABNT NBR ISO/IEC 27001:2006
sugere a adoção de um Sistema de Gestão de Segurança da Informação (SGSI),
que definirá um conjunto de diretrizes a serem seguidas para garantir a segurança
de um ambiente computacional conectado em rede. O processo de implantação do
SGSI irá resultar na padronização e documentação de procedimentos, ferramentas e
técnicas. Além disso, ajudará na criação dos indicadores e registros e na definição
de um processo de treinamento para conscientização da organização.
2
Tanto equipamentos fornecidos pela própria empresa como de uso pessoal do colaborador. Segundo pesquisa conduzida
pela Avanade - Global Survey: Dispelling Six Myths of Consumerization of IT – os equipamentos de uso pessoal estão
invadindo as empresas, que de certa forma não está rejeitando a prática.

12. 4
Após a consolidação do processo de implantação do SGSI pode-se iniciar o
processo de certificação desse sistema. A certificação é dada a partir da coleta de
evidências (documentos e práticas) do conjunto de controles implantados e que
devem ser continuamente executados, monitorados e devidamente registrados. Para
esse processo, o SGSI deve passar pela validação de um OAC - Organismo de
Avaliação da Conformidade, mostrando que o trabalho agora executado é realizado
de forma eficiente e consistente com a norma ABNT NBR ISO/IEC 27001:2006. Por
fim, alcançado os resultados, a emissão do certificado é feita.
A necessidade da proteção da informação está definida. Porém pensando
num processo de ampliação dos resultados do SGSI, como conseguir gerar mais
valor para as organizações a partir da implantação desse sistema de gestão de
segurança da informação?
Por que não mostrar e se fazer valer da utilidade das ferramentas que o
processo do SGSI se utiliza para benefício mais amplo da organização e de seus
departamentos?
Esse estudo, caracterizado como sendo uma pesquisa exploratória (GIL,
2002), servirá como resposta para essas perguntas, mostrando que os benefícios da
adoção de um sistema de gestão de segurança da informação não se limitam
apenas ao resultado final - o ativo protegido - mas sim a todo o processo,
propagando os resultados destes benefícios para outros setores e necessidades da
organização.
Pensando neste sentido, os próprios meios e fins vão justificar a implantação
do SGSI.
No segundo capítulo desse estudo, será mostrado o histórico, como funciona,
qual a estrutura geral e os requisitos do SGSI e sua implantação, e tudo o que for
mais relevante sobre a norma ABNT NBR ISO/IEC 27001:2006 e as demais normas
da família 27000.
Uma das partes mais difíceis do trabalho de um departamento de tecnologia
da informação ou de um profissional de segurança da informação especificamente é
a demonstração de que um investimento em segurança da informação faz sentido.
Fazer sentido para a gestão da organização significa que o resultado do
investimento deverá ser maior que o custo total investido – em geral como resultado
de projetos dessa natureza têm-se a economia de custos.
Portanto, no terceiro capítulo desse estudo, será mostrada uma técnica,
baseada num modelo, para cálculo financeiro do retorno de investimento
especificamente em projetos de segurança da informação, técnica esta também
conhecida genericamente como ROSI3
.
Na sequência do estudo - capítulo quatro – serão feitos os paralelos da norma
ABNT NBR ISO/IEC 27001:2006 com as exigências de outras leis, normas,
3
ROSI, do inglês Return on Security Investment.

13. 5
regulamentações e padrões, no que diz respeito a Segurança da Informação. Neste
ponto serão estudados os subsídios que a norma oferece para que os seus
requisitos também possam vir a servir estas leis e regulamentações. São elas:
 Lei Sarbanes-Oxley;
 Acordo da Basiléia II;
 Resolução 3380/BACEN;
 PCI-DSS4
.
O presente estudo se propõe a fazer uma consolidação dos resultados e
apresentar, dependendo da natureza da organização, os benefícios extras que
podem ser obtidos com a implantação de um Sistema de Gestão de Segurança da
Informação, fazendo com que este tenha efetivamente um papel para geração de
valor na organização.
4
Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI). PCI-DSS, do inglês Payment Card Industry
Data Security Standard.

14. 6
Capítulo 2 – Sistema de Gestão da Segurança da Informação
Para entender um Sistema de Gestão de Segurança da Informação (SGSI), é
importante entender um pouco do histórico do que levaram organizações a se
sentirem na necessidade de implantar métodos para controlar a gestão da
segurança da informação e como surgiram e se estabeleceram os primeiros padrões
e normas sobre segurança da informação, além da estrutura de normas existentes
atualmente.
Algumas informações básicas e definições para o estabelecimento de um
SGSI também serão explorados neste capítulo. São eles: princípios básicos da
segurança da informação, definição de escopo e ativos, política de segurança e
análise de riscos.
Após as definições, será mostrado como implementar e operar o SGSI. E
também como esses e demais conceitos se ajustam ao modelo conhecido como
“Planeje-Faça-Avalie-Aja” (PDCA5
), que é aplicado para estruturar os processos do
SGSI.
Por fim, serão mostrados os objetivos de controles e controles sugeridos pela
norma ABNT NBR ISO/IEC 27001:2006, derivados diretamente e que estão
alinhados com os objetivos listados na ABNT NBR ISO/IEC 27002:2005, e o porquê
eles devem ser selecionados e implementados.
Como o propósito da pesquisa realizada para este capítulo não é a
implantação de um Sistema de Gestão de Segurança da Informação, somente os
conceitos considerados essenciais à abordagem do assunto e a exploração do tema
do estudo serão detalhados. Alguns conceitos sobre o SGSI considerados
importantes por muitos autores foram omitidos, ou não tiveram o devido
detalhamento dado, porém de forma alguma foram objetos de negligência, nem
tampouco é sugerida que sejam negligenciados por parte desse estudo.
5
PDCA, do inglês Plan-Do-Check-Act, sigla normalmente utilizada para designar o modelo em questão.

15. 7
Histórico
Preocupar-se com a segurança de sistemas computacionais não é uma
preocupação que vem de agora. O processo de definição das regras e os padrões
de segurança iniciaram-se na década de 60, com o impulso da Guerra Fria
(MARTINS e SANTOS, 2005) bem como a própria aceitação e criação da “Ciência
da Informação” como uma disciplina de estudo (SARACEVIC, 1991).
A preocupação com estabelecimento de uma norma no campo da segurança
da informação com finalidades comerciais surgiu na Inglaterra, em meados da
década de 80. Em 1987 o “Departamento de Indústria e Comércio” (DTI6
) criou o
“Centro de Segurança da Computação Comercial” (CCSC7
), com a missão de
estabelecer critérios que pudessem de alguma forma validar a segurança da
informação nas organizações que comercializavam produtos para a área de
segurança de Tecnologia da Informação (TI), critérios estes que pudessem ser
certificáveis. Outro objetivo do grupo era elaborar um código de boas práticas para
orientação geral na implantação de ações que pudessem vir a contribuir com a
segurança da informação, o que resultou na geração de uma norma técnica já em
1989 (CAMPOS, 2007; MARTINS e SANTOS, 2005).
A contribuição dada pela área industrial inglesa para a evolução do
desenvolvimento destes trabalhos, o código de práticas se tornou o padrão britânico
de gestão de segurança da informação, o PD0003 - Código para Gerenciamento da
Segurança da Informação. A partir deste trabalho, vários documentos preliminares
foram publicados por este centro até que em 1995, foi disponibilizada para consulta
pública pela British Standard Institution (BSI) a BS 7799. Dividida em duas partes, a
BS 7799, continha em sua primeira parte publicada em 1995 (BS 7799-1) o “Código
de práticas para a gestão da segurança da informação8
”; a segunda parte lançada
em 1998 (BS 7799-2), que é uma espécie de lista de verificação, é a “Especificação
para sistemas de gestão da segurança da informação9
” (CAMPOS, 2007; MARTINS
e SANTOS, 2005).
A BS 7799-1 é a primeira parte da norma, contendo uma introdução, a
definição da extensão e as principais condições de uso para a norma. A norma se
apresenta em 10 cláusulas que se agrupam em objetivos de controles e controles,
com a intenção dar direção para a gestão e suporte para segurança da informação.
A BS 7799-2 foi revisada em 2002, estabelece as bases para a implantação
de um SGSI, já adotando o conceito de melhoria contínua pela utilização do ciclo
PDCA (este último será detalhado neste mesmo capítulo), sendo que, neste mesmo
ano ela passou a ser utilizada como norma para certificação em segurança da
informação. Mais que uma simples lista de verificação, a BS 7799-2 passou a ser
utilizada como um instrumento de orientação para implantação de um SGSI.
Com a aplicação de contínuas melhorias e a adoção por inúmeras
organizações mesmo fora da Inglaterra, fez com que a BS 7799-1, no ano de 2000,
6
DTI, do inglês Department of Trade and Industry’s.
7
CCSC, do inglês Comercial Computer Security Centre.
8
A norma BS 7799-1, original em inglês - Code of Practice for Information Security Management.
9
A norma BS 7799-2, original em inglês - Specification for Information Security Management Systems.

16. 8
fosse homologada pela ISO10
(Organização Internacional para Padronização),
transformando-a numa norma de aplicação internacional, a ISO 17799.
O mesmo efeito de evolução e melhoria contínua que a BS 7799 sofrera, a
norma ISO 17799 recebeu após sua publicação em 2000, e no ano de 2005, fora
publicada sua revisão, versão válida até o momento deste estudo (revisada em
2007). As melhorias aconteceram principalmente por conta da clarificação na
identificação dos controles de segurança.
Foi em 2005 também que a ISO lançou sua versão certificável da norma, ou
seja, foi neste ano em que ela homologou a BS 7799-2. Porém a nova norma
passou a se chamar ISO 27001, com o intuito de criar uma nova família de normas,
só que agora para o campo de gestão de segurança da informação, da mesma
maneira como acontece nas famílias 9000 e 14000, que atuam nos campos da
gestão da qualidade e gestão do ambiente respectivamente.
Em 2007, a ISO 17799 então passou a se chamar ISO 27002, com o seu
conteúdo idêntico e na integra.
Para o estudo aqui proposto, a ISO 27001, que contempla os requisitos do
SGSI, e a ISO 27002, que é o código de prática para a gestão de segurança da
informação, são as duas mais importantes normas a serem analisadas, porém vale
destacar as principais normas dentro da família 27000, além destas, que podem
servir de base para outros estudos:
 ISO 27003: guia de implementação do sistema de gestão de segurança
da informação;
 ISO 27004: medidas e métricas utilizadas em segurança da
informação;
 ISO 27005: gestão de risco em sistemas de gestão de segurança da
informação;
 ISO 27006: requisitos para auditoria e certificação de um sistema de
gestão de segurança da informação;
 ISO 27007: Diretrizes para auditorias em sistemas de gestão de
segurança da informação.
Existe uma lista vasta de normas da família 27000 (mais de vinte e cinco)
abrangendo diversas outras áreas relacionadas com a tecnologia da informação,
para diversos tipos de organizações, que também podem servir de objeto para
outros estudos.
No Brasil, estas normas foram traduzidas pela ABNT (Associação Brasileira
de Normas Técnicas). Por se tratar de uma norma “certificável”, através de um
processo de auditoria conduzido por um órgão certificador, pode conceder um
certificado reconhecendo o cumprimento dos requisitos de segurança da informação
nesse sistema de gestão.
10
Embora muitos achem que ISO é um acrônimo de International Standards Organization, na realidade, segundo explicação
da própria organização, é que International Organization for Standardization teria diferentes siglas em diferentes idiomas (IOS
em Inglês, OIN em francês - Organisation internationale de normalisation), então os fundadores decidiram dar-lhe também um
nome curto, genérico e que fosse padronizado. Então foi escolhido ISO, uma derivação do grego ἴσος, que significa
igualdade. Portanto, independente do país, da língua utilizada, a forma abreviada do nome da organização será sempre ISO.

17. 9
O número de empresas cerificadas na norma ISO/IEC 27001 do mundo vem
crescendo. Atualmente o país com maior número de empresas cerificadas é o
Japão, quantidade quase oito vezes maior que o segundo colocado, o Reino Unido,
país onde se iniciou todo o processo:
Figura 1 – Número de empresas com a certificação ISO/IEC 27001 no mundo por país
Fonte: http://www.iso27001certificates.com/, acessado em 19 de maio de 2012.
No Brasil o número de empresas cerificadas ainda é pequeno, no total de 24,
como mostra a tabela da Figura 1, porém, logo abaixo, na Figura 2, são listadas
quais empresas brasileiras são certificadas. Analisando o perfil das empresas, é
observado que há empresas dos mais variados campos de atuação – de
mineradoras a empresas de telecomunicação, passando por órgãos públicos
Federais, prestadoras de serviços, consultorias, etc.

18. 10
Figura 2 – Empresas com a certificação ISO/IEC 27001 no Brasil
Fonte: http://www.iso27001certificates.com/, acessado em 19 de maio de 2012.

19. 11
Princípios básicos da segurança da informação
Um sistema de segurança da informação é fundamentado em três princípios
básicos: 1) confidencialidade 2) integridade 3) disponibilidade. (RAMOS, 2007)
Figura 3 – Princípios básicos (ou tripé) da Segurança da Informação
Fonte: CAMPOS (2007, p. 17)
A confidencialidade está relacionada na garantia de que somente as
pessoas explicitamente autorizadas tenham o devido acesso à informação.
Conforme Campos (2007), quando uma informação é acessada por qualquer pessoa
sem autorização, independente de ser intencional ou não, de qualquer forma como
tenha sido o acesso (via descoberta de senha, por exemplo), isto caracteriza um
incidente de segurança da informação por quebra de confidencialidade.
Incidente de segurança da informação, segundo a ISO/IEC TR 18044:2004, é
“um simples ou uma série de eventos de segurança da informação indesejados ou
inesperados, que tenham uma grande probabilidade de comprometer as operações
do negócio e ameaçar a segurança da informação”.
Campos (2007) aborda ainda outros aspectos da quebra de confidencialidade
da informação: desde pessoas que invadem sistemas de computador
intencionalmente, sejam de empresas ou de pessoas físicas, para obtenção de
dados; ou ainda de fatores menos notados, de pessoas que conversam sobre
assuntos confidenciais de trabalho em locais públicos disponibilizando a informação
às pessoas ao seu redor. Esse vazamento de informação pode causar sérios danos
à organização em questão.
A engenharia social, que é a habilidade de uma pessoa em conseguir obter
informação de outra pessoa só com o uso da conversa e do envolvimento pessoal
também pode ser utilizada para quebra de confidencialidade.

20. 12
O princípio da integridade é garantido quando a informação está acessível e
completa, sem alterações, e, portanto, confiável.
Uma vez que a informação é indevidamente alterada ou falsificada, com ou
sem intenção, de qualquer origem - banco de dados, arquivo de papel, etc. –
caracteriza um incidente de segurança da informação por quebra de integridade. Ou
seja, desde documentos num cofre sem chave em salas com acesso sem restrições
até um banco de dados instalado num computador com uma senha de acesso
pública podem gerar um incidente de segurança da informação por quebra de
integridade.
O princípio da disponibilidade é garantido sempre que informação está
acessível, para pessoas autorizadas, sempre que necessário.
Uma vez que a informação deixa de ser acessada, mesmo que por uma
pessoa experiente e com os devidos acessos, dependendo do caso pode se tornar
um incidente de segurança da informação. Outros fatores devem ser considerados
nesse aspecto: sistemas de computador indisponíveis, servidores web inoperantes
em resultado de ataques e invasões, quedas não intencionais de sistemas; todos os
casos descritos são considerados incidentes de segurança da informação por
quebra de disponibilidade.
Com a simples adoção destes três princípios pode-se dizer que a segurança
da informação está no direcionamento correto.

21. 13
Definição de escopo e ativos
Uma importante etapa para estabelecimento do SGSI numa organização é a
definição do escopo. O escopo vai limitar a atuação do SGSI dentro da empresa,
pois determinará as áreas ou domínios onde o SGSI efetivamente vai ter seu papel
de controle desempenhado.
A definição do escopo aumenta obrigatoriamente a abrangência do sistema,
ou seja, quanto maior o escopo, maior será a abrangência do sistema e
consequentemente maior a complexidade de seus controles. Segundo Campos
(2007), o escopo do SGSI pode ser implantado inicialmente em parte da empresa,
aumentar gradativamente com o passar do tempo, conforme demonstrado na figura
a seguir:
Figura 4 – Definição de escopos progressivos
Fonte: Adaptado de CAMPOS (2007, p. 43)
A melhor abordagem para definição do escopo adequado de um SGSI é a
análise da cadeia de valor11
da empresa. Nessa abordagem o SGSI terá atuação
realmente nas informações onde provavelmente elas possuirão o maior valor.
11
O modelo de cadeia de valor, introduzido por Porter (1986), destaca as atividades mais específicas de cada empresa nas
quais as estratégias competitivas podem ser mais bem aplicadas.

22. 14
Juntamente com a definição do escopo, que é um documento obrigatório
dentro do SGSI, incluirá o levantamento dos ativos que serão envolvidos, tais como:
equipamentos, sistemas, nome da organização, estrutura de comunicação - Internet,
correio eletrônico, telefonia – pessoas, serviços, infraestrutura de rede interna e
externa e classificação da informação.
Da mesma maneira que a abrangência do escopo aumentará o campo de
atuação do SGSI, o número de ativos também aumentará, na mesma
proporcionalidade e relevância.
Sendo assim, quanto maior o escopo, maior o número de ativos, maiores
serão as quantidades de informações trafegadas pelo SGSI e maiores serão as
vulnerabilidades a que estes ativos estarão expostos.
Segundo a ABNT NBR ISO/IEC 27002, vulnerabilidade é a fragilidade de um
ativo ou grupo dele que pode ser explorada por uma ou mais ameaças, permitindo a
geração de incidentes. A vulnerabilidade resulta exatamente na quebra de um ou
mais princípios básicos da segurança da informação (confidencialidade, integridade
e disponibilidade).
Portanto, escopo e ativos são importantes não só para definirem a
abrangência e os limites de atuação do SGSI, mas também servem para o
estabelecimento dos requisitos de segurança da informação, pois serão as ameaças
e as vulnerabilidades identificadas neles, por intermédio da análise/avaliação de
riscos, é que serão realizadas as estimativas de ocorrências de ameaças e impacto
potencial ao negócio.

23. 15
Política do SGSI
A política para estabelecimento do SGSI é considerado um documento maior
que a própria política de segurança da informação da organização, conforme
sugestão da própria norma ABNT NBR ISO/IEC 27001.
A política do SGSI deve incluir uma estrutura para definir um direcionamento
geral para toda a organização estabelecendo os parâmetros para as ações
relacionadas com a segurança da informação.
A definição da política ainda deve levar em consideração qualquer obrigação
maior que a organização é submetida, como leis ou regulamentações específicas,
como instituições bancárias, seguradoras, indústrias farmacêuticas, e muitas outras.
Requesitos de negócios específicos também devem ser considerados.
Outros fatores importantes estão relacionados com a gestão de risco, de
forma que a política deverá estar alinhada no seu contexto estratégico e na forma
como estabelecerá os critérios de avaliação dos próprios riscos.
As recomendações sobre a criação de uma boa política são basicamente que
ela seja concisa, verificada, validada, mas, principalmente aprovada pela direção.
Este último foi o item mais recomendado pela literatura. O intuito principal dessa
abordagem é o alinhamento da segurança da informação com o negócio.
Para comprovar, Diniz e Diniz (2009) e a seção “4.2.1 b) 5)” da própria norma
ABNT NBR ISO/IEC 27001, mostram que a política do SGSI deve estar aprovada
pela alta direção.
Muito se confunde sobre a criação de uma política de SGSI e a própria
criação da política de segurança da informação. Como não são objetos de discussão
tão distantes, e em alguns aspectos são muitas semelhantes, a questão da criação
da política de criação da segurança da informação será abordada neste mesmo
tópico. Algumas informações podem valer para ambas as políticas.
Para a criação de políticas de segurança da organização, o comitê
responsável pode tomar como base os padrões e normas existentes, sendo que
entre eles os mais recomendados para a finalidade, a própria ABNT NBR ISO/IEC
27002 e as RFC de número 2196, de 1997, e a RFC 2828 de 2000.
De acordo a RFC 2196 e a 2828, a Política de Segurança descreverá
“recomendações, regras, responsabilidades e práticas de segurança”. Porém, sabe-
se que não haverá um modelo de política de segurança que se possa implementar
em qualquer organização, pois ela deverá ser ajustada a cada caso. Sendo assim,
criar uma política de segurança é uma tarefa muito difícil e que necessita constante
acompanhamento, revisão e atualização.
Além disso, os resultados por ela alcançados só serão vistos ou em médio ou
em longo prazo. É importante que haja uma política de segurança que realmente
seja utilizada como referência para os colaboradores da organização, criando a
viabilidade para garantir que os três princípios básicos da segurança da informação
(integridade, disponibilidade e confiabilidade) sejam mantidos.

24. 16
A política de segurança da informação estabelece os princípios de como a
organização vai proteger, controlar e monitorar recursos a que ela pertence e,
consequentemente, as informações que por eles circulam. É muito importante estar
descrito na política quais e de quem são as responsabilidades e que seja orientada a
riscos e a impactos que envolvam o processo (FERREIRA e ARAUJO, 2006).
Considerando uma conclusão sucinta para o assunto: “A adoção das políticas
de Segurança da Informação proporciona a transparência e fornece credibilidade à
empresa perante a sociedade.” (LAUREANO e MORAES, 2005).

25. 17
Metodologia para abordagem e gestão de riscos
Mayer e Fagundes (2008) sugerem a seguinte definição para Gestão de
Riscos:
“Gestão de Riscos (GR) são atividades coordenadas para direcionar e
controlar uma organização no que se refere a riscos, isso inclui a análise, a
avaliação, o tratamento, a aceitação e a comunicação de riscos. As
organizações precisam implementar GR de forma consistente e sistemática,
para buscar conformidades com as leis, normas e regulamentações, bem
como atender a requisitos obrigatórios da área de segurança da
informação.”
A norma ABNT NBR ISO/IEC 27001 considera a gestão de risco como parte
essencial do processo de estabelecimento do SGSI numa organização, além da
política do SGSI.
Da mesma maneira que sugerida para a política do SGSI, a norma ABNT
NBR ISO/IEC 27001 sugere para a metodologia de análise/avaliação de riscos deve
levar em consideração qualquer obrigação maior que a organização é submetida,
como leis ou regulamentações específicas, além dos requesitos de negócios
específicos que também devem ser considerados.
Um dos pontos fundamentais da gestão de risco, com a qual a organização
deve estabelecer seus parâmetros e conhecer seus limites, e que leva em
consideração não só aspectos tangíveis da empresa, mas também intangíveis, como
a cultura organizacional, é o grau de tolerância ao risco ou nível de aceitação de
risco. Segundo o Guia do Conhecimento do em Gerenciamento de Projetos
(PMBoK12
): “Tolerância a risco: O grau, a quantidade ou o volume de risco ao qual
um indivíduo está disposto a tolerar”.
A tolerância ao risco da organização é que vai expor mais ou menos a
organização as vulnerabilidades e ameaças existentes.
A definição e uma possível categorização com relação ao grau de importância
do escopo e dos ativos, mesmo que não sugerida pela norma ABNT NBR ISO/IEC
27002 (seção 7.1.1, Inventário de Ativos), seria importante para uma análise mais
criteriosa para se determinar tolerâncias ou níveis de aceitação de riscos diferentes
dependendo da categoria do ativo que está sendo avaliado. Ou seja, um ativo pode
ser mais importante que outro; um departamento pode ter um contexto diferente do
outro. Como é sugerida por Campos (2007) para a determinação do escopo de
atuação do SGSI, a cadeia de valor também pode ser utilizada para determinar o
grau de importância destes ativos, uma vez que estes estão inseridos nos escopos.
Neste caso é importante salientar que a informação circulante nestes
contextos pode ser a mesma, podendo ser diferente se for levado em consideração
cenários técnicos específicos (segmentação lógica ou física de redes
12
PMBoK, do inglês, Project Manager Book of Knowledge. Publicação do Instituto de Gerenciamento de Projetos (Project
Management Institute - PMI), com sede nos EUA.

26. 18
computacionais, segregação física das pessoas ou departamentos, políticas de
acesso a sistemas e uso de rede, etc.).
Os passos seguintes para a abordagem dos riscos podem seguir diversas
metodologias, em geral todas elas seguem o mesmo padrão. A própria norma ABNT
NBR ISO/IEC 27001 sugere que na ISO/IEC TR 13335-3 (Tecnologia da Informação
– Diretrizes para a gestão da segurança de TI – Parte 3: Técnicas para a gestão de
segurança de TI) existem exemplos de metodologias de analise/avaliação de riscos
para serem discutidos.
Dentro da família ISO 27000, mais especificamente a ISO/IEC 27005, aborda
justamente a gestão de risco em sistemas de gestão de segurança da informação.
No sentido de “padronizar a si mesma” a Organização Internacional para
Padronização (ISO) criou a norma ISO 31000, uma espécie de norma genérica,
onde todas as demais normas ligadas ao gerenciamento de risco deverão ter as
suas regras fundamentadas.
Pela ISO 31000 tem-se relacionado os seguintes princípios da gestão de
riscos, estrutura e processo:
Figura 5 – Relacionamentos entre os princípios da gestão de riscos, estrutura e processos
Fonte: ABNT (NBR ISO 31000 p. vii, 2009)
Se forem analisadas a maioria das metodologias de analise/avaliação de risco
disponíveis no mercado, haveria um consenso de que todas giram em torno do
mesmo fundamento: Identificar, Analisar, Avaliar, Tratar e Monitorar.
A título de comparação, o PMBoK trata os riscos em projetos com os
seguintes processos:

27. 19
Figura 6 – Visão geral do tratamento de riscos em projetos
Fonte: PMI (PMBoK, p.274, 2008)
Como trata de exclusivamente projetos, o PMBoK insere a etapa de
planejamento a gestão de riscos. Avaliando um pouco mais as demais metodologias,
estas não se diferem muito, porém esta etapa de planejamento não é explicitada
ficando a cargo do ser interpretada.
Portanto, obedecendo ao critério de Identificar, Analisar, Avaliar, Tratar e
Monitorar, como descrito na norma ABNT NBR ISO/IEC 27001, mas levando em
consideração os comentários de Mayer e Fagundes (2008), temos a seguinte
explicação para cada critério:

28. 20
 Identificação do Risco: devem-se identificar os ativos do escopo de
abrangência do SGSI, seus proprietários e verificar as ameaças a
esses ativos. Deve-se verificar a existência de vulnerabilidades que
estas ameaças podem explorar. Identificar os impactos que podem
causar perdas dos princípios básicos (confidencialidade, integridade e
disponibilidade);
 Análise do Risco: utilização de informações para identificar as fontes
para estimar os riscos; portanto é o processo que vai definir a
probabilidade de ocorrência de um risco e o valor do impacto que ele
poderá exercer. Como resultado completo do processo até este ponto,
tem-se a identificação dos eventos, os impactos desses eventos em
cada um dos princípios da segurança da informação, probabilidade de
ocorrência, e os valores estimados para cada risco analisado.
Considerando essa situação, chega-se a um valor Qualitativo, outro
Quantitativo, ou seja, respectivamente, um atributo qualificador (alto,
médio, baixo ou ainda um percentual) e um valor numérico (valores
monetários);
 Avaliação do Risco: a avaliação de cada risco deve levar em
consideração o grau de tolerância ao risco aceito pela organização e
deve ser categorizado como tal. Uma lista deve ser gerada com a
priorização dos riscos;
 Tratamento dos riscos: Para o tratamento dos riscos será necessário
à aplicação de determinadas estratégias, melhores adequadas para o
caso. Segundo Zhi (1994) quatro estratégias podem ajudar a responder
aos riscos do projeto (OLIVEIRA et al, 2008):
o Evitar: não se adota tecnologia ou processos que se possam
oferecer riscos ao negócio da organização. A maneira de se
tratar riscos dessa natureza pode gerar novos riscos ainda
maiores que os benefícios que poderia trazer, assim sendo
evitado;
o Transferir: será transferida a tratativa dos riscos dessa natureza
a terceiros ou a outro setor sendo uma opção ainda viável
quando a sua tratativa acarretará custos de implantação no
projeto;
o Reduzir: será adotado controles que tenham capacidade de
mitigar e/ou minimizar o risco encontrado;
o Aceitar: será aceito o risco sendo uma hipótese quando esta
não se faça uma ameaça, porém se faz necessário ficar ciente
que o risco ainda existirá desta maneira, é preciso seu
monitoramento continuo para que venha a acontecer sua
probabilidade de aumento.

29. 21
A gestão de risco é o centro do SGSI, tendo como “motor” principal o seu
monitoramento contínuo. É o monitoramento contínuo dos ativos no escopo de
abrangência do SGSI, dos resultados gerados pelos controles implementados, é que
o SGSI será retroalimentado.
Neste ponto, após a definição de como será a tratativa do risco, deve ser
definido o escopo de abrangência do tratamento de riscos, ou seja, devem ser
selecionados os objetivos de controle e controles em que a análise de risco vai
atuar. Devem ser selecionados os controles sugeridos no Anexo A da norma ABNT
NBR ISO/IEC 27001 que são mais aderentes ao negócio. Esta lista está preenchida
com controles comumente considerados relevantes nas organizações.
A tarefa de seleção dos controles pode ser considerada também uma maneira
de identificação de novos riscos para a organização. A lista proposta pelo Anexo A
mostra uma série de controles que muitas vezes não foram implementados pelas
organizações, apesar de serem relevantes. Por conta disso, pode-se colocar mais
um ponto de retroalimentação do sistema de monitoramento e identificação de novos
riscos, a partir da avaliação desta seleção. A falta de um controle vai indicar
automaticamente:
 Um novo risco para ser monitorado;
 Um plano de ação a ser desenvolvido.
O plano de ação constitui na implementação do determinado controle (se
aplicável). O plano de ação pode ainda implementar registros, indicadores de
desempenho, novos sistemas, etc.
Por fim, uma vez selecionados os controles, será possível fazer a Declaração
de Aplicabilidade de cada um dos controles, mostrando cada um dos controles
selecionados e a razão pela qual foram selecionados e a razão pela qual os demais
foram excluídos.

30. 22
Implementar e Operar o SGSI
A implementação e operação do SGSI basicamente preveem a
operacionalização dos controles selecionados (para atender os objetivos de
controle), a monitoria dos riscos identificados, colocar em praticas os tratamentos
aos riscos identificados e avaliar o andamento dos planos de ações já colocados em
prática. Ou seja, fazer com que o ciclo funcione.
A realização da análise crítica do SGSI é ponto fundamental para o sucesso.
Segundo a norma ABNT NBR ISO/IEC 27001, a análise crítica deve levar em
consideração, além do atendimento à política e dos objetivos do próprio SGSI, os
resultados de auditorias de segurança da informação resultados de medições de
eficácia, sugestões e realimentação das partes interessadas.
Como sugere Martins e Santos (2005), operacionalizando o SGSI no ciclo
PDCA, teremos todas as etapas do processo como mostrado na figura a seguir:
Figura 7 – Proposta de Metodologia para implantação do SGSI
Fonte: Journal of Information Systems and Technology Management (adaptado MARTINS e FONTES, p.127, 2005)

31. 23
Como mostrado, as fases Planejar-Fazer (Plan-Do) do PDCA são as etapas
correspondentes à construção do SGSI que compreendem a elaboração da política
de segurança, definição do escopo, elaboração da análise de riscos, definição da
estratégia de gerenciamento de riscos, documentação e seleção dos controles para
aceitação dos riscos.
Dessa maneira, conforme a figura a seguir, a implementação do SGSI
acontece nas duas primeiras etapas do ciclo PDCA. Ainda no modelo PDCA, as
fases Avalie-Aja (Check-Act) relacionam-se à validação de que os controles
selecionados estão sendo aplicados; e se esses mesmos controles selecionados
estão sendo aplicados na melhoria contínua de todo SGSI e nas auditorias
periódicas.
A figura a seguir mostra a visão da norma ABNT NBR ISO/IEC 27001 sobre
os processos do SGSI em consonância ao ciclo do PDCA.
Figura 8 – Modelo PDCA aplicado aos processos do SGSI
Fonte: ABNT (adaptado de NBR ISO/IEC 27001 p. vi, 2006)

32. 24
Objetivos de controles e controles da norma ABNT NBR ISO/IEC
27001
A norma ABNT NBR ISO/IEC 27001:2006, trata especificamente da
implantação do sistema de gestão de segurança da informação com base em todos
os objetivos de controles e controles do código de prática ABNT NBR ISO/IEC
27002:2005.
São 39 objetivos de controles, divididos em 11 grupos, e um total de 135
controles para serem selecionados.
A seleção destes controles deve ser feita de forma clara e coerente, uma vez
que deverá ser justificada a eleição de cada controle; o contrário também é
verdadeiro – a sua não escolha também deverá ser justificada. As justificativas
deverão ser reportadas na Declaração de Aplicabilidade. Objetivos de controle e
controles adicionais poderão ser selecionados, conforme necessidade da empresa.
Os 11 grupos de objetivos de controle tratam dos seguintes temas:
Quadro 1 - Grupos dos objetivos de controle na norma
Cód. Grupo
A.5 Política de Segurança
A.6 Organizando a Segurança da Informação
A.8 Segurança em recursos humanos
A.9 Segurança Física e do Ambiente
A.10 Gerenciamento das operações e comunicações
A.11 Controle de Acesso
A.12 Aquisição, desenvolvimento e manutenção de sistema
A.13 Gestão de Incidentes de Segurança da Informação
A.14 Gestão da continuidade do negócio
A.15 Conformidade
Fonte: ABNT (adaptado de NBR ISO/IEC 27001 p. 14-30, 2006)
O próximo quadro mostram os 39 grupos distribuídos nos 11 grupos
indicados:
Quadro 2 - Objetivos de controles da norma
Cód. Grupo e Objetivo de Controle
A.5 Política de Segurança
A.5.1 Política de Segurança da Informação
A.6 Organizando a Segurança da Informação
A.6.1 Organização interna
A.6.2 Partes Externas
A.7 Gestão de Ativos
A.7.1 Responsabilidade pelos ativos
A.7.2 Classificação da Informação
A.8 Segurança em recursos humanos

33. 25
A.8.1 Antes da contratação
A.8.2 Durante a contratação
A.8.3 Encerramento ou mudança da contratação
A.9 Segurança Física e do Ambiente
A.9.1 Áreas Seguras
A.9.2 Segurança de Equipamento
A.10 Gerenciamento das operações e comunicações
A.10.1 Procedimentos e responsabilidades operacionais
A.10.2 Gerenciamento de serviços terceirizados
A.10.3 Planejamento e aceitação de sistemas
A.10.4 Proteção contra códigos maliciosos e códigos móveis
A.10.5 Cópias de Segurança
A.10.6 Gerenciamento da segurança em redes
A.10.7 Manuseio de Mídias
A.10.8 Troca de Informações
A.10.9 Serviços de Comércio Eletrônico
A.10.10 Monitoramento
A.11 Controle de Acesso
A.11.1 Requisitos de Negócio para controle de acesso
A.11.2 Gerenciamento de acesso ao usuário
A.11.3 Responsabilidades dos usuários
A.11.4 Controle de acesso à rede
A.11.5 Controle de acesso ao sistema operacional
A.11.6 Controle de acesso à aplicação e à informação
A.11.7 Computação Móvel e trabalho remoto
A.12 Aquisição, desenvolvimento e manutenção de sistema
A.12.1 Requisitos de segurança de sistemas de informação
A.12.2 Processamento correto de aplicações
A.12.3 Controles criptográficos
A.12.4 Segurança dos arquivos dos sistemas
A.12.5 Segurança em processos de desenvolvimento e suporte
A.12.6 Gestão de vulnerabilidades técnicas
A.13 Gestão de Incidentes de Segurança da Informação
A.13.1 Notificação de fragilidades e eventos de segurança da informação
A.13.2 Gestão de Incidentes de segurança da informação e melhorias
A.14 Gestão da continuidade do negócio
A.14.1
Aspectos da gestão da continuidade do negócio relativos à
segurança da informação
A.15 Conformidade
A.15.1 Conformidade com requisitos legais
A.15.2
Conformidade com normas e políticas de segurança da informação
e conformidade técnica
A.15.3 Considerações quanto à auditoria de sistemas da informação
Fonte: ABNT (adaptado de NBR ISO/IEC 27001 p. 14-30, 2006)

34. 26
Capitulo 3 – Retorno sobre o Investimento em Segurança da Informação
Considerando um cenário de uma organização comum, sem um sistema de
gestão de segurança da informação, Campos (2007) observa que, muitas vezes,
além dos recursos serem limitados para a área de segurança da informação, o
responsável de segurança não sabe como gastar da maneira melhor possível, em
geral ele é orientado a resolver problemas e não a preveni-los.
Ainda Campos (2007), diz que na maioria das vezes esse responsável é
voltado a tecnologia e produto, portanto é muito provável que ele realize o
investimento em melhorias de seu parque tecnológico sem saber realmente da
eficácia do investimento realizado. Em muitos casos, mesmo após a implementação
de um controle, os incidentes voltam a ocorrer. Diante do dilema de onde se investir,
muitos responsáveis por segurança da informação ficam imobilizados, não sabendo
por onde começar.
Como já foi mostrado até agora por este estudo, após a implantação de um
SGSI, que acaba por ser a evolução natural de uma organização em crescimento, o
administrador é orientado mais assertivamente onde estão os riscos maiores e
menores e, portanto, para onde deve ser direcionado o investimento corretamente.
Diante deste cenário, existem estudos demonstrando sobre como obter o
máximo de retorno sobre os investimentos em segurança da informação, indicando
que devem ser diferentes dos tradicionais focados somente em ganhos financeiros.
Em geral, investimentos em segurança – da informação, predial, pessoal, etc. - não
são focados na obtenção de lucro, mas sim na proteção de um bem ou ativo, ou
seja, são realizados para se evitar prejuízos.
Nesse sentido, um dos modelos tradicionais mais utilizados para cálculo de
retorno de investimento, como o ROI13
, por exemplo, não se mostram capazes de
calcular os benefícios dos gastos em segurança.
Para essas conclusões da deficiência do ROI, foi-se analisado um estudo do
Gartner, intitulado “O uso de uma abordagem de preço / desempenho para justificar
as despesas de segurança14
”, publicado em 2012. Esse estudo mostra que os
profissionais de segurança estão em constante pressão para justificar as despesas
com a segurança sempre no contexto do valor do negócio, aumentando assim
a probabilidade por usar métodos tradicionais de ganhos financeiros, como o retorno
sobre o investimento (ROI) nos cálculos de viabilidade e projeções. As atividades de
segurança da informação e despesas relacionadas são geralmente focadas em
redução de risco e, sendo assim, evitam as perdas financeiras em potencial. Isso faz
com que as despesas de segurança funcionem mais como uma espécie de prêmio
de seguro do que propriamente um investimento com retornos financeiros
reais. Salvo algumas exceções, é muito difícil, senão impossível, calcular os
retornos financeiros esperados relativos às despesas com a segurança da
informação, sob o ponto de vista de ganho financeiro.
13
ROI, do inglês Return on Investment.
14
Tradução livre do inglês de “Use a Price/Performance Approach to Justify Security Expenditure”.

35. 27
E conforme apontado por Hunter e Westerman (2011), não seria nenhuma
novidade a geração de atritos e desavenças entre áreas de negócio e a equipe TI
(especificamente a área responsável pela segurança da informação). A área de
negócio geraria suas projeções baseadas em projetos insustentáveis que
apresentam ROI financeiros que acabam por resultar expectativas irreais, caso a TI
mantenha seus cálculos baseados nesse modelo.
Fazendo um paralelo com os conceitos “Executar / Crescer / Transformar15
” o
ROI é mais adequado para projetos que objetivam o resultado de "crescimento do
negócio" ou "transformação do negócio". Projetos de segurança estão
principalmente relacionadas com iniciativas para "executar o negócio". O “Modelo
Executar / Crescer / Transformar”, foi introduzidos pelo META Group16
no inicio da
década de 2000, e foi adotado por empresas e consultorias em todo o mundo como
meio de gerenciamento de seus portfólios de TI. Segundo Haag e Cummings (2010),
o “Modelo Executar / Crescer / Transformar” propõem basicamente três pontos:
 Executar: significa executar atividades que são essenciais, mas não
diferencia a organização em termos de sua missão ou proposição de
valor. Um exemplo de “executar o negócio” é uma auditoria. Com
certeza nenhuma empresa foi parabenizada por seus clientes pelo
ótimo desempenho em sua última auditoria. No entanto, se a empresa
não tem auditorias em intervalos regulares, todos os tipos de
problemas poderão surgir;
 Crescer: significa melhorar o desempenho da organização nos
mercados existentes, servindo os segmentos de clientes existentes
com o estabelecimento de propostas de valor. Um exemplo aqui é a
melhoria de um produto ou serviço, criação de um novo canal de
vendas para uma linha de produtos existente, ou melhorias no
desempenho da sua cadeia de suprimentos;
 Transformar: significa entrar em novos mercados com novos produtos
e serviços para servir novos segmentos de clientes com novas
proposições de valor. Um exemplo foi a iniciativa da Apple com o
iTunes17
, que colocou a empresa em um novo espaço competitivo.
Para considerar como “Retorno sobre Investimento em Segurança”, foram
propostos por vários autores diversos modelos diferentes, inclusive quase todos se
utilizando do mesmo nome e da mesma sigla em inglês: “Return on Security
Investment” e “ROSI” respectivamente. Basicamente todos os modelos levam em
consideração o risco associado ao investimento e os valores que deverão ser gastos
para tratamento deste risco.
15
Modelo Executar/Crescer/Transformar, do inglês The Run/Grow/Transform Model ou RGT Framework (HAAG e CUMMINGS
2010).
16
META Group é um instituto de pesquisa internacional, com sede na Itália, adquirido pelo Gartner Inc. em 2005.
17
Apple, fabricante de computadores e dispositivos móveis, uma das maiores empresas do mundo; ITunes, software da Apple
responsável por atualizar os computadores e dispositivos móveis do usuário, além da função de reprodução, venda e aluguel
de músicas, filmes e outros produtos multimídia via internet.

36. 28
Foram estabelecidos critérios para escolha de um modelo para ser detalhado
e analisado neste estudo. O modelo deveria ter sua implantação viável no dia-a-dia,
com a utilização de modelos ou equações matemáticas simples e, principalmente,
que as variáveis necessárias para os cálculos já estivessem disponíveis nos
documentos do SGSI.
Não é o objetivo deste estudo fazer a validação profunda dos modelos, ou
julgá-los quanto sua precisão, assertividade ou critérios de avaliação. Este tópico do
estudo poderá ser utilizado como o inicio de um estudo maior dos modelos
existentes de “Retorno sobre Investimento em Segurança”, como está sendo sua
aceitação no mercado e quais são os novos estudos nesse campo.
O modelo escolhido para ser detalhado por este estudo foi o modelo proposto
por Sonnenreich, Albanese e Stout (2006), publicado pela Revista de Pesquisa e
Prática em Tecnologia da Informação18
, intitulado de “Retorno sobre Investimento
em Segurança (ROSI) – Um Modelo Prático Quantitativo”.
O modelo de Sonnenreich, Albanese e Stout (2006) foi escolhido, pois as
variáveis para a realização do cálculo do retorno do investimento em segurança nele
contido estão todas caracterizadas em Metodologia para abordagem e gestão de
riscos proposta neste estudo19
. Além disso, outro ponto importante, este modelo é
caracterizado pela viabilidade da sua implementação, no que se diz respeito a sua
parte de cálculos, uma vez que a gestão de risco é parte central do SGSI.
3.1 Um modelo prático
Em geral, os executivos que tomam as decisões financeiras não se importam
realmente se é um software firewall ou um cofre blindado protegem os servidores da
organização. Muitas vezes eles também não estão preocupados no impacto que a
segurança está tendo nos níveis abaixo dele na organização. Para determinar
quanto eles deveriam gastar em segurança, eles precisam saber:
 Quanto a falta de segurança está custando para o negócio?
 Que impacto a falta de segurança está afetando na produtividade?
 Que impacto teria uma violação catastrófica na segurança?
 Quais são as soluções com melhor custo benefício?
 Que impacto essas soluções terão na produtividade?
Antes de gastar dinheiro em um produto ou serviço, esses executivos querem
saber que o investimento é financeiramente justificável, e com a segurança da
informação não é diferente – ela tem que fazer sentido ao negócio da organização.
O que os executivos precisam são medidas de segurança que lhes mostrem como
despesas de segurança impactam nos níveis abaixo dele na organização. Não
existe implementação de uma solução se o custo real dela é maior que a sua
exposição ao risco. Este modelo apresenta uma forma para calcular o valor
18
Revista de Pesquisa e Prática em Tecnologia da Informação, publicação original da Australian Computer Society Inc. Título
em inglês Journal of Research and Practice in Information Technology.
19
Ver Capítulo 2, item Analise do Risco, definição das variáveis a serem calculadas.

37. 29
financeiro das despesas de segurança, e mostra as técnicas para obter os dados
necessários para completar o modelo.
Fórmula Central - ROSI
“Quais destas opções me dá o maior retorno para o meu dinheiro?” Esta é a
questão fundamental que o Retorno de Investimento (ROI) deve responder. ROI é
frequentemente usado para comparar estratégias de investimentos alternativos.
ROI =
(Retornos esperados – Custo do Investimento)
Custo do Investimento
(1)
Para calcular o ROI, o custo de uma compra é comparado contra os retornos
esperados durante a vida do item comprado (1). Um exemplo simples: se uma nova
linha de produção custará R$1.000 é esperado trazer R$5.000 durante o curso de
três anos, o ROI para o período de três anos é 400% (quatro vezes o investimento
inicial dos ganhos brutos).
Uma equação simples para calcular o ROI para um investimento em
segurança (ROSI) é o seguinte:
ROSI =
alor da Exposição ao Risco Anual Mitigação – Custo da Correção
Custo da Correção
Esta equação trabalha visando o perfil do ROI para um antivírus de
computador. Uma empresa estima que o custo médio em danos e perda de
produtividade causada por uma infecção por vírus de computador é R$ 25.000.
Atualmente, essa empresa passa por quatro desses eventos por ano. A empresa
espera limpar pelo menos três dos quatro eventos por anos implantando uma
solução de antivírus de R$ 25.000.
 Exposição ao Risco: R$ 25.000, 4x por ano = R$ 100.000 anual;
 Risco Mitigado: 75%;
 Custo da Solução: R$ 25.000.
ROSI =
100,00 75 – R 25.000
R 25.000
200 ( )

38. 30
O antivírus de computador parece merecer o investimento, mas somente
porque nós estamos assumindo que o custo do desastre é R$ 25.000, que o
programa vai capturar 75% dos vírus e que o custo deste programa é
verdadeiramente R$ 25.000. Na realidade, nenhuma das variáveis está perto de
serem precisas. E se três de quatro eventos de infecção por vírus custa R$ 5.000
em danos, mas uma custa R$ 85.000? O custo médio é ainda R$ 25.000. Qual
destas quatro será anterior à passagem do antivírus? Se for a de R$ 5.000, o ROSI
aumenta cerca de 300% - mas se é a mais cara, o ROSI se torna negativo e,
portanto, inviável.
Sugerir valores significativos para as variáveis na equação de ROSI não é
uma tarefa simples. No momento da criação deste modelo, não existia um modelo
“padrão” para determinar o risco financeiro associado aos incidentes de segurança.
Também, não há métodos padronizados para determinar efetivamente o risco
mitigado da solução de segurança.
Existem técnicas para medir quantitativamente a exposição ao risco, mas os
resultados tendem a variar na precisão. Para a maioria dos tipos de risco, a
exposição pode ser encontrada consultando tabelas atuariais20
construídas com
décadas de dados de estatísticas demográficas. Infelizmente, dados similares em
risco de segurança da informação não existem ainda. E mais, a variabilidade em
custo de exposição pode levar a resultados enganosos quando se prevê baseando-
se em dado atuarial. No exemplo utilizado, a exposição ao risco é enganosa – o
custo médio de R$ 25.000 não reflete o fato de que a maioria dos incidentes custa
pouco enquanto alguns vão custar muito mais caro.
Há algum benefício em calcular o ROSI se o dado básico é impreciso?
Aparentemente sim, já que algumas indústrias têm usado com sucesso medidas
imprecisas de ROI por décadas. A indústria de propaganda é um exemplo disso.
Anúncios são cotados baseados no número de potenciais expectadores, o qual é
frequentemente extrapolado pelos dados demográficos e de circulação. Os
compradores de anúncios assumem que o número verdadeiro de expectadores é
diretamente correlacionado com o número de potenciais expectadores; se a base de
expectadores dobra, muito provavelmente duas vezes mais pessoas verão o
anúncio. Sendo assim, mesmo que eles nunca consigam saber o número verdadeiro
de expectadores, os anunciantes informados conseguem, entretanto, tomar decisão
baseados em outra medida mais confiável.
Conclusão: Medidas repetitivas e consistentes podem ser extremamente
valiosas – mesmo se imprecisas.
Observação: Para objeto do estudo, o item acima descrito já cobre o que foi
proposto. Os demais pontos são apenas informativos, complementando a ideia do
autor sobre o artigo proposto e uma forma de calcular as demais variáveis da
fórmula de uma maneira mais precisa, constituindo uma visão interessante sobre
uso e coleta de dados estatísticos para utilização no dia-a-dia da empresa.
Quantificando a Exposição ao Risco
20
Tabelas com dados estatísticos criados a partir da experiência e pelo próprio profissional Atuário. O Atuário é o profissional
preparado para mensurar e administrar riscos, sendo exigido dele conhecimentos em teorias e aplicações matemáticas,
estatística, economia, probabilidade e finanças, transformando-o numa espécie de arquiteto financeiro e matemático social
capaz de analisar de uma só vez as mudanças financeiras e sociais no mundo.

39. 31
Um método analítico simples para calcular a exposição ao risco é multiplicar
o custo projetado do incidente de segurança (Perda Única de Exposição - SLE21
)
pela Taxa Anual de Ocorrência (ARO22
) estimada. O resultado final é chamado de
Perda Anual de Exposição (ALE23
).
Enquanto não existem métodos padrões para estimar SLE ou ARO, existem
tabelas atuariais que dão valores estatísticos médios baseados em relatórios de
dados do mundo real. Essas tabelas são criadas a partir de dados de seguros,
pesquisas acadêmicas, ou enquetes independentes.
Exposição ao Risco = ALE = SLE * ARO (4)
É muito difícil obter dados sobre o custo real de um incidente de segurança
(ou SLE). Isto porque poucas empresas rastreiam com sucesso os incidentes de
segurança. Violações de segurança que não tem impacto imediato ao dia-a-dia do
negócio frequentemente são imperceptíveis. Quando uma violação é percebida, a
organização está, geralmente, tão ocupada em consertar o problema que não se
preocupa em quanto custa ou vai custar o incidente. Depois do desastre,
constrangimento interno e/ou preocupação sobre a imagem pública, frequentemente
resultam na tentativa de se fazer esquecer o incidente. Como um resultado deste
“desejo do esquecimento” pelo incidente de segurança, o volume de dados por trás
das tabelas atuariais existentes é lamentavelmente inadequado.
Atualmente, o “melhor” dado atuarial vem de esforços como da enquete
anual de negócios conduzida pelo Computer Security Institute (CSI) e o U.S. Federal
Bureau of Investigation (FBI). As organizações estão solicitando para que se estime
o custo dos incidentes de segurança para as várias categorias durante o curso de
um ano. Infelizmente, os métodos usados para calcular estes custos variam de
negócio para negócio. Por exemplo, uma empresa pode avaliar um furto de um
computador pessoal baseado no seu custo de reposição. Outra pode medir o fator
sobre a perda de produtividade e tempo de suporte de TI, e outra ainda pode medir
o fator sobre o custo da perda intelectual. Concluindo, algumas empresas avaliam o
roubo do laptop em R$ 3.000; outras em mais de R$ 100.000! O número final é mais
influenciado pelos fatores de negócio (quando o seguro vai ressarcir, quais são as
implicações das tarifas, que impacto terá uma grande perda no preço da ação) do
que pela realidade financeira.
Para o propósito deste calculo de ROSI, a precisão do custo do incidente
não é tão importante quanto uma metodologia consistente para calcular e relatar o
custo, como já discutido, seria melhor ter empresas que concordassem com uma
técnica padrão para tabular o custo interno de um incidente de segurança. Sendo
assim, o foco deve ser nos fatores de custo que são mensuráveis
independentemente e correlacionados diretamente com a severidade do incidente
de segurança.
Um custo potencialmente significativo é a perda de informação confidencial.
Em organizações valorizadas por sua propriedade intelectual, uma violação de
segurança resultante do roubo de informações pode criar uma perda significativa
21
SLE, Perda Única de Exposição, do inglês Single Loss Exposure.
22
ARO, Taxa Anual de Ocorrência, do inglês Annual Rate of Occurrence.
23
ALE Perda Anual de Exposição, do inglês Annual Loss Exposure.

40. 32
para os negócios mais que o impacto na produtividade (violação do princípio da
disponibilidade). O custo de um incidente de segurança nestes casos é o valor
estimado da propriedade intelectual.
Outro custo significativo é a perda de produtividade associada com o
incidente de segurança. Para muitas organizações, o custo na perda de
produtividade é muito maior que de recuperação de dados ou reparação de
sistemas. Segurança pode estar diretamente conectada na saúde financeira da
empresa por incluir a perda de produtividade no custo de um desastre. Esta
abordagem força automaticamente projetos de segurança para melhorar a eficiência
do negócio e elimina aqueles projetos justificados somente pelo medo do
desconhecido.
Numa indústria, por exemplo, produtividade perdida pode ter um impacto
severo no negócio. Somente dez minutos de inatividade por dia por colaborador
poderá somar rapidamente um montante significativo, como mostrado abaixo:
 1000 colaboradores;
 44 horas/ano inatividade relacionada à segurança;
 R$ 20 por hora em média de salário.
= R$ 880.000 por ano em Perda de Produtividade
A decisão da organização em usar a produtividade perdida, valor da
propriedade intelectual ou uma combinação de ambos como medida de exposição
ao risco, dependerá se ela está mais preocupada com o roubo de dados,
disponibilidade de dados, ou com ambos. Empresas de serviços profissionais, como
empresas de advocacia ou de contabilidade tendem a ser mais suscetíveis com
relação à disponibilidade de dados; se eles não conseguem acessar arquivos
críticos, eles não podem receber seus honorários efetivamente. Isso impacta
diretamente na base do negócio. Organizações de Pesquisa e Desenvolvimento
intensivos, como laboratórios de biotecnologia, serão mais preocupados sobre o
roubo de dados; a informação pode ser decisiva para vencer a barreira de
lançamento imediato de um produto ao mercado, a frente do concorrente.
Analistas e contadores podem fornecer avaliações consistentes da
propriedade intelectual, porém como a produtividade perdida pode ser calculada?
Internamente, produtividade é frequentemente medida usando uma combinação de
cálculo de desempenho e medidas de ganho/perda. O problema nesta abordagem,
isolando o impacto da segurança na produtividade de outros fatores (como baixo
desempenho) é impossível. Medições técnicas sobre parada de sistema também
não são adequadas devido a estas paradas serem somente quando se impede
alguém de fazer o trabalho. É muito mais importante medir a percepção do usuário
final sobre a parada, já que isso impacta diretamente na sua produtividade.
A medição da percepção do colaborador sobre a parada pode ser realizada
por uma enquete. Se a enquete está corretamente construída, haverá uma forte
correlação entre o resultado da enquete e o desempenho financeiro. Especialmente,
se um departamento mostra uma “desaceleração” na percepção do tempo de
inatividade, deve também mostrar um aumento de produtividade no seu balanço
interno.

41. 33
Uma boa enquete proporcionará aos colaboradores questões com respostas
de caráter quantitativas, ou respostas que implicam em valores quantitativos. Por
exemplo, uma questão pode ser, “Quantos spams você recebe por dia?”. O
colaborador pode escolher entre quatros respostas: menos de 10, 10-30, 30-50 ou
mais de 50. A média de minutos de inatividade pode ser associada com cada
resposta. Por exemplo, lidar com 30-50 mensagens de spam por dia pode causar
até dez minutos de inatividade, especialmente se é difícil dizer a diferença entre
spams e mensagens desejadas.
A chave para obter resultados consistentes de uma enquete que mede a
percepção dos colaboradores é assegurar que as questões são quantitativas, claras
e de fácil resposta sem requeres muita reflexão. Por exemplo, uma péssima questão
seria “Estime a quantidade de paradas que você teve neste mês,” já que poucas
pessoas poderiam responder como os eventos, sem registros, ocorreram. Uma
melhor pergunta seria: ”Com que frequência o servidor fica indisponível por mais de
10 minutos (diariamente, semanalmente, mensalmente ou raramente)”. Uma pessoal
que sofre problemas semanais com o servidor é melhor que responda “diariamente”
ao invés de muito frequentemente.
Uma vez que as respostas sejam tabuladas, o resultado será uma indicação
de tempo de inatividade mensal. Esta informação pode ser convertida em uma
quantia de dinheiro relacionada com produtividade perdida usando dados de salários
expressos por taxas horárias. Por exemplo, se a média salarial para um
departamento é R$75 por hora e sua média de parada de produção é 30 horas por
mês, então a empresa está perdendo R$ 2250 em tempo não produtivo por
colaborador devido o problemas relacionados segurança da informação. Numa
empresa de serviço profissional, estes colaboradores podem também gerar receita.
A taxa horária de salário multiplicada pela taxa de realização de receita e tempo de
inatividade mensal dá uma quantificação adicional de oportunidade de receita
perdida. Refinando a enquete de produtividade, onde a perda calculada mostra forte
correlação com as medidas financeiras internas de ganhos e perdas, pode-se
aumentar a precisão.
Observação: Com uma boa enquete e tabulando um sistema para
produtividade, combinada com medidas externas de valor de propriedade intelectual,
torna-se possível quantificar a exposição ao risco de maneira repetitiva e
consistente.
Uma avaliação na parada de produção pode fornecer uma análise post-
mortem da produtividade perdida durante um incidente de segurança. A perda da
medida pode ser usada quando se calcula o ROI da solução de segurança
projetadas para prevenir problemas similares no futuro. Infelizmente, ainda que se
tenha um estudo combinando tais análises nas tabelas atuariais, associa-se a perda
de produtividade com incidentes particulares de segurança. Isso significa que se um
incidente particular de segurança já tenha acontecido para a organização, ele não
pode figurar nas avaliações estatísticas comumente usadas para estimar perdas.
É possível usar a avaliação da parada de produção para estimar perda de
produtividade associada com um incidente que ainda não tenha acontecido. Se uma
organização quer estimar o impacto de um vírus, ela pode conduzir uma avaliação
de parada de produção para obter uma linha de base na medida da produtividade.

42. 34
Ela deve então tomar os resultados da avaliação e variando respostas das questões
direcionadas para dados perdidos, problemas de banda larga, etc. O resultado deve
ser um potencial intervalo de perda de produtividade, o qual pode ser usado para
calcular um ROI máximo e mínimo para soluções preventivas por infestação de
vírus.
Outra aplicação usada para uma avaliação de parada de produção é quando
se examina o impacto geral da segurança na produtividade organizacional. Todos os
dias, violações de segurança e falhas de tecnologia podem causar perda
significativa de produtividade quando se agrega tempo extra. O “Quadro ” mostra
apenas uma lista de fatores que podem acrescentar alguns minutos extras. Nesta
experiência, uma empresa média tem pelo menos cinco destes problemas,
resultando em mais de uma hora de inatividade por dia.
Quadro 3 - Possíveis causas diárias de perda de produtividade
Fonte: Journal of Research and Practice in IT (adaptado de SONNENREICH, ALBANESE e STOUT, p. 61, 2006)
A equação de Retorno de Investimento em Segurança toma outro significado
se a perda de produtividade diária é usada como figura de exposição ao risco. A
implicação é que a organização segura terá menos violações e falhas de tecnologia,
e então menos produtividade perdida. O risco devido a uma violação maior é
ignorado. Ela deixa de lado completamente o problema de se calcular ROSI para um
evento que pode não acontecer para focar em problemas que ocorrem
constantemente. Se uma solução de segurança pode melhorar a segurança em
geral, enquanto eliminam alguns destes problemas, ela terá atualmente um ROSI
positivo, mesmo se ela nunca se deparar com um incidente sério.
Conclusão: Existem vários caminhos nos quais a produtividade perdida pode
fornecer uma estimativa significativa de exposição ao risco, sendo que qualquer uma
delas pode ser usada para calcular ROSI.

43. 35
Quantificando o Risco Mitigado
Determinar os benefícios do risco mitigado de um equipamento de
segurança é tão difícil quanto medir sua exposição ao risco. A maioria dos
problemas se dá pelo fato que a segurança não cria algo tangível – somente previne
as perdas. Uma perda que é prevenida é uma perda que você provavelmente não
saberá. Por exemplo, uma empresa de sistema de detecção de invasão pode
mostrar que houve dez invasões de sucesso no ano passado, porém apenas cinco
neste ano. Esta diferença foi devida ao novo aparelho de segurança comprado pela
empresa, ou foi porque menos cinco invasores atacaram a rede corporativa?
O quanto de dano a organização pode ocorrer se a solução de segurança
falhar? Enquanto poucas violações podem ser o resultado de ataques diretos por
aqueles com intenções destrutivas ou criminais, a maioria são não intencionalmente
maliciosas – elas são o resultado de programas automatizados e invasores curiosos.
Dano significativo, enquanto é raramente intencionado por estes invasores, porém é
uma possibilidade. Este dano não é apenas confinado a sistemas e dados –
incidentes sérios podem levar a perda de confiança em consumidores/investidores.
Os argumentos que se seguem são usados para justificar uma porcentagem
simples e fixa para mitigação de risco:
 Uma solução de segurança é projetada para mitigar riscos específicos;
 Se a solução está funcionando bem, ele mitigará cerca de 100% destes riscos
(85% para ser conservador);
 Então, o montante de mitigação de risco é 85%.
Infelizmente, existem muitos problemas sérios com lógica acima
apresentada:
 Riscos não são isolados – uma porta bem fechada mitiga 0% de risco se a
janela mais próxima estiver aberta;
 Soluções de segurança não funcionarão como isolamento – a existência e
efetividade de outras soluções terá um impacto maior;
 Soluções de segurança são raramente implementadas para serem mais
efetivas possíveis devido ao inaceitável impacto na produtividade;
 Soluções de segurança tornam menos efetivas os tempos extras, como
invasores encontram meios para trabalhar cerca delas e criar novos riscos.
A melhor abordagem é conduzir uma avaliação de segurança e “pontuar” a
avaliação baseada em algum algoritmo consistente. Este resultado pode representar
o montante de risco sendo atualmente mitigado. Pela avaliação de mitigação de
risco dentro do contexto da segurança geral da rede, os dois problemas de
isolamento mencionados acima são evitados. Uma boa avaliação capturará também
o impacto das escolhas de implementação feitas por uma questão de usabilidade e
produtividade. Igualmente, um bom algoritmo de pontuação considerará o impacto
do tempo sobre a eficiência da solução.
Analisando uma solução de segurança, a avaliação pode ser conduzida
como se a solução já estivesse implementada. A diferença entre esta pontuação e a

44. 36
pontuação atual é o montante de risco sendo mitigado devido à solução. Calculando
ROSI, a pontuação preditiva (não a diferença) deveria ser usada como a mitigação
do risco geral.
A precisão da pontuação como medida de risco mitigado é dependente da
qualidade da avaliação e do algoritmo de pontuação. Seguir guias de avaliação
publicados por grupos de configuração padrão como o Fórum de Segurança
Internacional (ISF24
), Instituto Nacional de Padrões de Tecnologia (NIST25
), e o
Organização Internacional para Padronização (ISO) nos levará a criação de uma
boa avaliação.
Conclusão: Mesmo com um algoritmo de pontuação impreciso, usando uma
avaliação tabulada como método de mitigação de determinado risco é eficiente
porque as pontuações são repetitivas e consistentes, e então podem ser usados
para comparar o ROI de diferentes soluções de segurança.
Quantificando o Custo da Solução
Visto por este ponto, seria aparente que o custo de uma solução não é
apenas que está o que o fornecedor apresenta na cotação ou na fatura. No mínimo,
o custo interno associado com a implantação sa solução também precisa ser levado
em consideração. Porém isso também não é suficiente. Mais uma vez, produtividade
será julgada e demandará prestação de contas.
Produtividade é importante porque a segurança quase sempre vem do custo
da conveniência. A maioria das soluções de segurança acaba criando obstáculos
que os colaboradores precisam transpor, a fim de fazer o seu trabalho. Dependendo
do tamanho e da frequência desses “obstáculos”, o custo da produtividade perdida
pode somar seriamente. O “Quadro 4” mostra quanto tempo pode ser facilmente
perdido devido aos problemas criados atualmente por muitas soluções projetadas
para consertar outros problemas de segurança:
Quadro 4 - Perda de Produtividade devida as Soluções de Segurança
Fonte: Journal of Research and Practice in IT (adaptado de SONNENREICH, ALBANESE e STOUT, p. 62, 2006)
É possível também que a implantação de uma solução de segurança
aumente a produtividade. Isso ocorre quando um efeito colateral da solução age
para eliminar outros problemas significativos que foram dificultando a produtividade
ao longo do tempo. Por exemplo, implantar um firewall pode requerer uma
reestruturação da rede.
24
ISF, Fórum de Segurança Internacional, do inglês International Security Forum.
25
NIST, Instituto Nacional de Padrões de Tecnologia, do inglês National Institute of Standards on Technology.

45. 37
Esse impacto de produtividade pode ser medido reconduzindo as enquetes
de produtividade usadas para estimar a exposição ao risco. As respostas dadas são
ajustadas para assumir que a solução está implementada. A diferença entre a
produtividade atual e a projetada é o fator de impacto que necessita ser incluído
neste calculo.
Colocando este fator de produtividade em nosso primeiro exemplo, do
antivírus, pode-se ver que: se o custo da solução excede R$ 60.000, o ROI é 0%,
então não é viável a compra. Assumindo que o custo total do sistema se mantém em
R$ 30.000, há uma margem de R$ 30.000. Para 100 colaboradores recebendo em
média R$ 20 por hora, esta margem se iguala a 3,5 minutos de inatividade por dia.
Se implantado o antvírus, se criará mais 3,5 minutos de inatividade por dia, portanto
o custo-benefício é maior não comprando o software. Por outro lado, se o software
pode eliminar o tempo de inatividade por minimizar o impacto dos vírus, isso pode
fazer o software de limpeza ser ligeiramente atrativo em termos de ROI.
Conclusão: O custo de uma solução deve incluir o impacto da solução na
produtividade, desde que esse número seja geralmente grande o bastante para
confirmar ou quebrar a viabilidade da solução dada.
3.2 Outros modelos
Outros modelos intitulados como “Retorno sobre Investimento em Segurança”
também foram estudados, porém não tiveram sua viabilidade caracterizada para
utilização no dia-a-dia segundo os critérios estabelecidos deste estudo. Segue
abaixo a descrição de alguns deles, por autor:
Mizzi (2005) caracteriza seu modelo colocando um limite máximo sobre o
montante que deveria ser gasto num programa de segurança da informação e
estimar o valor que um “invasor” está disposto a gastar para invadir um sistema,
dependendo do ativo de informação em jogo da organização em questão. Nesse
modelo são utilizadas uma série de equações e mais de quinze variáveis diferentes
para serem recuperadas do sistema em questão, entre elas “custo de manutenção”,
“custo para corrigir vulnerabilidades”, “homem/hora de TI”, “custo anual de
manutenção”, etc. O modelo de Mizzi (2005) não foi explorado por este estudo, pois
não passou nos critérios acima estabelecidos, mas teve o registro por apresentar
características que poderão ser exploradas em outros trabalhos e estudos, como o
proposto em outro artigo do próprio autor, que baseou seu modelo no estudo de
viabilidade de uma solução anti-spam num ambiente de redes computacionais sem
fio26
.
Cavusoglu, Mishra e Raghunathan (2004) propõem um modelo de
decisões estratégicas de investimento em TI usando a Teoria dos Jogos. A teoria
dos jogos é utilizada para analisar problemas em que as recompensas para os
jogadores dependem da interação entre as estratégias dos jogadores, ou seja,
quando a análise das decisões envolve mais de um ativo e/ou cenário, riscos e
26
Publicado em 2010 pelo International Journal of Network Security o artigo com o título original em inglês Return on
Information Security Investment - The Viability of an Anti Spam Solution in a Wireless Environment. Anti-Spam é o termo usado
para referir-se às ferramentas que protegem os usuários de correios eletrônicos de mensagens não solicitadas.

46. 38
incertezas, por conta de informações imperfeitas (ANDERSON, 2010). Para os
cálculos deste modelo foi utilizado o Teorema de Bayes27
. O modelo pode servir
para casos específicos, como o exemplificado no artigo (compra de uma
infraestrutura completa de TI) e que pode ser o ponto de partida para o
aprofundamento por outros trabalhos também.
27
Teorema de Bayes, formulado pelo reverendo inglês Thomas Bayes (1702-1761), teorema este que só ficou conhecido dois
anos após sua morte, quando um amigo resolveu publicar o artigo “Ensaio buscando resolver um problema na doutrina das
probabilidades” (título original em inglês An essay towards solving a problem in the doctrine of chance) encontrado entre os
papéis do próprio reverendo (OLIVEIRA, 2011).

47. 39
Capitulo 4 – O SGSI em conformidade com outros Padrões, Leis e
Regulamentações
O Sistema de Gestão de Segurança da Informação pode ser o ponto de
partida para a implantação de outros padrões, colocando departamentos e/ou
sistemas em conformidade com leis e regulamentações, além da criação da cultura
de segurança da informação dentro da organização, indispensável para
fortalecimento de uma cultura organizacional voltada para a segurança (OLIVEIRA,
2011).
Serão mostradas agora alguns padrões, leis e regulamentações que o SGSI
pode de alguma forma contribuir seu cumprimento dentro da organização.
4.1 Lei Sarbanes-Oxley
Com os escândalos empresariais ocorridos nos Estados Unidos do inicio da
década de 2000, encabeçados pela Enron, WorldCom, Tyco e Arthur Andersen,
houve a necessidade de aprimoramento nas boas práticas de Governança
Corporativa, a fim de coibir procedimentos não éticos por parte das empresas norte-
americanas. Assim sendo, a Lei Sarbanes-Oxley foi sancionada nos EUA, no dia 30
de julho de 2002, pelo então presidente dos Estados Unidos George W. Bush, sendo
intitulada oficialmente como Sarbanes-Oxley Act 2002, também conhecida por SOx
ou ainda Sarbox (PENHA, 2005).
A Lei Sarbanes-Oxley é originária dos projetos de lei elaborados pelo senador
americano Paul Sarbanes (Democrata de Maryland) e pelo deputado federal
Michael Oxley (Republicano de Ohio) e o seu famoso nome conhecido é uma
referência ao sobrenome de ambos.
O objetivo principal da Lei Sarbanes-Oxley é restaurar o nível de confiança
dos investidores, pelo estabelecimento de regras que devem transpassar o
levantamento e a divulgação das informações contábeis, bem como estabelecer
também como as sanções penais para o seu descumprimento e consolidar a teoria
dos mercados eficientes, que norteia o funcionamento do mercado de títulos e
valores mobiliários. (BORGERTH, 2007).
Segundo Penha (2005), a Lei não afetou somente empresas norte-
americanas, ela transpôs fronteiras e levou suas regras para as subsidiárias
estrangeiras destas empresas. As empresas estrangeiras com Certificados de
Depósitos de Títulos e Valores Mobiliários (ou recibos de ações - ADRs28
)
negociados em bolsas norte-americanas também tiveram que seguir as regras da
Lei.
A Lei Sarbanes-Oxley é composta de onze capítulos:
28
ADR, do inglês American Depositary Receipt.

48. 40
Quadro 5 - Composição da Lei Sarbanes-Oxley
Capítulos Temas
I Criação do Órgão de Supervisão do Trabalho dos Auditores
Independentes
II Independência do auditor
III Responsabilidade corporativa
IV Aumento do nível de divulgação de informações financeiras
V Conflitos de interesses de analistas
VI Comissão de recursos e autoridade
VII Estudos e relatórios
VIII Prestação de contas das empresas e fraudes criminais
IX Aumento das penalidades para crimes de colarinho branco
X Restituição de impostos corporativos
XI Fraudes corporativas e prestação de contas
Fonte: BORGHERTH (2007, p. 19)
Com a implantação da Lei Sarbanes-Oxley transforma Diretores Executivos
e Diretores Financeiros explicitamente em responsáveis por estabelecer, avaliar e
monitorar a eficácia dos controles internos sobre relatórios financeiros e suas
respectivas divulgações (DELOITTE, 2003).
Dentro destes capítulos, a Lei é subdividida em vários capítulos. Segundo o
guia da Deloitte (2003), existem duas seções que são as mais críticas: a seção 302,
que trata da responsabilidade dos Diretores da empresa e a seção 404, que trata
dos controles internos, que será o objeto de análise deste estudo.
Ainda se baseando no guia Deloitte (2003), a seção 302 determina que os
Diretores Executivos e Diretores Financeiros da organização devem declarar
pessoalmente que são responsáveis por todos os controles e respectivos
procedimentos de divulgação da organização, sendo que cada arquivo trimestral
deverá conter provas da avaliação e execução desses controles.
A seção 404 exige a avaliação anual dos controles e procedimentos internos
de emissão dos relatórios financeiros, compreendendo inclusive que um o auditor
independente deverá emitir um relatório atestando a veracidade da administração
sobre a eficácia destes controles internos e de todos os procedimentos que são
executados para a emissão dos relatórios financeiros exigidos pelos órgãos
reguladores.
Já numa primeira análise, já conseguimos fazer uma analogia ao SGSI que
foi proposto por este estudo (Capítulo 2 - Seção 2.7 - Objetivos de Controles e
Controles da norma ABNT NBR ISO/IEC 27001) onde mostrado que “objetivos de
controles e controles adicionais poderão ser selecionados, conforme necessidade da
empresa”.
O capítulo “4.2.1” seção “g)” “Selecionar objetivos de controle e controles
para o tratamento de riscos” da norma ABNT NBR ISO/IEC 27001 trata justamente
da seleção dos controles que deverão ser implementados, dando a opção para a

49. 41
empresa implementar seus próprios controles internos, fora daqueles propostos pelo
Anexo A da norma, porém, nada impede de identificar controles que possam ser
semelhantes ou até iguais, exigidos tanto na norma quanto na SOx.
Não fará parte do escopo deste trabalho determinar quais controles
específicos já estabelecidos na norma ABNT NBR ISO/IEC 27001 se adequariam
aos controles exigidos pela SOx. O critério principal de julgamento para permitir a
adequação da norma foi a exigências da Lei relacionada aos controles, solicitando
“uma estrutura de controles internos apropriada” (DELOITTE, 200 ), não
determinando um modelo específico a ser seguido, o que torna a ABNT NBR
ISO/IEC 27001 totalmente viável nesse sentido.
Com relação à implementação do “SGSI Integrado”, a partir da seleção dos
controles internos adicionais relacionados aos controles exigidos pela SOx e que
farão parte do SGSI, além da identificação dos controles que se sobrepõem as duas
de acordo com o anexo A da norma, inicia-se a tratativa do gerenciamento e
avaliação de riscos, o resultado do ciclo PDCA de monitoria e a análise crítica
proposta pela norma. Basicamente a aplicação dos capítulos 4, 5, 6, 7 e 8 da norma
ABNT NBR ISO/IEC 27001, que são, respectivamente, Sistema de Gestão da
Segurança da Informação, Responsabilidade da Direção, Auditorias Internas do
SGSI, Análise Crítica do SGSI pela Direção e Melhorias do SGSI.
Mais uma vantagem identificada é o processo de auditoria e certificação a
que o SGSI pode ser submetido. Portanto monta-se o cenário
 De um lado temos o processo de auditoria de certificação, ou
auditoria de terceira parte (CAMPOS, 2007), é realizado
periodicamente na empresa para comprovar a eficácia de seus
controles e comprovar que estão de acordo com a norma.
 De outro, segundo o guia Deloitte (2003), é exigido da administração
deverá certificar a eficácia dos controles e procedimentos internos
para a emissão dos relatórios financeiros em uma base trimestral
(exigência da SEC29
), além da exigência de um auditor independente
da própria organização preencha um relatório individual que ateste a
avaliação da administração sobre a eficácia dos controles e
procedimentos internos para a emissão de relatórios financeiros.
O certificado de cumprimento à norma, de validade internacional, dada por
um órgão independente de reconhecimento internacional dará mais tranquilidade e
transparência a todo o processo de certificação da eficácia dos controles, uma vez
que eles já foram implementados, auditados e validados por um órgão totalmente
isento.
Campos (2007) inclui em sua avaliação a importância da seção 409, que
exige da organização um relatório sobre as mudanças nas condições financeiras ou
operações em no máximo 48 horas, para garantir a automatização e a
sistematização do monitoramento financeiro. Porém é levantada a questão: até que
29
SEC, do inglês Securities and Exchange Commission, correspondente norte-americana à brasileira CVM, Câmara de
Valores Mobiliários.

50. 42
ponto o monitoramento é levado em consideração se os sistemas estivem fora do ar
para manutenção? Com a implantação de controles eficazes, poderá ser feito
monitoramento no período das emissões dos relatórios, ou a criação de planos de
contingência para esses sistemas de monitoramento.
Abaixo segue a lista com as observações listadas por Campos (2007) que
podem ter associação da SOx com a segurança da informação:
Quadro 6 - Seções da Lei Sarbanes-Oxley relacionadas com a Segurança da Informação
Fonte: CAMPOS (2007, p. 106)
4.2 Basiléia II e a Resolução nº 3380/BACEN
O Comitê da Basiléia (“The Basel Committee”) tem como objetivo principal a
criação de padrões para a supervisão no setor bancário, no qual recomenda para o
mercado financeiro os princípios para as melhores práticas. O papel do comitê não é
de supervisão internacional e não tem valor legal, espera-se somente que os Bancos
Centrais de cada país sigam e implantem as medidas por eles elaboradas. O Comitê