ANÁLISE DE METODOLOGIA DE GESTÃO DE

RISCOS: ESTUDO DE CASO DA METODOLOGIA

DE GESTÃO DE RISCOS DE TECNOLOGIA DA
INFORMAÇÃO NO MINISTÉRIO DA EDUCAÇÃO

André Gomes Alay Esteves

Gilmar Luiz Valverde de Carvalho

Orientador: Prof. MSc. Luciano Helou Ramos

ESTRUTURA
- Contextualização
- Objetivos
- Metodologia
- Estudo de Caso
- Análise
- Resultados
- Considerações Finais
_CONTEXTUALIZAÇÃO
Cenário
Gestão de Riscos de TI, Análise e MEC.

Problema
Certos tipos de negócio e produtos podem apresentar risco de vida para os
clientes, enquanto que outros podem apresentar um grande risco financeiro para a
empresa contratante do serviço.

Justificativa
Pelo fato do tema ser considerado fator determinante de sucesso em projetos
de TI, seja na iniciativa privada, seja nas organizações públicas.
_OBJETIVOS
Objetivo geral
Apresentar os principais pontos de uma metodologia de GRTIC acompanhado
de uma análise de seus pontos fortes e fracos, tendo como base um estudo de caso no
MEC.

Objetivos específicos
Mostrar as dificuldades que gestores, gerentes de projeto, bem como analistas
e desenvolvedores, têm encontrado nessa fase.

Propiciar ao leitor uma rica fonte de consulta sobre o tema.

Alinhar teoria com um estudo de caso prático, facilitando o entendimento do

leitor sobre o assunto da pesquisa
_METODOLOGIA
Etapas
Estudar o caso cuidadosamente

Reunir os fatos

Avaliar os fatos

Definir o problema AE2

Estabelecer alternativas de soluções para o problema

Escolher a alternativa de solução mais adequada

Preparar um plano de ação

Slide 5

AE2 Eu apagaria
Andre Esteves; 12/02/2019
_ESTUDO DE CASO
A demanda inicial, advinda de necessidades
levantadas pelo PDTI e do PETI, mostrava a
urgência de:
- Estabelecer uma sistemática
- Métodos
- Avaliação dos riscos
- Limites para tolerância aos riscos
- Alinhamento com a POSIC
_ESTUDO DE CASO
No mesmo processo houve ainda:
- Estabelecimento de responsabilidades pela
GRTIC
- Alinhamento dos riscos de TI aos riscos de
negócio (educação)
- Adaptar dos riscos de TI às práticas de
gerenciamento de riscos do MEC
- Provisão de recursos adequados para a GRTIC
_ESTUDO DE CASO
A metodologia utilizada pelo MEC para a análise
de riscos foi desenvolvida em conjunto com a
empresa Módulo Security Solutions, abordando
diversos documentos como referência, como:
- ABNT NBR ISO/IEC 27005:2008
- ISO 31000:2009
- ABNT NBR ISO GUIA 73:2009
- IN n.º 1 do GSI/PR
- NC n.º 4 do GSI/PR
 _ANÁLISE
Alinhamento da GRSIC ao ciclo PDCA
segundo a Norma Complementar n.º 4 Nível de Maturidade Elevado
do GSI/PR.

Documento de Gestão de Riscos

Definição do contexto Falta de conhecimento aprofundado
Identificação e estimativas de riscos dos requisitos necessários para a
Tratamento do risco criação de uma metodologia de
Aceitação do risco gestão de riscos suficientemente
Comunicação do risco madura.
Treinamento da equipe do MEC na metodologia.
 _ANÁLISE
Ambientes
Reduzir riscos operacionais:
SISU, FIES, PROUNI, Sistema Presença, A Gestão do MEC definiu que o tratamento
e-MEC, SIMEC, SISCEBAS, SISTEC, dos controles seria executado somente nos
PDDE, SEI, Portal, entre outros. processos de cujos PSR fossem definidos
como alto ou muito alto:
Análises de três tipos de ativos:
• Pessoas. 32, 36, 40, 45, 48, 50, 60,
• Ambientes Físicos.
64, 75, 80, 100, 125
• Tecnologia (estações de trabalho,
conectividade e servidores).
 _RESULTADOS

31.450 controles investigados, 30.458 foram considerados

Algumas das principais questões tratadas:
aplicáveis
• Quais as principais ameaças para o
• 14.675 foram identificados como implementados
negócio?
• 15.783 foram identificados como não implementados
• Quais os níveis de riscos dos controles
não implementados?
• Quais as recomendações para reduzir
os riscos?
• Como priorizar as ações de segurança
a serem tomadas?
Quantidade dos controles por situação
Fonte: MEC, 2012
_RESULTADOS
PSR total de 889.178, foram considerados aplicáveis 859.097.
• 431.049 riscos controlados
• 428.048 controles não implementados

Índice PSR por situação dos riscos analisados

Fonte: MEC, 2012
 _RESULTADOS

50,17% 48,18%
Security Index Control Index

Control index é o resultado da divisão da quantidade dos controles

implementados sobre a quantidade dos controles aplicáveis
Quando o Security Index for maior que o Control Index , deduz-se que a gestão
dos riscos é eficaz, uma vez que os controles implementados são os que atuam
nos maiores riscos (PSR mais altos).
Caso contrário, deduz-se que houve uma menor eficácia na gestão de riscos, já
que a maior parte dos controles implementados correspondem aos menores
riscos (PSR mais baixos).

Distribuição dos riscos (PSR) por níveis de risco

Fonte: MEC, 2012
_CONSIDERAÇÕES FINAIS
- Com o uso adequado do planejamento, identificação, análises
qualitativa e quantitativa e planejamento das respostas aos riscos, é
possível mitigar ou até mesmo eliminar os riscos que envolvem a área
de Tecnologia da Informação de uma organização
- Alinhamento da TI com a estratégia do MEC
- Tomadas de decisões para tratar as situações que afetam os objetivos
do MEC
- Garantir que a continuidade do processo de GRSIC deva ser baseada no
PDCA
- Qualificar pessoal necessário para que todo o processo seja sempre
atualizado e executado
- Acompanhar a nova etapa do processo de análise de riscos que o MEC
deve iniciar em 2019 comparando os resultados
_

Obrigado!