Get 2 Documentation Toolkits for the price of 1
Limited-time offer – ends March 28, 2024

Como avaliar consequências e probabilidade na análise de risco da ISO 27001

Se você está avaliando riscos de segurança da informação em sua organização, então a identificação de ativos, ameaças e vulnerabilidades é apenas a primeira metade do trabalho. (Veja também Avaliação de riscos da ISO 27001: Como combinar ativos, ameaças e vulnerabilidades.) A segunda parte do trabalho, não menos importante e não menos difícil, é calcular quão grande é o risco – e isto se atinge através da análise das consequências (também chamado de impacto) se o risco se materializar, e da análise da probabilidade do risco acontecer; com esta informação, você pode facilmente calcular o nível do risco.

A ISO 27001 realmente não diz a você como fazer sua análise de risco, mas lhe diz que você deve analisar consequências e probabilidades, e determinar o nível do risco – assim, cabe a você definir como fazer isso. Você encontrará algumas abordagens neste artigo: estas são minhas favoritas, mas existem outras formas de fazer isso – para mais abordagens veja a ISO 27005, a norma que explica a análise de riscos de segurança da informação em mais detalhes.

Nota: Não importa qual abordagem você escolha, você tem que documentá-la em sua metodologia de risco – veja este artigo para maiores explicações: Como escrever metodologia de avaliação de riscos para a ISO 27001.

Análise de risco simples

Existem basicamente duas formas de analisar riscos usando o método qualitativo – vamos chamá-los de análise de risco simples e análise de risco detalhada. (Eu cobrirei o método quantitativo em outro artigo).

Na análise de risco simples você analisa as consequências e probabilidade diretamente – uma vez que você tenha identificado os riscos, você simplesmente tem que usar escalas para analisar separadamente as consequências e probabilidade de cada risco. Por exemplo, você pode usar a escala de 0 a 4, onde 0 seria muito baixo, 1 baixo, 2 médio, e assim por diante, ou a escala de 1 a 10, ou Baixo-Médio-Alto, ou qualquer outra escala. Quanto maior a escala, mais precisos serão os resultados que você terá, mas também mais tempo você gastará para realizar a análise.

Então, por exemplo, em uma análise de risco simples você pode ter algo como isto:

  • Ativo: laptop
  • Ameaça: roubo
  • Vulnerabilidade: empregados não sabem como proteger seus dispositivos móveis
  • Consequências: 3 (em uma escala de 0 a 4)
  • Probabilidade: 4 (em uma escala de 0 a 4)

Análise de risco detalhada

Na análise de risco detalhada, ao invés de analisar dois elementos (consequência e probabilidade), você analisa três elementos: valor do ativo, ameaça e vulnerabilidade. Assim, aqui está um exemplo desta análise de risco detalhada:

  • Ativo: laptop
  • Ameaça: roubo
  • Vulnerabilidade: empregados não sabem como proteger seus dispositivos móveis
  • Valor do ativo: 3 (em uma escala de 0 a 4)
  • Valor da ameaça: 2 (em uma escala de 0 a 2)
  • Valor da vulnerabilidade: 2 (em uma escala de 0 a 2)

Quando você pensa sobre isso mais atentamente, através destes três elementos na análise de riscos detalhada, você indiretamente analisará as consequências e probabilidades: ao analisar o valor do ativo, você está simplesmente analisando o tipo de dano (i.e., consequência) que poderia ocorrer para este ativo se a confidencialidade, integridade ou disponibilidade em posta em risco; tanto ameaças e vulnerabilidades influenciam a probabilidade – quanto maior a ameaça e maior a vulnerabilidade, mais provável será o risco acontecer, e vice versa.

E basicamente, é isto – se você é uma organização menor, a análise de risco simples será o suficiente para você; se você é uma organização de médio ou grande porte, a análise de risco detalhada dará conta do trabalho. E você não precisa adicionar mais nenhum elemento, porque isso apenas faria seu trabalho mais difícil. Veja também: Como organizar a avaliação de riscos inicial de acordo com a ISO 27001 e ISO 22301.

Por que analisar tanto ativos quanto consequências é errado?

Muito frequentemente vejo organizações implementando a análise de risco simples (i.e., elas analisam diretamente consequências e probabilidades), mas elas também adicionando valor do ativo a esta análise.

Por que isto é errado? Pelo o simples fato de que elas já analisaram as consequências uma vez, então não precisam analisá-las novamente através do valor do ativo.

Então, novamente – não tente enganar a si mesmo e criar algo complexo só porque você acha que consegue.

Como calcular o nível do risco

Calcular o risco é na verdade muito simples – isto é geralmente feito através de adição (e.g., 2 + 5 = 7) ou multiplicação (e.g., 2 x 5 = 10). Se você usa a escala Baixo-Médio-Alto, então isto é o mesmo que usar 1-2-3, assim você ainda tem números para o cálculo.

Desta forma, usando os exemplos acima, aqui está como calcular o risco usando adição:

  • Análise de risco simples: Consequências (3) + Probabilidade (4) = Risco (7)
  • Análise de risco detalhada: Valor do ativo (3) + Valor da ameaça (2) + Valor da vulnerabilidade (2) = Risco (7)

Na análise de risco detalhada, você notará que eu usei a escala de 0 a 4 para analisar o valor do ativo, e escalas menores de 0 a 2 para analisar ameaças e vulnerabilidades. Isto porque o peso das consequências deveria ser o mesmo que o peso da probabilidade – uma vez que ameaças e vulnerabilidade em conjunto “representam” a probabilidade, seu valor máximo quando adicionadas é 4, o mesmo para o valor do ativo (i.e., consequência).

Após ter calculado os riscos, você tem que avaliar se eles são aceitáveis ou não, e então passar para a próxima etapa: o tratamento de risco. Para ver todas as etapas da gestão de riscos, leia este artigo: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.

Não seja perfeccionista

Então, para concluir: a gestão de risco em geral, mas especialmente a avaliação e a análise de risco, podem parecer a oportunidade perfeita para tornar as coisas complicadas – uma vez que requisitos da ISO 27001 são bastante específicos, você pode adicionar numerosos elementos na tentativa de tornar sua abordagem mais “científica”.

Mas, você tem que se perguntar esta questão: seu objetivo é criar uma análise de riscos perfeita que precisará ser realizada por vários meses ou talvez anos (porque seus empregados simplesmente não entenderão sobre o que tudo isso se trata e tentarão evitar você), ou seu objetivo é terminar este processo em um período de tempo razoável, sabendo que não será 100% preciso, mas ao menos identificará os principais riscos, e fará com que seu pessoal comece a pensar sobre a necessidade de proteger as informações da organização?

Clique aqui para se registrar para um webinar gratuito The basics of risk assessment and treatment according to ISO 27001 que explicará os detalhes da avaliação de riscos (webinar gravado também disponível).

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan: