DESCONTO BLACK FRIDAY
Ganhe 30% de desconto em kits de documentos, exames de cursos e livros.
Oferta por tempo limitado – termina em 28 de novembro de 2022
Use o código promocional:
30OFFBLACK
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Como organizar a avaliação de riscos inicial de acordo com a ISO 27001 e ISO 22301

    Geralmente, a maior dor de cabeça que as organizações tem ao iniciar a implementação da ISO 22301, e especialmente a da ISO 27001, é a avaliação de riscos. E, curiosamente, tal dor de cabeça acontece apenas ao realizá-la pela primeira vez – o que significa que a avaliação de riscos não tem de ser difícil uma vez que você saiba com o fazê-la.

    Então, como se preparar para tornar esta dor de cabeça menor?

    Fazer sozinho ou contratar um consultor?

    Uma vez que a avaliação e o tratamento de riscos consomem um tempo razoável e são complexas, você pode decidir se estas atividades serão gerenciadas pelo Gerente do projeto / Gerente de segurança da informação / Gerente de continuidade do negócio sozinho, ou com a ajuda de um especialista contratado (ex.: um consultor). Um consultor poderia ser de grande ajuda para organizações maiores, não apenas para guiar o coordenador através de todo o processo, mas também para realizar parte do processo – ex.: um consultor poderia realizar os workshops e/ou entrevistas, compilar todas as informações, escrever relatórios, etc. , enquanto o coordenador iria gerenciar todo o processo e coordenar as pessoas dentro da organização. Leia também 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.

    Organizações maiores geralmente terão equipes de projeto para a implementação da ISO 27001/ISO 22301, então esta mesma equipe de projeto participará do processo de avaliação de riscos – membros da equipe do projeto poderiam ser aqueles realizando as entrevistas.

    Organizações menores não precisam ter um consultor ou uma equipe de projeto – sim, o gerente do projeto terá que receber alguma capacitação inicial, mas com a metodologia de avaliação de riscos adequada, este processo pode ser realizado sem a ajuda de um especialista.

    Você deveria utilizar uma ferramenta de avaliação de riscos?

    Ferramentas podem acelerar o processo de avaliação e tratamento de riscos porque elas em geral possuem catálogos incorporados de ativos, ameaças e vulnerabilidades; são capazes de compilar resultados de forma semiautomática; e a produção de relatórios também é mais fácil – opções estas que as tornam uma escolha muito boa para organizações maiores.

    Contudo, para organizações menores, o preço de tais ferramentas poderia ser um obstáculo, embora em minha opinião uma barreira ainda maior é o fato de que tais ferramentas são em geral muito complexas para organizações menores. Em outras palavras, o tempo necessário para aprender a trabalhar com tais ferramentas é em geral muito maior do que o que levaria para lidar com uma dúzia de planilhas eletrônicas. Sem mencionar que tais ferramentas geralmente necessitam que você siga uma metodologia de avaliação de riscos em geral complexa, o que poderia ser uma sobrecarga para organizações menores.

    Em outras palavras, se você está em uma organização pequena, pense duas vezes antes de adquirir qualquer ferramenta – uma planilha eletrônica ainda é uma ferramenta muito boa se você não é muito ambicioso. (Se você usa planilhas eletrônicas, tenha certeza de utilizar alguns catálogos – veja aqui um exemplo de catálogo de ameças e vulnerabilidades.)

    Opções para a coleta de informações

    avaliação de riscos significa que você terá que obter uma quantidade substancial de entradas de seus empregados – essencialmente, existem 3 formas de fazer isso:

    a) Realizar a avaliação de riscos através de entrevistas – isto significa que o coordenador entrevistará pessoa(s) responsável(is) por cada departamento, onde ele explicará primeiro o propósito da avaliação de riscos, e irá se certificar que cada decisão da pessoa responsável sobre o nível de risco (consequência e probabilidade) faz sentido e não seja tendenciosa.

    b) Realizar workshops com as pessoas responsáveis – em tais workshops o coordenador explica a todas as pessoas responsáveis o propósito da sobre o nível de risco , e através de vários exemplos reais, mostra como identificar riscos e avaliar/analisar seus níveis.

    c) Enviar planilhas com explicações detalhadas – aqui você não auxilia as pessoas responsáveis diretamente, mas envia a elas a metodologia de sobre o nível de risco ou algum outro tipo de instruções sobre como preencher eles mesmos as planilhas de avaliação de riscos.

    A última opção é provavelmente a mais fácil da perspectiva do coordenador, mas o problema é que a informação coletada desta forma terá baixa qualidade. Se o processo de avaliação de riscos não é muito claro para você, ele certamente será menos claro ainda para os outros empregados em sua organização, não importa o quão boa sua explicação escrita seja.

    Claro que, realizar entrevistas provavelmente trará melhores resultados; contudo, esta opção é frequentemente impraticável porque requer um grande investimento do tempo do coordenador. Desta forma, realizar workshops é frequentemente a melhor solução.

    Quem decide o nível do risco?

    A decisão sobre o nível do risco (consequência e probabilidade) deveriam sempre ser deixadas para a pessoa responsável pelas atividades – o coordenador nunca irá conhecer os ativos, processos e o ambiente o suficiente para tomar tais decisões, mas as pessoas trabalhando lá certamente terão uma ideia melhor.

    Contudo, o coordenador tem outra importante função durante o processo de avaliação de riscos – uma vez que ele comece a receber os resultados das avaliações de riscos, ele deve se certificar que estes resultados fazem sentido e que os critérios entre diferentes departamentos são uniformes. Mesmo que os workshops tenham sido realizados, ou que uma explicação tenha sido dada durante as entrevistas com a pessoa responsável, eles sempre tenderão a dar uma importância maior (maiores riscos) para seus próprios departamentos – em tais casos, o coordenador deve questionar tais avaliações e solicitar a estas pessoas que reconsiderem suas decisões.

    Então, estas foram as preparações que você precisa fazer: uma vez iniciada a avaliação de riscos você deveria seguir estes passos: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.

    E não se esqueça: uma boa preparação é metade do trabalho feito.

    Para saber mais, veja gratuitamente este Diagram of ISO 27001:2013 Risk Assessment and Treatment process.

    Nós agradecemos a Rhand Leal pela tradução para o Português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan: