Ao contrário da crença popular de que a ISO 31000 é agora mandatória para a implementação da ISO 27001, isto não é verdade. Contudo, a ISO 31000 pode ser bastante útil para a implementação da ISO 27001 – ela não apenas oferece um bom direcionamento, mas também dá um contexto estratégico para gerenciar riscos (de segurança da informação).
Mas primeiro vamos começar pelo básico…
O que é a ISO 31000?
A ISO 31000 provê direcionamento sobre como organizar a gestão de riscos em organizações – a norma não foca apenas em riscos de segurança da informação; ela pode ser utilizada para quaisquer tipos de risco, incluindo riscos relacionados a continuidade de negócio, mercado, moedas, crédito, operacionais e outros.
Ela provê um glossário detalhado de termos relacionados a gestão de riscos, explica os princípios básicos da gestão de riscos, e provê uma estrutura geral, incluindo um ciclo PDCA (planejamento, implementação, monitoramento e melhoria – Plan/Do/Check/Act). Contudo, embora seja aplicável a qualquer tipo de organização e a qualquer tipo de risco, ela não fornece uma metodologia específica para, por exemplo, gestão de riscos de segurança da informação.
O que é a ISO 27001?
A ISO 27001 é uma norma que descreve como uma organização deveria organizar sua segurança da informação (leia este artigo para detalhes sobre a ISO 27001) – ela está baseada em princípios de gestão de risco, o que significa que uma organização deveria selecionar salvaguardas (controles de segurança) apenas se existirem riscos inaceitáveis que precisem ser tratados.
Desta forma, você pode considerar a segurança da informação como sendo parte da gestão de riscos de sua organização como mostrado abaixo:
Como você pode ver, a segurança da informação se sobrepõem com a cyber segurança, e é fortemente relacionada a tecnologia da informação, e é parte integral da gestão de riscos de sua organização.
Relacionamento entre a ISO 31000 e a ISO 27001
A versão anterior da ISO 27001 (de 2005) não mencionava a ISO 31000, mas a versão 2013 menciona, e é isto que tem causado confusão – muitas pessoas pensam que devem implementar algo novo na ISO 27001 por conta a ISO 31000, mas isso não é verdade.
Vamos ver o que exatamente a ISO 27001 diz sobre a ISO 31000:
Na cláusula 4.1, a ISO 27001 menciona que você poderia considerar contextos externos e internos da organização de acordo com a cláusula 5.3 da ISO 31000. E, de fato, as cláusulas 5.3.2 e 5.3.3 da ISO 31000 são muito úteis neste respeito porque elas proveem direcionamento valiosos em contextos externos e internos; contudo, a ISO 27001 menciona a ISO 31000 apenas em uma nota, o que significa que estes direcionamentos não são mandatórios.
Na cláusula 6.1.3, a ISO 27001 menciona que a gestão da segurança da informação na ISO 27001 esta alinhada com a ISO 31000. Assim, a ISO 27001 não diz que você precisa implementar a avaliação e o tratamento de riscos de acordo com a ISO 31000 – ela apenas diz que todos os requisitos da ISO 27001 já estão em conformidade com a ISO 31000. Desta forma, você pode implementar a gestão de riscos da forma que desejar, contanto que esteja em conformidade com a ISO 27001. (Veja também este webinar: The basics of risk assessment and treatment according to ISO 27001.)
E isso é tudo – não há nada mais além disso.
ISO 31000 vs. ISO 27005
Como mencionado antes, a ISO 31000 não fornece nenhum conselho específico sobre avaliação de riscos de segurança da informação e tratamento de riscos; para este propósito, a ISO 27005 – uma norma que dá direcionamentos para a avaliação e tratamento de riscos de segurança da informação – é muito melhor. Ela dá a você o conhecimento para identificar ativos, ameaças e vulnerabilidades, para avaliar consequências e probabilidades, para calcular riscos, etc. E ela está completamente em conformidade com a ISO 31000.
Então, por que você deveria usar a ISO 31000? Além dos direcionamento já mencionados anteriormente para a identificação dos contextos internos e externos, seu maio valor está em prover uma estrutura para gerenciar todos os tipos de riscos em nível corporativo – ela pode ajudar você a transforma a gestão de riscos de um assunto obscuro e difícil de entender, para um pensamento que seja facilmente entendível por todos na organização.
Uma vez que a ISO 31000 descreve como abordar a gestão de riscos estrategicamente e de forma abrangente, você pode considerar esta norma como uma excelente estrutura para a gestão de riscos empresarial (Enterprise Risk Management – ERM). Assim, uma vez que você tenha dominado a gestão de riscos de segurança da informação, você pode usá-la como base para construir a ERM.
Veja aqui um exemplo da Metodologia de avaliação de riscos da ISO 27001 alinhada a ISO 31000.
Nós agradecemos a Rhand Leal pela tradução para o português.