O objetivo desta norma é fornecer as diretrizes do processo de gestão de riscos de Ativos de Informação da Organização para a identificação, análise, tratamento e monitoramento dos riscos associados aos ativos da informação da AppLess, alinhadas à ISO/IEC 27001, LGPD e às exigências do Banco Central do Brasil (Bacen) para o arranjo Pix. Esta norma visa garantir a integridade, confidencialidade e disponibilidade da informação em um ambiente Cloud.
A gestão de riscos deve ser contínua, dinâmica e adaptável ao cenário tecnológico e regulatório.
A análise de risco deve contemplar riscos técnicos, operacionais, contratuais e regulatórios.
Todo risco deve ser classificado, tratado ou aceito formalmente, com registro rastreável
Este documento aplica-se a área de Segurança da Informação orientando e fornecendo diretrizes para a Gestão da Segurança da Informação (GSI) da AppLess bem como aos ativos de informação sob a sua responsabilidade, incluindo sistemas em nuvem (AWS), integrações com parceiros financeiros, dispositivos pessoais autorizados (BYOD) e componentes técnicos como API Gateway, Cloudflare, Workers, Redis, Lambda e MongoDB Atlas.
A AppLess representa as informações processados em sistemas de sua propriedade e/ou sob sua utilização.
Os gestores são responsáveis pelo cumprimento das diretrizes desta norma por seus colaboradores.
Identificar processos que requerem DPIAs e assegurar a sua execução adequada.
Área responsável por:
Consultar o MNL-001 Manual de Organização de Conceitos, disponibilizado nos repositórios corporativos oficiais.
A análise de riscos em ativos da informação tem como objetivo levantar todo e qualquer componente que sustente um ou mais processos ou área de negócio. Esses componentes/informações podem ser pessoas, processo ou tecnologia denominados ativos de informação.
Todo ativo de informação possui ameaças que podem ser exploradas através de vulnerabilidades que devem ser controladas até um nível aceitável definido pela corporação.
A metodologia adotada para a realização da análise de riscos da Organização, é realizada conforme o processo macro descrito abaixo com alguns subprocessos detalhando a identificação de ativos, identificação de ameaças, identificação de vulnerabilidades e execução do plano de tratamento de riscos.
Uma avaliação de risco deve ser realizada anualmente ou após quaisquer alterações significativas no ambiente da organização. A equipe de Segurança da Informação é responsável pelo processo de avaliação de risco utilizando desta metodologia da AppLess para identificar, monitorar e mitigar os riscos do ambiente.
A avaliação de risco é feita também quotidianamente pela equipe de TI/SI e Desenvolvimento de Sistemas da AppLess em parceria com a área de SI, como parte do monitoramento diário.
O serviço de gestão de risco do provedor também é essencial para a avaliação de riscos.
Os eventos coletados pelo provedor em nuvem devem ser correlacionados ao mecanismo de análise de segurança para fornecer alertas de detecção de ameaças e recomendações (tarefas de proteção) sob medida para a AppLess.
A Metodologia de Gestão de Riscos da AppLess objetiva estabelecer e estruturar as etapas necessárias para a operacionalização da Gestão de Riscos na Organização, por meio da definição de um processo de gerenciamento de riscos contendo, no mínimo, as seguintes etapas:
I – Entendimento do contexto: etapa em que são identificados os objetivos relacionados ao processo organizacional e definidos os contextos externo e interno a serem levados em consideração ao gerenciar riscos;
II – Identificação de riscos: etapa em que são identificados possíveis riscos para objetivos associados aos processos organizacionais;
III – análise de riscos: etapa em que são identificadas as possíveis causas e consequências do risco;
IV – Avaliação de riscos: etapa em que são estimados os níveis dos riscos identificados;
V – Priorização de riscos: etapa em que são definidos quais riscos terão suas respostas priorizadas, levando em consideração os níveis calculados na etapa anterior;
VI – Definição de respostas aos riscos: etapa em que são definidas as respostas aos riscos, de forma a adequar seus níveis ao apetite a riscos (grau de exposição a perdas estabelecido como parâmetro de comparação entre os riscos em consonância com os objetivos almejados) dos processos organizacionais, além da escolha das medidas de controle associadas a essas respostas;
VII – comunicação e monitoramento: etapa que ocorre durante todo o processo de gerenciamento dos riscos e é responsável pela integração de todas as instâncias envolvidas, bem como pelo monitoramento contínuo da própria Gestão de Riscos, com vistas a sua melhoria.
Nesta etapa, são calculados os níveis dos riscos identificados pela equipe técnica designada, a partir de critérios de probabilidade e impacto.
| Probabilidade | Descrição da probabilidade, desconsiderando os controles | Rating |
|---|---|---|
| Muito baixa | Improvável. Em situações excepcionais, o evento poderá até ocorrer, mas nada nas circunstâncias indica essa possibilidade. | 1 |
| Baixa | Rara. De forma inesperada ou casual, o evento poderá ocorrer, pois as circunstâncias pouco indicam essa possibilidade. | 2 |
| Média | Possível. De alguma forma, o evento poderá ocorrer, pois as circunstâncias indicam moderadamente essa possibilidade. | 3 |
| Alta | Provável. De forma até esperada, o evento poderá ocorrer, pois as circunstâncias indicam fortemente essa possibilidade. | 4 |
| Muito alta | Praticamente certa. De forma inequívoca, o evento ocorrerá, as circunstâncias indicam claramente essa possibilidade. | 5 |
| Impacto | Descrição do impacto nos objetivos, caso o evento ocorra | Rating |
|---|---|---|
| Muito baixo | Mínimo impacto nos objetivos (estratégicos, operacionais, de informação/comunicação/ divulgação ou de conformidade). | 1 |
| Baixo | Pequeno impacto nos objetivos (idem). | 2 |
| Médio | Moderado impacto nos objetivos (idem), porém recuperável. | 3 |
| Alto | Significativo impacto nos objetivos (idem), de difícil reversão. | 4 |
| Muito Alto | Catastrófico impacto nos objetivos (idem), de forma irreversível. | 5 |
A multiplicação entre os valores de probabilidade e impacto define o nível do risco inerente, ou seja, o nível ou a classificação do risco, podendo ou não considerar controle(s) que reduze(m) ou pode(m) reduzir a probabilidade da sua ocorrência ou do seu impacto.
| RI = P x I em que: RI = nível do risco inerente P = nível de probabilidade do risco I = nível de impacto do risco |
A partir do resultado do cálculo, o risco pode ser classificado dentro das seguintes faixas:
| Classificação | Faixa | Ação necessária | Exceção |
|---|---|---|---|
| Risco Baixo - RB | 1 a 4 | Nível dentro do apetite a risco, mas é possível que existam oportunidades de maior retorno que podem ser exploradas assumindo-se mais riscos, avaliando a relação custo x benefício, como diminuir o nível de controles. | Caso o risco seja priorizado para implementação de medidas de tratamento, essa priorização deve ser justificada pela unidade e aprovada pelo seu dirigente máximo. |
| Risco Médio – RM | 5 a 10 | Nível dentro do apetite a risco. Geralmente nenhuma medida especial é necessária, porém requer atividades de monitoramento específicas e atenção da unidade na manutenção de respostas e controles para manter o risco nesse nível, ou reduzi-lo sem custos adicionais. | Caso o risco seja priorizado para implementação de medidas de tratamento, essa priorização deve ser justificada pela unidade e aprovada pelo seu dirigente máximo. |
| Risco Alto - RA | 11 a 16 | Nível além do apetite a risco. Qualquer risco nesse nível deve ser comunicado ao dirigente máximo da unidade e ter uma ação tomada em período determinado. Postergação de medidas só com autorização do dirigente máximo da unidade. | Caso o risco não seja priorizado para implementação de medidas de tratamento, a não priorização deve ser justificada pela unidade e aprovada pelo seu dirigente máximo. |
| Risco Extremo – RE | 17 a 25 | Nível muito além do apetite a risco. Qualquer risco nesse nível deve ser objeto de Avaliação Estratégica. | Caso o risco não seja priorizado para implementação de medidas de tratamento, a não priorização deve ser justificada pela unidade e aprovada pelo seu dirigente máximo e pelo Comitê de Gestão Estratégica. |
Para melhor apresentar o nível do risco, a fórmula acima é aplicada para gerar uma matriz do nível do risco que vai de 1 (Menor Risco) até 25 (Maior Risco)
| Impacto | Muito Alto | 5 | RM 5 | RM 10 | RA 15 | RE 20 | RE 25 |
|---|---|---|---|---|---|---|---|
| Alto | 4 | RB 4 | RM 8 | RA 12 | RA 16 | RE 20 | |
| Médio | 3 | RB 3 | RM 6 | RM 9 | RA 12 | RA 15 | |
| Baixo | 2 | RB 2 | RB 4 | RM 6 | RM 8 | RM 10 | |
| Muito baixo | 1 | RB 1 | RB 2 | RB 3 | RB 4 | RM 5 | |
| 1 | 1 | 2 | 3 | 4 | 5 | ||
| Muito baixo | Baixo | Médio | Alto | Muito Alto | |||
| Probabilidade | |||||||
Após toda análise de risco, o corpo executivo considera a aceitação dos riscos conforme tabela abaixo:
| Risco | Cor | Decisão |
|---|---|---|
| 1 a 4 | Verde | Risco aceitável. |
| 5 a 10 | Amarelo | Risco aceitável, porém, com recomendações de revisão dos controles para atingir a escala de 01 a 04 (Verde) |
| 11 a 16 | Laranja | Risco alto com necessidade de tratamento até atingir no mínimo a escala de 05 a 10 (Amarelo) |
| 17 a 25 | Vermelho | Risco altíssimo com necessidade urgente de tratamento até atingir no mínimo a escala de 11 a 16 (Laranja) |
Após os controles aplicados serem definidos um responsável pela implantação de cada controle será determinado. O responsável terá o apoio da alta direção para que o controle seja aplicado conforme planejado.
Os custos dos controles aplicados devem ser administrados pelo responsável pela implementação. Caso os custos estejam fora da alçada do gestor de Segurança da Informação, um fluxo de aprovação deve ser iniciado. Esse fluxo deve seguir até que uma decisão seja tomada e um plano de ação seja definido.
Deve ser definido um plano de ação para cada controle aplicado. O plano de ação determinará como os riscos serão tratados conforme ações abaixo:
| Opção de Tratamento | Descrição |
|---|---|
| Mitigar | Um risco normalmente é mitigado quando é classificado como "Alto" ou "Extremo". A implementação de controles, neste caso, apresenta um custo/benefício adequado. Na Organização, mitigar o risco significa implementar controles que possam diminuir as causas ou as consequências dos riscos, identificadas na etapa de Identificação e Análise de Riscos. |
| Transferir / Compartilhar | Um risco normalmente é compartilhado quando é classificado como "Alto" ou "Extremo", mas a implementação de controles não apresenta um custo/benefício adequado. Na Organização, pode-se compartilhar o risco por meio de terceirização ou apólice de seguro, por exemplo. |
| Evitar | Um risco normalmente é evitado quando é classificado como "Alto" ou "Extremo", e a implementação de controles apresenta um custo muito elevado, inviabilizando sua mitigação, ou não há entidades dispostas a compartilhar o risco com a Organização. Na Organização, evitar o risco significa encerrar o processo organizacional. |
| Aceitar | Um risco normalmente é aceito quando seu nível está nas faixas de apetite a risco. Nessa situação, nenhum novo controle precisa ser implementado para mitigar o risco. |
Se a opção de tratamento do risco for MITIGAR, devem ser definidas medidas de tratamento para esse risco. Essas medidas devem ser capazes de diminuir os níveis de probabilidade e/ou de impacto do risco a um nível dentro ou mais próximo possível das faixas de apetite a risco (risco "Baixo" ou "Médio").
O Plano de Tratamento gerado pelo processo de gerenciamento de riscos do processo organizacional é um plano de ação para a implementação das medidas de tratamento dos riscos desse processo organizacional. Por isso, deve conter, pelo menos, quando aplicável:
Após a execução do plano de ação o responsável deve:
A reavaliação dos riscos deve ser realizada periodicamente pelas áreas envolvidas, no mínimo anualmente, ou sempre que necessário, devido a novas ameaças existentes e em caso de mudanças significativas serem propostas ou ocorrerem de forma não prevista ou necessidades de negócio.
Para a reavaliação dos riscos identificados e analisados são levados em consideração os níveis de aceitação de risco descritos neste documento no item "Definir o Nível Aceitável do Risco".
Após obtidos os resultados através da conclusão da avaliação de risco realizado pela Segurança da Informação, é elaborado um plano de tratamento de risco e compartilhado e assinado com o dono do ativo (proprietário/custodiante predefinido em NRM003- Norma de Gestão e Classificação da Informação.
A área de Segurança da Informação é responsável pelo controle, acompanhamento da conclusão das correções acordadas e reavaliar os riscos identificados.
Um plano de tratamento de risco é elaborado ao final da análise de risco realizada, identificando e controlando:
É realizado um plano para cada área/dono do ativo, que tem a responsabilidade de promover a tratativa e a implementação dos controles compensatórios ou definitivos. Os riscos priorizados durante a avaliação de riscos devem ter seu tratamento priorizado.
A Segurança da Informação tem a responsabilidade de promover a ciência dos riscos com o dono do ativo, realizar a gestão e o controle da implementação da solução e revalidar o item apontado.
Com as ações de tratamento do risco identificadas, uma nova reavaliação de risco é realizada. Caso seja identificado um risco residual, ele é documentado através do Formulário de Aceitação de Risco, compartilhado e assinado pelo dono do ativo.
Deve ser realizada a comparação dos resultados da análise dos riscos com os critérios de riscos estabelecidos nesta norma.
O resultado da análise crítica dos riscos deve ser compartilhado com os Diretores, no mínimo anualmente, ou quando identificado algum risco crítico que possa comprometer a disponibilidade, a confidencialidade e a integridade das informações da solução de relacionamento com os clientes da AppLess ou qualquer outra solução sob à gestão da área de infraestrutura cloud.
A AppLess, até o momento, não realiza DPIA de forma ativa, visto que não conduz tratamentos de dados pessoais sensíveis ou de alto risco. No entanto, mantém estrutura preparada para executar o procedimento sempre que houver mudança no escopo de atuação ou conforme exigência da LGPD, da ANPD ou da Resolução Conjunta nº 6/2023 do Bacen.
O DPIA é parte integrante do processo de gestão de riscos e deve ser conduzido sempre que:
A identificação e mitigação de riscos devem considerar, obrigatoriamente, os requisitos da PLT-004 - Política de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD/FT), especialmente no que se refere a riscos financeiros, operacionais e de conformidade com regulamentações específicas, como a Circular nº 3.978 do Banco Central do Brasil.
Deve estar alinhada às diretrizes da NRM-003 (Classificação da Informação), NRM-009 (Gestão de Mudanças), NRM-010 (Gestão de Acessos) e PLT-002 (BYOD).
Deve estar alinhada às diretrizes da NRM-003 (Classificação da Informação), NRM-009 (Gestão de Mudanças), NRM-010 (Gestão de Acessos) e PLT-002 (BYOD).
Todo o conteúdo elaborado, antes de ser divulgado aos colaboradores, deve ser aprovado pelo CEO.
| Responsável | Gestor SI/TI |
| Classificação | Interna |
Documento
| VERSÃO | DATA | AUTOR | COMENTÁRIOS |
|---|---|---|---|
| 1.0 | 19/03/2025 | Deise Di Martini Ronn | Criação do Documento |
| NOME | CARGO/ÁREA |
|---|---|
| Flavio França | CEO |