• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Como organizar a avaliação de riscos inicial de acordo com a ISO 27001 e ISO 22301

    Geralmente, a maior dor de cabeça que as organizações tem ao iniciar a implementação da ISO 22301, e especialmente a da ISO 27001, é a avaliação de riscos. E, curiosamente, tal dor de cabeça acontece apenas ao realizá-la pela primeira vez – o que significa que a avaliação de riscos não tem de ser difícil uma vez que você saiba com o fazê-la.

    Então, como se preparar para tornar esta dor de cabeça menor?

    Fazer sozinho ou contratar um consultor?

    Uma vez que a avaliação e o tratamento de riscos consomem um tempo razoável e são complexas, você pode decidir se estas atividades serão gerenciadas pelo Gerente do projeto / Gerente de segurança da informação / Gerente de continuidade do negócio sozinho, ou com a ajuda de um especialista contratado (ex.: um consultor). Um consultor poderia ser de grande ajuda para organizações maiores, não apenas para guiar o coordenador através de todo o processo, mas também para realizar parte do processo – ex.: um consultor poderia realizar os workshops e/ou entrevistas, compilar todas as informações, escrever relatórios, etc. , enquanto o coordenador iria gerenciar todo o processo e coordenar as pessoas dentro da organização. Leia também 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.

    Organizações maiores geralmente terão equipes de projeto para a implementação da ISO 27001/ISO 22301, então esta mesma equipe de projeto participará do processo de avaliação de riscos – membros da equipe do projeto poderiam ser aqueles realizando as entrevistas.

    Organizações menores não precisam ter um consultor ou uma equipe de projeto – sim, o gerente do projeto terá que receber alguma capacitação inicial, mas com a metodologia de avaliação de riscos adequada, este processo pode ser realizado sem a ajuda de um especialista.

    Você deveria utilizar uma ferramenta de avaliação de riscos?

    Ferramentas podem acelerar o processo de avaliação e tratamento de riscos porque elas em geral possuem catálogos incorporados de ativos, ameaças e vulnerabilidades; são capazes de compilar resultados de forma semiautomática; e a produção de relatórios também é mais fácil – opções estas que as tornam uma escolha muito boa para organizações maiores.

    Contudo, para organizações menores, o preço de tais ferramentas poderia ser um obstáculo, embora em minha opinião uma barreira ainda maior é o fato de que tais ferramentas são em geral muito complexas para organizações menores. Em outras palavras, o tempo necessário para aprender a trabalhar com tais ferramentas é em geral muito maior do que o que levaria para lidar com uma dúzia de planilhas eletrônicas. Sem mencionar que tais ferramentas geralmente necessitam que você siga uma metodologia de avaliação de riscos em geral complexa, o que poderia ser uma sobrecarga para organizações menores.

    Em outras palavras, se você está em uma organização pequena, pense duas vezes antes de adquirir qualquer ferramenta – uma planilha eletrônica ainda é uma ferramenta muito boa se você não é muito ambicioso. (Se você usa planilhas eletrônicas, tenha certeza de utilizar alguns catálogos – veja aqui um exemplo de catálogo de ameças e vulnerabilidades.)

    Opções para a coleta de informações

    avaliação de riscos significa que você terá que obter uma quantidade substancial de entradas de seus empregados – essencialmente, existem 3 formas de fazer isso:

    a) Realizar a avaliação de riscos através de entrevistas – isto significa que o coordenador entrevistará pessoa(s) responsável(is) por cada departamento, onde ele explicará primeiro o propósito da avaliação de riscos, e irá se certificar que cada decisão da pessoa responsável sobre o nível de risco (consequência e probabilidade) faz sentido e não seja tendenciosa.

    b) Realizar workshops com as pessoas responsáveis – em tais workshops o coordenador explica a todas as pessoas responsáveis o propósito da sobre o nível de risco , e através de vários exemplos reais, mostra como identificar riscos e avaliar/analisar seus níveis.

    c) Enviar planilhas com explicações detalhadas – aqui você não auxilia as pessoas responsáveis diretamente, mas envia a elas a metodologia de sobre o nível de risco ou algum outro tipo de instruções sobre como preencher eles mesmos as planilhas de avaliação de riscos.

    A última opção é provavelmente a mais fácil da perspectiva do coordenador, mas o problema é que a informação coletada desta forma terá baixa qualidade. Se o processo de avaliação de riscos não é muito claro para você, ele certamente será menos claro ainda para os outros empregados em sua organização, não importa o quão boa sua explicação escrita seja.

    Claro que, realizar entrevistas provavelmente trará melhores resultados; contudo, esta opção é frequentemente impraticável porque requer um grande investimento do tempo do coordenador. Desta forma, realizar workshops é frequentemente a melhor solução.

    Quem decide o nível do risco?

    A decisão sobre o nível do risco (consequência e probabilidade) deveriam sempre ser deixadas para a pessoa responsável pelas atividades – o coordenador nunca irá conhecer os ativos, processos e o ambiente o suficiente para tomar tais decisões, mas as pessoas trabalhando lá certamente terão uma ideia melhor.

    Contudo, o coordenador tem outra importante função durante o processo de avaliação de riscos – uma vez que ele comece a receber os resultados das avaliações de riscos, ele deve se certificar que estes resultados fazem sentido e que os critérios entre diferentes departamentos são uniformes. Mesmo que os workshops tenham sido realizados, ou que uma explicação tenha sido dada durante as entrevistas com a pessoa responsável, eles sempre tenderão a dar uma importância maior (maiores riscos) para seus próprios departamentos – em tais casos, o coordenador deve questionar tais avaliações e solicitar a estas pessoas que reconsiderem suas decisões.

    Então, estas foram as preparações que você precisa fazer: uma vez iniciada a avaliação de riscos você deveria seguir estes passos: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.

    E não se esqueça: uma boa preparação é metade do trabalho feito.

    Para saber mais, veja gratuitamente este Diagram of ISO 27001:2013 Risk Assessment and Treatment process.

    Nós agradecemos a Rhand Leal pela tradução para o Português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001