Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Dicas de avaliação de risco para pequenas empresas

    Já vi muitas pequenas empresas (com até 50 funcionários) tentarem utilizar ferramentas de avaliação de riscos como parte de seu projeto de implementação da norma ISO 27001. O resultado é que, normalmente, isso demanda muito tempo e dinheiro e traz poucos benefícios.

    Em primeiro lugar, o que realmente significa avaliação de riscos e qual seu objetivo? A avaliação de riscos é um processo no qual uma empresa deve identificar riscos de segurança para suas informações e determinar a probabilidade de ocorrência e seu impacto. Basicamente, a empresa deve reconhecer todos os possíveis problemas que podem afetar suas informações, com que probabilidade poderiam ocorrer e que consequências trariam. O objetivo da avaliação de riscos é descobrir quais controles são necessários para diminuir o risco. A seleção de controles é chamada de processo de tratamento de riscos; na ISO 27001, os controles são escolhidos com base no Anexo A, que especifica 133 controles.

    A avaliação de riscos é realizada por meio da identificação e da avaliação de ativos, vulnerabilidades e ameaças. Um ativo é tudo aquilo que tem valor para a empresa – hardware, software, pessoal, infraestrutura, dados (em diferentes formas e mídias), fornecedores e parceiros etc. Uma vulnerabilidade é um ponto fraco em um ativo, processo, controle etc., que poderia ser explorado por uma ameaça. Uma ameaça é qualquer coisa que possa danificar um sistema ou uma organização. Um exemplo de vulnerabilidade é a falta de um software de antivírus; uma ameaça relacionada é um vírus de computador.

    Sabendo de tudo isso, se sua organização é pequena, você realmente não precisa de uma ferramenta sofisticada para fazer a avaliação de riscos. Tudo o que você precisa é de uma planilha do Excel, uma relação abrangente de vulnerabilidades e ameaças e uma boa metodologia de avaliação de riscos. A principal tarefa, na verdade, é avaliar a probabilidade e o impacto, e isso não pode ser feito por nenhuma ferramenta – é algo que somente os proprietários dos ativos, com seu conhecimento sobre esses ativos, podem fazer.

    Então, onde você poderá obter essa relação e a metodologia? Se você tiver contratado um consultor, ele poderá fornecer esses documentos; caso contrário, existem modelos de relações disponíveis na internet, basta fazer uma pesquisa no Google. A metodologia não está disponível gratuitamente, mas você pode usar a norma ISO 27005 (ela descreve a avaliação e o tratamento de riscos em detalhes), ou você pode usar outros sites que vendam a metodologia. Tudo isso deve custar menos tempo e dinheiro do que comprar uma ferramenta de avaliação de riscos e aprender a usá-la.

    Uma boa metodologia deve conter um método para identificação de ativos, ameaças e vulnerabilidades, tabelas para marcar a probabilidade e os impactos, além de um método para calcular o risco e definir o nível aceitável desse risco. As relações devem conter pelo menos 30 vulnerabilidades e 30 ameaças. Algumas apresentam até algumas centenas de cada, mas provavelmente isso é um exagero para uma empresa pequena.

    O processo não é nada complicado, aqui estão os passos básicos para avaliação e tratamento:

    1. definir e documentar a metodologia (incluindo as relações), distribuí-la a todos os proprietários de ativos na organização
    2. organizar entrevistas com os proprietários de ativos durante a qual eles deverão identificar seus ativos e vulnerabilidades e ameaças relacionadas; na segunda etapa, peça a eles para avaliar a probabilidade e o impacto, caso ocorram riscos específicos
    3. unir os dados em uma única planilha, calcular os riscos e indicar quais riscos não são aceitáveis
    4. para cada risco que não for aceitável, escolher um ou mais controles do Anexo A da norma ISO 27001 e calcular qual seria o novo nível de risco após esses controles serem implementados

    Para concluir: avaliação e tratamento de riscos realmente são a base da segurança da informação/ISO 27001, mas isso não significa que precisam ser complicados. É possível fazer isso de forma simples, e seu bom senso é o que realmente importa.

    Para saber mais, faça o download gratuito deste Diagram of ISO 27001:2013 Risk Assessment and Treatment process.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001