DESCONTO DE PRIMAVERA
Ganhe 30% de desconto em kits, exames de cursos e planos anuais do Conformio.
Oferta por tempo limitado – termina em 25 de abril de 2024
Use o código promocional:
SPRING30

Como organizar a avaliação de riscos inicial de acordo com a ISO 27001 e ISO 22301

Advisera Dejan Kosutic Dejan Kosutic
abril 30, 2014

Geralmente, a maior dor de cabeça que as organizações tem ao iniciar a implementação da ISO 22301, e especialmente a da ISO 27001, é a avaliação de riscos. E, curiosamente, tal dor de cabeça acontece apenas ao realizá-la pela primeira vez – o que significa que a avaliação de riscos não tem de ser difícil uma vez que você saiba com o fazê-la.

Então, como se preparar para tornar esta dor de cabeça menor?

Fazer sozinho ou contratar um consultor?

Uma vez que a avaliação e o tratamento de riscos consomem um tempo razoável e são complexas, você pode decidir se estas atividades serão gerenciadas pelo Gerente do projeto / Gerente de segurança da informação / Gerente de continuidade do negócio sozinho, ou com a ajuda de um especialista contratado (ex.: um consultor). Um consultor poderia ser de grande ajuda para organizações maiores, não apenas para guiar o coordenador através de todo o processo, mas também para realizar parte do processo – ex.: um consultor poderia realizar os workshops e/ou entrevistas, compilar todas as informações, escrever relatórios, etc. , enquanto o coordenador iria gerenciar todo o processo e coordenar as pessoas dentro da organização. Leia também 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.

Organizações maiores geralmente terão equipes de projeto para a implementação da ISO 27001/ISO 22301, então esta mesma equipe de projeto participará do processo de avaliação de riscos – membros da equipe do projeto poderiam ser aqueles realizando as entrevistas.

Organizações menores não precisam ter um consultor ou uma equipe de projeto – sim, o gerente do projeto terá que receber alguma capacitação inicial, mas com a metodologia de avaliação de riscos adequada, este processo pode ser realizado sem a ajuda de um especialista.

Você deveria utilizar uma ferramenta de avaliação de riscos?

Ferramentas podem acelerar o processo de avaliação e tratamento de riscos porque elas em geral possuem catálogos incorporados de ativos, ameaças e vulnerabilidades; são capazes de compilar resultados de forma semiautomática; e a produção de relatórios também é mais fácil – opções estas que as tornam uma escolha muito boa para organizações maiores.

Contudo, para organizações menores, o preço de tais ferramentas poderia ser um obstáculo, embora em minha opinião uma barreira ainda maior é o fato de que tais ferramentas são em geral muito complexas para organizações menores. Em outras palavras, o tempo necessário para aprender a trabalhar com tais ferramentas é em geral muito maior do que o que levaria para lidar com uma dúzia de planilhas eletrônicas. Sem mencionar que tais ferramentas geralmente necessitam que você siga uma metodologia de avaliação de riscos em geral complexa, o que poderia ser uma sobrecarga para organizações menores.

Em outras palavras, se você está em uma organização pequena, pense duas vezes antes de adquirir qualquer ferramenta – uma planilha eletrônica ainda é uma ferramenta muito boa se você não é muito ambicioso. (Se você usa planilhas eletrônicas, tenha certeza de utilizar alguns catálogos – veja aqui um exemplo de catálogo de ameças e vulnerabilidades.)

Opções para a coleta de informações

avaliação de riscos significa que você terá que obter uma quantidade substancial de entradas de seus empregados – essencialmente, existem 3 formas de fazer isso:

a) Realizar a avaliação de riscos através de entrevistas – isto significa que o coordenador entrevistará pessoa(s) responsável(is) por cada departamento, onde ele explicará primeiro o propósito da avaliação de riscos, e irá se certificar que cada decisão da pessoa responsável sobre o nível de risco (consequência e probabilidade) faz sentido e não seja tendenciosa.

b) Realizar workshops com as pessoas responsáveis – em tais workshops o coordenador explica a todas as pessoas responsáveis o propósito da sobre o nível de risco , e através de vários exemplos reais, mostra como identificar riscos e avaliar/analisar seus níveis.

c) Enviar planilhas com explicações detalhadas – aqui você não auxilia as pessoas responsáveis diretamente, mas envia a elas a metodologia de sobre o nível de risco ou algum outro tipo de instruções sobre como preencher eles mesmos as planilhas de avaliação de riscos.

A última opção é provavelmente a mais fácil da perspectiva do coordenador, mas o problema é que a informação coletada desta forma terá baixa qualidade. Se o processo de avaliação de riscos não é muito claro para você, ele certamente será menos claro ainda para os outros empregados em sua organização, não importa o quão boa sua explicação escrita seja.

Claro que, realizar entrevistas provavelmente trará melhores resultados; contudo, esta opção é frequentemente impraticável porque requer um grande investimento do tempo do coordenador. Desta forma, realizar workshops é frequentemente a melhor solução.

Quem decide o nível do risco?

A decisão sobre o nível do risco (consequência e probabilidade) deveriam sempre ser deixadas para a pessoa responsável pelas atividades – o coordenador nunca irá conhecer os ativos, processos e o ambiente o suficiente para tomar tais decisões, mas as pessoas trabalhando lá certamente terão uma ideia melhor.

Contudo, o coordenador tem outra importante função durante o processo de avaliação de riscos – uma vez que ele comece a receber os resultados das avaliações de riscos, ele deve se certificar que estes resultados fazem sentido e que os critérios entre diferentes departamentos são uniformes. Mesmo que os workshops tenham sido realizados, ou que uma explicação tenha sido dada durante as entrevistas com a pessoa responsável, eles sempre tenderão a dar uma importância maior (maiores riscos) para seus próprios departamentos – em tais casos, o coordenador deve questionar tais avaliações e solicitar a estas pessoas que reconsiderem suas decisões.

Então, estas foram as preparações que você precisa fazer: uma vez iniciada a avaliação de riscos você deveria seguir estes passos: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.

E não se esqueça: uma boa preparação é metade do trabalho feito.

Para saber mais, veja gratuitamente este Diagram of ISO 27001:2013 Risk Assessment and Treatment process.

Nós agradecemos a Rhand Leal pela tradução para o Português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan:
Post anterior Classificação da Informação de acordo com a ISO 27001
Próximo post O Ciclo PDCA foi removido das novas normas ISO?

Próximo webinar grátis

Advisera Carlos Pereira da Cruz
Apresentador
Carlos Pereira da Cruz
How to Perform an ISO Internal Audit
Quinta-feira – 2 de maio de 2024
Registrar agora

Suggested reading

Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001
by Rhand Leal
Classificação da Informação de acordo com a ISO 27001
by Dejan Kosutic
Política de mesa limpa e tela limpa – O que a ISO 27001 requer?
by Rhand Leal