GeneralBots/botbook
2
2
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
botbook/docs/chapter-09-Risk Management.md

15 KiB
Raw Permalink Blame History

title sidebar_label sidebar_position
9. Gestão de Riscos 9. Gestão de Riscos 9

9. Gestão de Riscos

9.1 Introdução à Gestão de Riscos

A gestão de riscos é um componente fundamental do framework de compliance da Pragmatismo, permitindo à organização identificar, avaliar e mitigar riscos que possam afetar seus objetivos de negócio, a segurança de seus ativos de informação e a conformidade com requisitos regulatórios. Este capítulo estabelece diretrizes e procedimentos para uma gestão eficaz dos riscos relacionados à segurança da informação e privacidade de dados.

9.1.1 Objetivos da Gestão de Riscos

  1. Identificar ameaças e vulnerabilidades que possam afetar os ativos de informação da Pragmatismo.
  2. Avaliar o impacto potencial e a probabilidade de ocorrência dos riscos identificados.
  3. Implementar controles adequados para mitigar riscos a níveis aceitáveis.
  4. Monitorar continuamente a eficácia dos controles implementados.
  5. Garantir a conformidade com requisitos de ISO 27001, HIPAA e LGPD.

9.1.2 Escopo da Gestão de Riscos

A gestão de riscos na Pragmatismo abrange:

  1. Riscos de Segurança da Informação: Relacionados à confidencialidade, integridade e disponibilidade das informações.
  2. Riscos de Privacidade: Relacionados à proteção de dados pessoais e conformidade com regulamentações.
  3. Riscos Operacionais: Relacionados à continuidade dos processos de negócio e operações de TI.
  4. Riscos de Terceiros: Relacionados a fornecedores, parceiros e prestadores de serviços.
  5. Riscos de Desenvolvimento: Relacionados ao ciclo de vida de desenvolvimento do General Bots e outros produtos.

9.2 Framework de Gestão de Riscos

9.2.1 Metodologia de Avaliação de Riscos

A Pragmatismo adota uma metodologia estruturada para avaliação de riscos, baseada nas melhores práticas da ISO 27005 e NIST SP 800-30, compreendendo as seguintes etapas:

  1. Identificação do Contexto: Estabelecimento do contexto interno e externo, incluindo objetivos de negócio e requisitos regulatórios.
  2. Identificação de Riscos: Levantamento sistemático de ameaças e vulnerabilidades que possam afetar os ativos de informação.
  3. Análise de Riscos: Avaliação da probabilidade e impacto potencial de cada risco identificado.
  4. Avaliação de Riscos: Priorização dos riscos com base em sua criticidade.
  5. Tratamento de Riscos: Seleção e implementação de controles para mitigar riscos.
  6. Monitoramento e Revisão: Acompanhamento contínuo da eficácia dos controles implementados.
  7. Comunicação e Consulta: Comunicação regular com partes interessadas sobre riscos e tratamentos.

9.2.2 Critérios de Avaliação de Riscos

9.2.2.1 Escala de Probabilidade

Nível Classificação Descrição
1 Raro Pode ocorrer apenas em circunstâncias excepcionais; menos de uma vez a cada 5 anos
2 Improvável Não é esperado que ocorra; uma vez a cada 2-5 anos
3 Possível Pode ocorrer em algum momento; uma vez a cada 1-2 anos
4 Provável Provavelmente ocorrerá; uma vez por ano
5 Quase certo Espera-se que ocorra na maioria das circunstâncias; várias vezes ao ano

9.2.2.2 Escala de Impacto

Nível Classificação Descrição
1 Insignificante Impacto mínimo na operação; sem danos financeiros ou reputacionais
2 Menor Interrupção de curto prazo; pequeno impacto financeiro ou reputacional
3 Moderado Interrupção significativa; impacto financeiro ou reputacional moderado
4 Maior Operações severamente prejudicadas; grande impacto financeiro ou reputacional
5 Catastrófico Falha crítica das operações; impacto financeiro ou reputacional grave

9.2.2.3 Matriz de Risco

Probabilidade/Impacto Insignificante (1) Menor (2) Moderado (3) Maior (4) Catastrófico (5)
Quase certo (5) Médio (5) Alto (10) Alto (15) Extremo (20) Extremo (25)
Provável (4) Médio (4) Médio (8) Alto (12) Alto (16) Extremo (20)
Possível (3) Baixo (3) Médio (6) Médio (9) Alto (12) Alto (15)
Improvável (2) Baixo (2) Baixo (4) Médio (6) Médio (8) Alto (10)
Raro (1) Baixo (1) Baixo (2) Baixo (3) Médio (4) Médio (5)

9.2.2.4 Níveis de Aceitação de Risco

Nível de Risco Classificação Ação Requerida
1-3 Baixo Aceitar o risco; gerenciar por procedimentos de rotina
4-9 Médio Implementar controles básicos; monitorar regularmente
10-16 Alto Implementar controles robustos; monitorar ativamente
17-25 Extremo Ação imediata requerida; monitoramento contínuo

9.2.3 Opções de Tratamento de Riscos

A Pragmatismo considera as seguintes opções para tratamento de riscos:

  1. Mitigar: Implementar controles para reduzir a probabilidade ou o impacto do risco.
  2. Transferir: Compartilhar o risco com terceiros, como seguradoras ou parceiros.
  3. Evitar: Eliminar a atividade ou processo que gera o risco.
  4. Aceitar: Aceitar o risco sem ação adicional, quando o custo do tratamento supera o benefício.

9.3 Processo de Avaliação de Riscos

9.3.1 Identificação de Ativos

Todos os ativos de informação relevantes devem ser identificados e registrados no Inventário de Ativos, incluindo:

  1. Ativos de Informação: Dados, bases de dados, documentação.
  2. Ativos de Software: Aplicações, sistemas, ferramentas.
  3. Ativos Físicos: Servidores, computadores, dispositivos de rede.
  4. Serviços: Serviços de TI, utilities, outros serviços de suporte.
  5. Pessoal: Equipes, habilidades, experiência.

9.3.2 Identificação de Ameaças e Vulnerabilidades

As ameaças e vulnerabilidades relevantes devem ser identificadas para cada ativo ou grupo de ativos, considerando:

  1. Ameaças Naturais: Incêndios, inundações, terremotos.
  2. Ameaças Humanas: Erro humano, ações maliciosas, engenharia social.
  3. Ameaças Técnicas: Falhas de hardware/software, malware, hacking.
  4. Vulnerabilidades Técnicas: Falhas de configuração, sistemas desatualizados, bugs de software.
  5. Vulnerabilidades Organizacionais: Processos inadequados, falta de treinamento, controles insuficientes.

9.3.3 Análise e Avaliação de Riscos

Para cada combinação de ameaça e vulnerabilidade, deve-se:

  1. Avaliar a probabilidade de ocorrência com base em dados históricos, relatórios de inteligência de ameaças e experiência da equipe.
  2. Avaliar o potencial impacto nos negócios, considerando aspectos financeiros, operacionais, reputacionais e legais.
  3. Calcular o nível de risco multiplicando a pontuação de probabilidade pela pontuação de impacto.
  4. Priorizar os riscos com base em sua classificação.

9.3.4 Plano de Tratamento de Riscos

Para cada risco identificado, deve ser desenvolvido um plano de tratamento que inclua:

  1. Descrição do Risco: Detalhes sobre o risco, incluindo ativos afetados, ameaças e vulnerabilidades.
  2. Nível de Risco: Classificação do risco antes do tratamento.
  3. Opção de Tratamento: Mitigar, transferir, evitar ou aceitar.
  4. Controles Selecionados: Descrição dos controles a serem implementados.
  5. Responsável: Pessoa ou equipe responsável pela implementação do controle.
  6. Prazo: Data limite para implementação do controle.
  7. Recursos Necessários: Recursos financeiros, humanos ou técnicos necessários.
  8. Risco Residual: Nível de risco esperado após a implementação dos controles.

9.3.5 Implementação de Controles

Os controles selecionados devem ser implementados conforme o plano de tratamento de riscos, considerando:

  1. Controles Preventivos: Para reduzir a probabilidade de ocorrência do risco.
  2. Controles Detectivos: Para identificar rapidamente quando um risco se materializa.
  3. Controles Corretivos: Para minimizar o impacto quando um risco se materializa.
  4. Controles Compensatórios: Para compensar fraquezas em outros controles.

9.4 Monitoramento e Revisão de Riscos

9.4.1 Monitoramento Contínuo

O monitoramento contínuo de riscos deve incluir:

  1. Monitoramento de Indicadores: Acompanhamento de indicadores-chave de risco (KRIs).
  2. Auditorias Internas: Verificação regular da eficácia dos controles implementados.
  3. Testes de Vulnerabilidade: Realização de varreduras e testes de penetração periódicos.
  4. Revisão de Incidentes: Análise de incidentes de segurança para identificar novas ameaças ou vulnerabilidades.
  5. Feedback de Stakeholders: Coleta de feedback de colaboradores, clientes e parceiros.

9.4.2 Revisão Periódica

O processo de gestão de riscos deve ser revisado periodicamente para garantir sua eficácia:

  1. Revisão Anual Completa: Reavaliação completa do perfil de risco da organização.
  2. Revisões Específicas: Quando ocorrerem mudanças significativas no ambiente de negócios, tecnologia ou requisitos regulatórios.
  3. Revisão Pós-Incidente: Após incidentes significativos de segurança ou privacidade.

9.4.3 Melhoria Contínua

O processo de gestão de riscos deve ser continuamente melhorado com base em:

  1. Lições Aprendidas: Experiências de incidentes passados e exercícios de simulação.
  2. Novas Ameaças: Inteligência de ameaças e informações sobre novas vulnerabilidades.
  3. Evolução Tecnológica: Novas tecnologias e ferramentas de segurança.
  4. Feedback de Auditoria: Resultados de auditorias internas e externas.

9.5 Requisitos Específicos de Regulamentações

9.5.1 ISO 27001

Para conformidade com ISO 27001, a gestão de riscos deve:

  1. Ser parte integrante do Sistema de Gestão de Segurança da Informação (SGSI).
  2. Ser documentada, incluindo metodologia, critérios e resultados.
  3. Ser aprovada pela Alta Direção.
  4. Ser revisada e atualizada periodicamente.

9.5.2 HIPAA

Para conformidade com HIPAA, a gestão de riscos deve:

  1. Incluir uma avaliação abrangente de riscos à confidencialidade, integridade e disponibilidade de informações de saúde eletrônicas (ePHI).
  2. Documentar ameaças e vulnerabilidades que podem comprometer ePHI.
  3. Implementar medidas de segurança para reduzir riscos a um nível razoável e apropriado.
  4. Ser revisada e atualizada regularmente.

9.5.3 LGPD

Para conformidade com LGPD, a gestão de riscos deve:

  1. Incluir avaliação de riscos específicos ao tratamento de dados pessoais.
  2. Considerar o impacto potencial aos direitos e liberdades dos titulares de dados.
  3. Implementar medidas técnicas e organizacionais para proteger os dados pessoais.
  4. Incluir a realização de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) para tratamentos de alto risco.

9.6 Papéis e Responsabilidades na Gestão de Riscos

9.6.1 Alta Direção

  1. Aprovar a política de gestão de riscos e definir o apetite a risco da organização.
  2. Fornecer recursos adequados para a implementação eficaz da gestão de riscos.
  3. Revisar regularmente os relatórios de gestão de riscos e aprovar planos de tratamento para riscos altos e extremos.

9.6.2 Comitê de Segurança da Informação

  1. Supervisionar o processo de gestão de riscos.
  2. Revisar e aprovar os resultados da avaliação de riscos.
  3. Monitorar a implementação de planos de tratamento de riscos.
  4. Relatar o status da gestão de riscos para a Alta Direção.

9.6.3 Oficial de Segurança da Informação (CISO)

  1. Desenvolver e manter a metodologia de gestão de riscos.
  2. Coordenar e facilitar o processo de avaliação de riscos.
  3. Garantir que os controles implementados sejam eficazes.
  4. Preparar relatórios de gestão de riscos para o Comitê de Segurança da Informação e Alta Direção.

9.6.4 Encarregado de Proteção de Dados (DPO)

  1. Garantir que os riscos relacionados à privacidade de dados sejam adequadamente identificados e avaliados.
  2. Assessorar na implementação de controles de privacidade.
  3. Monitorar a conformidade com requisitos de privacidade de dados.

9.6.5 Proprietários de Ativos/Processos

  1. Participar ativamente do processo de avaliação de riscos para seus ativos ou processos.
  2. Implementar controles conforme definido nos planos de tratamento de riscos.
  3. Monitorar e relatar riscos emergentes.

9.6.6 Todos os Colaboradores

  1. Estar ciente dos riscos relacionados às suas atividades.
  2. Seguir procedimentos e controles de segurança estabelecidos.
  3. Relatar incidentes, ameaças ou vulnerabilidades identificadas.

9.7 Documentação da Gestão de Riscos

9.7.1 Documentos Obrigatórios

  1. Política de Gestão de Riscos: Definindo abordagem, metodologia e responsabilidades.
  2. Critérios de Avaliação de Riscos: Definindo escalas e critérios de aceitação.
  3. Registro de Riscos: Documentando todos os riscos identificados e sua avaliação.
  4. Planos de Tratamento de Riscos: Detalhando ações para mitigar, transferir, evitar ou aceitar riscos.
  5. Relatórios de Avaliação de Riscos: Resumindo os resultados do processo de avaliação de riscos.
  6. Relatórios de Impacto à Proteção de Dados: Para tratamentos de dados que envolvam alto risco.

9.7.2 Retenção de Documentos

Todos os documentos relacionados à gestão de riscos devem ser mantidos por pelo menos 5 anos, ou mais se exigido por regulamentações específicas.

9.8 Avaliação de Riscos de Terceiros

9.8.1 Processo de Avaliação

  1. Pré-contratação: Avaliação de riscos antes da contratação de novos fornecedores ou parceiros.
  2. Avaliação Periódica: Reavaliação de riscos de terceiros existentes pelo menos anualmente.
  3. Mudanças Significativas: Reavaliação quando houver mudanças significativas no relacionamento ou no ambiente de risco.

9.8.2 Critérios de Avaliação

  1. Tipo de Acesso: Nível de acesso a sistemas e dados da Pragmatismo.
  2. Dados Processados: Sensibilidade e volume de dados processados pelo terceiro.
  3. Criticidade: Importância do serviço para as operações da Pragmatismo.
  4. Maturidade de Segurança: Nível de maturidade das práticas de segurança do terceiro.
  5. Conformidade Regulatória: Conformidade do terceiro com requisitos legais e regulatórios relevantes.

9.8.3 Controles para Terceiros

  1. Cláusulas Contratuais: Inclusão de cláusulas de segurança e privacidade em contratos.
  2. Acordos de Nível de Serviço (SLAs): Definição de requisitos de segurança e privacidade.
  3. Direito de Auditoria: Direito de auditar as práticas de segurança do terceiro.
  4. Compromisso de Notificação: Obrigação de notificar incidentes de segurança.
  5. Certificações e Relatórios: Requisito de fornecer certificações de segurança ou relatórios de auditoria.

Última atualização: 11 de maio de 2025