Geralmente, a maior dor de cabeça que as organizações tem ao iniciar a implementação da ISO 22301, e especialmente a da ISO 27001, é a avaliação de riscos. E, curiosamente, tal dor de cabeça acontece apenas ao realizá-la pela primeira vez – o que significa que a avaliação de riscos não tem de ser difícil uma vez que você saiba com o fazê-la.
Então, como se preparar para tornar esta dor de cabeça menor?
Fazer sozinho ou contratar um consultor?
Uma vez que a avaliação e o tratamento de riscos consomem um tempo razoável e são complexas, você pode decidir se estas atividades serão gerenciadas pelo Gerente do projeto / Gerente de segurança da informação / Gerente de continuidade do negócio sozinho, ou com a ajuda de um especialista contratado (ex.: um consultor). Um consultor poderia ser de grande ajuda para organizações maiores, não apenas para guiar o coordenador através de todo o processo, mas também para realizar parte do processo – ex.: um consultor poderia realizar os workshops e/ou entrevistas, compilar todas as informações, escrever relatórios, etc. , enquanto o coordenador iria gerenciar todo o processo e coordenar as pessoas dentro da organização. Leia também 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.
Organizações maiores geralmente terão equipes de projeto para a implementação da ISO 27001/ISO 22301, então esta mesma equipe de projeto participará do processo de avaliação de riscos – membros da equipe do projeto poderiam ser aqueles realizando as entrevistas.
Organizações menores não precisam ter um consultor ou uma equipe de projeto – sim, o gerente do projeto terá que receber alguma capacitação inicial, mas com a metodologia de avaliação de riscos adequada, este processo pode ser realizado sem a ajuda de um especialista.
Você deveria utilizar uma ferramenta de avaliação de riscos?
Ferramentas podem acelerar o processo de avaliação e tratamento de riscos porque elas em geral possuem catálogos incorporados de ativos, ameaças e vulnerabilidades; são capazes de compilar resultados de forma semiautomática; e a produção de relatórios também é mais fácil – opções estas que as tornam uma escolha muito boa para organizações maiores.
Contudo, para organizações menores, o preço de tais ferramentas poderia ser um obstáculo, embora em minha opinião uma barreira ainda maior é o fato de que tais ferramentas são em geral muito complexas para organizações menores. Em outras palavras, o tempo necessário para aprender a trabalhar com tais ferramentas é em geral muito maior do que o que levaria para lidar com uma dúzia de planilhas eletrônicas. Sem mencionar que tais ferramentas geralmente necessitam que você siga uma metodologia de avaliação de riscos em geral complexa, o que poderia ser uma sobrecarga para organizações menores.
Em outras palavras, se você está em uma organização pequena, pense duas vezes antes de adquirir qualquer ferramenta – uma planilha eletrônica ainda é uma ferramenta muito boa se você não é muito ambicioso. (Se você usa planilhas eletrônicas, tenha certeza de utilizar alguns catálogos – veja aqui um exemplo de catálogo de ameças e vulnerabilidades.)
Opções para a coleta de informações
avaliação de riscos significa que você terá que obter uma quantidade substancial de entradas de seus empregados – essencialmente, existem 3 formas de fazer isso:
a) Realizar a avaliação de riscos através de entrevistas – isto significa que o coordenador entrevistará pessoa(s) responsável(is) por cada departamento, onde ele explicará primeiro o propósito da avaliação de riscos, e irá se certificar que cada decisão da pessoa responsável sobre o nível de risco (consequência e probabilidade) faz sentido e não seja tendenciosa.
b) Realizar workshops com as pessoas responsáveis – em tais workshops o coordenador explica a todas as pessoas responsáveis o propósito da sobre o nível de risco , e através de vários exemplos reais, mostra como identificar riscos e avaliar/analisar seus níveis.
c) Enviar planilhas com explicações detalhadas – aqui você não auxilia as pessoas responsáveis diretamente, mas envia a elas a metodologia de sobre o nível de risco ou algum outro tipo de instruções sobre como preencher eles mesmos as planilhas de avaliação de riscos.
A última opção é provavelmente a mais fácil da perspectiva do coordenador, mas o problema é que a informação coletada desta forma terá baixa qualidade. Se o processo de avaliação de riscos não é muito claro para você, ele certamente será menos claro ainda para os outros empregados em sua organização, não importa o quão boa sua explicação escrita seja.
Claro que, realizar entrevistas provavelmente trará melhores resultados; contudo, esta opção é frequentemente impraticável porque requer um grande investimento do tempo do coordenador. Desta forma, realizar workshops é frequentemente a melhor solução.
Quem decide o nível do risco?
A decisão sobre o nível do risco (consequência e probabilidade) deveriam sempre ser deixadas para a pessoa responsável pelas atividades – o coordenador nunca irá conhecer os ativos, processos e o ambiente o suficiente para tomar tais decisões, mas as pessoas trabalhando lá certamente terão uma ideia melhor.
Contudo, o coordenador tem outra importante função durante o processo de avaliação de riscos – uma vez que ele comece a receber os resultados das avaliações de riscos, ele deve se certificar que estes resultados fazem sentido e que os critérios entre diferentes departamentos são uniformes. Mesmo que os workshops tenham sido realizados, ou que uma explicação tenha sido dada durante as entrevistas com a pessoa responsável, eles sempre tenderão a dar uma importância maior (maiores riscos) para seus próprios departamentos – em tais casos, o coordenador deve questionar tais avaliações e solicitar a estas pessoas que reconsiderem suas decisões.
Então, estas foram as preparações que você precisa fazer: uma vez iniciada a avaliação de riscos você deveria seguir estes passos: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.
E não se esqueça: uma boa preparação é metade do trabalho feito.
Para saber mais, veja gratuitamente este Diagram of ISO 27001:2013 Risk Assessment and Treatment process.
Nós agradecemos a Rhand Leal pela tradução para o Português.