Já vi muitas pequenas empresas (com até 50 funcionários) tentarem utilizar ferramentas de avaliação de riscos como parte de seu projeto de implementação da norma ISO 27001. O resultado é que, normalmente, isso demanda muito tempo e dinheiro e traz poucos benefícios.
Em primeiro lugar, o que realmente significa avaliação de riscos e qual seu objetivo? A avaliação de riscos é um processo no qual uma empresa deve identificar riscos de segurança para suas informações e determinar a probabilidade de ocorrência e seu impacto. Basicamente, a empresa deve reconhecer todos os possíveis problemas que podem afetar suas informações, com que probabilidade poderiam ocorrer e que consequências trariam. O objetivo da avaliação de riscos é descobrir quais controles são necessários para diminuir o risco. A seleção de controles é chamada de processo de tratamento de riscos; na ISO 27001, os controles são escolhidos com base no Anexo A, que especifica 133 controles.
A avaliação de riscos é realizada por meio da identificação e da avaliação de ativos, vulnerabilidades e ameaças. Um ativo é tudo aquilo que tem valor para a empresa – hardware, software, pessoal, infraestrutura, dados (em diferentes formas e mídias), fornecedores e parceiros etc. Uma vulnerabilidade é um ponto fraco em um ativo, processo, controle etc., que poderia ser explorado por uma ameaça. Uma ameaça é qualquer coisa que possa danificar um sistema ou uma organização. Um exemplo de vulnerabilidade é a falta de um software de antivírus; uma ameaça relacionada é um vírus de computador.
Sabendo de tudo isso, se sua organização é pequena, você realmente não precisa de uma ferramenta sofisticada para fazer a avaliação de riscos. Tudo o que você precisa é de uma planilha do Excel, uma relação abrangente de vulnerabilidades e ameaças e uma boa metodologia de avaliação de riscos. A principal tarefa, na verdade, é avaliar a probabilidade e o impacto, e isso não pode ser feito por nenhuma ferramenta – é algo que somente os proprietários dos ativos, com seu conhecimento sobre esses ativos, podem fazer.
Então, onde você poderá obter essa relação e a metodologia? Se você tiver contratado um consultor, ele poderá fornecer esses documentos; caso contrário, existem modelos de relações disponíveis na internet, basta fazer uma pesquisa no Google. A metodologia não está disponível gratuitamente, mas você pode usar a norma ISO 27005 (ela descreve a avaliação e o tratamento de riscos em detalhes), ou você pode usar outros sites que vendam a metodologia. Tudo isso deve custar menos tempo e dinheiro do que comprar uma ferramenta de avaliação de riscos e aprender a usá-la.
Uma boa metodologia deve conter um método para identificação de ativos, ameaças e vulnerabilidades, tabelas para marcar a probabilidade e os impactos, além de um método para calcular o risco e definir o nível aceitável desse risco. As relações devem conter pelo menos 30 vulnerabilidades e 30 ameaças. Algumas apresentam até algumas centenas de cada, mas provavelmente isso é um exagero para uma empresa pequena.
O processo não é nada complicado, aqui estão os passos básicos para avaliação e tratamento:
- definir e documentar a metodologia (incluindo as relações), distribuí-la a todos os proprietários de ativos na organização
- organizar entrevistas com os proprietários de ativos durante a qual eles deverão identificar seus ativos e vulnerabilidades e ameaças relacionadas; na segunda etapa, peça a eles para avaliar a probabilidade e o impacto, caso ocorram riscos específicos
- unir os dados em uma única planilha, calcular os riscos e indicar quais riscos não são aceitáveis
- para cada risco que não for aceitável, escolher um ou mais controles do Anexo A da norma ISO 27001 e calcular qual seria o novo nível de risco após esses controles serem implementados
Para concluir: avaliação e tratamento de riscos realmente são a base da segurança da informação/ISO 27001, mas isso não significa que precisam ser complicados. É possível fazer isso de forma simples, e seu bom senso é o que realmente importa.
Para saber mais, faça o download gratuito deste Diagram of ISO 27001:2013 Risk Assessment and Treatment process.