DESCONTO DE PRIMAVERA
Ganhe 30% de desconto em kits, exames de cursos e planos anuais do Conformio.
Oferta por tempo limitado – termina em 25 de abril de 2024
Use o código promocional:
SPRING30

Dicas de avaliação de risco para pequenas empresas

Advisera Dejan Kosutic Dejan Kosutic
dezembro 15, 2010

Já vi muitas pequenas empresas (com até 50 funcionários) tentarem utilizar ferramentas de avaliação de riscos como parte de seu projeto de implementação da norma ISO 27001. O resultado é que, normalmente, isso demanda muito tempo e dinheiro e traz poucos benefícios.

Em primeiro lugar, o que realmente significa avaliação de riscos e qual seu objetivo? A avaliação de riscos é um processo no qual uma empresa deve identificar riscos de segurança para suas informações e determinar a probabilidade de ocorrência e seu impacto. Basicamente, a empresa deve reconhecer todos os possíveis problemas que podem afetar suas informações, com que probabilidade poderiam ocorrer e que consequências trariam. O objetivo da avaliação de riscos é descobrir quais controles são necessários para diminuir o risco. A seleção de controles é chamada de processo de tratamento de riscos; na ISO 27001, os controles são escolhidos com base no Anexo A, que especifica 133 controles.

A avaliação de riscos é realizada por meio da identificação e da avaliação de ativos, vulnerabilidades e ameaças. Um ativo é tudo aquilo que tem valor para a empresa – hardware, software, pessoal, infraestrutura, dados (em diferentes formas e mídias), fornecedores e parceiros etc. Uma vulnerabilidade é um ponto fraco em um ativo, processo, controle etc., que poderia ser explorado por uma ameaça. Uma ameaça é qualquer coisa que possa danificar um sistema ou uma organização. Um exemplo de vulnerabilidade é a falta de um software de antivírus; uma ameaça relacionada é um vírus de computador.

Sabendo de tudo isso, se sua organização é pequena, você realmente não precisa de uma ferramenta sofisticada para fazer a avaliação de riscos. Tudo o que você precisa é de uma planilha do Excel, uma relação abrangente de vulnerabilidades e ameaças e uma boa metodologia de avaliação de riscos. A principal tarefa, na verdade, é avaliar a probabilidade e o impacto, e isso não pode ser feito por nenhuma ferramenta – é algo que somente os proprietários dos ativos, com seu conhecimento sobre esses ativos, podem fazer.

Então, onde você poderá obter essa relação e a metodologia? Se você tiver contratado um consultor, ele poderá fornecer esses documentos; caso contrário, existem modelos de relações disponíveis na internet, basta fazer uma pesquisa no Google. A metodologia não está disponível gratuitamente, mas você pode usar a norma ISO 27005 (ela descreve a avaliação e o tratamento de riscos em detalhes), ou você pode usar outros sites que vendam a metodologia. Tudo isso deve custar menos tempo e dinheiro do que comprar uma ferramenta de avaliação de riscos e aprender a usá-la.

Uma boa metodologia deve conter um método para identificação de ativos, ameaças e vulnerabilidades, tabelas para marcar a probabilidade e os impactos, além de um método para calcular o risco e definir o nível aceitável desse risco. As relações devem conter pelo menos 30 vulnerabilidades e 30 ameaças. Algumas apresentam até algumas centenas de cada, mas provavelmente isso é um exagero para uma empresa pequena.

O processo não é nada complicado, aqui estão os passos básicos para avaliação e tratamento:

  1. definir e documentar a metodologia (incluindo as relações), distribuí-la a todos os proprietários de ativos na organização
  2. organizar entrevistas com os proprietários de ativos durante a qual eles deverão identificar seus ativos e vulnerabilidades e ameaças relacionadas; na segunda etapa, peça a eles para avaliar a probabilidade e o impacto, caso ocorram riscos específicos
  3. unir os dados em uma única planilha, calcular os riscos e indicar quais riscos não são aceitáveis
  4. para cada risco que não for aceitável, escolher um ou mais controles do Anexo A da norma ISO 27001 e calcular qual seria o novo nível de risco após esses controles serem implementados

Para concluir: avaliação e tratamento de riscos realmente são a base da segurança da informação/ISO 27001, mas isso não significa que precisam ser complicados. É possível fazer isso de forma simples, e seu bom senso é o que realmente importa.

Para saber mais, faça o download gratuito deste Diagram of ISO 27001:2013 Risk Assessment and Treatment process.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan:
Post anterior Segurança da informação ou segurança de TI?
Próximo post Principais obstáculos para a implementação da ISO 27001

Próximo webinar grátis

Advisera Carlos Pereira da Cruz
Apresentador
Carlos Pereira da Cruz
How to Perform an ISO Internal Audit
Quinta-feira – 2 de maio de 2024
Registrar agora

Suggested reading

Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001
by Rhand Leal
Classificação da Informação de acordo com a ISO 27001
by Dejan Kosutic
Qual é o custo da implementação da ISO 27001?
by Dejan Kosutic