Apetite ao risco e sua influência na implementação da ISO 27001

A cláusula 6.1.2 (a) (1) da ISO 27001:2013 declara que uma organização deve estabelecer e manter critérios de risco de segurança da informação, e estes devem incluir critérios para aceitação de risco. Uma vez que estes critérios tem uma influencia direta sobre como os riscos organizacionais são tratados, defini-los é crítico para fazer com que a ISO 27001 adicione valor ao negócio. Esta situação nos trás duas questões:

  • Como definir critérios que sejam relevantes para a organização?
  • Como definir critérios para aceitação do risco?

Enquanto a primeira questão pode ser respondida pelas cláusulas 4.1 e 4.2 da ISO 27001 (entendendo a organização, seu contexto, e as necessidades e expectativas das partes interessadas), a segunda questão requer um conceito por vezes ignorado devido a natureza protetora da ISO 27001: o apetite ao risco. Mas antes de falarmos sobre este conceito, vamos rever nosso entendimento de critério de risco e aceitação de risco.

Critério de risco e aceitação de risco

A ISO 31000 define critério de risco como termos de referência a serem usados para avaliar o significado ou importância dos riscos de uma organização. Valores financeiros e de participação de mercado (como números absolutos ou percentuais) são exemplos de critérios de risco.

Para a ISO 27001 e ISO 27005, a aceitação de risco é parte do processo de tomada de decisão do tratamento de risco. A aceitação de risco declara a condição que você utiliza para decidir se você pode conviver com um risco em particular. Para valores financeiros como critérios de risco, uma certa quantidade de dólares (milhares ou milhões) é um exemplo de condição de aceitação de risco.

Apetite ao risco

O apetite ao risco se refere a quanto de risco uma organização esta disposta a correr para atingir seus objetivos. Se valores financeiros são seu critério de risco, a faixa de valores que você está disposto a perder em busca de um objetivo reflete o seu apetite ao risco. Na verdade, o setor financeiro é o melhor exemplo de uso do conceito de apetite ao risco.

Este conceito de aceitar riscos de boa vontade pode parecer estranho quando associado com a ISO 27001, e isto é porque o conceito de risco mais associado com a ISO 27001 está relacionado a prevenção de perda, enquanto o apetite ao risco também está relacionado a ganhos em potencial que a organização pode obter por aceitar um risco específico. Mas, quando consideramos que apenas riscos diretamente relacionados a requisitos legais (e.g., leis e regulamentações) possuem limites obrigatórios (máximos ou mínimos) que não podem ser excedidos pela organização, aceitar outros tipos de riscos está limitado apenas pelo que a organização define como aceitável.

Um exemplo prático, não relacionado diretamente a segurança da informação, são opções de investimento para o seu dinheiro. Pessoas com baixo apetite ao risco talvez prefira opções com taxas menores mas que tem maior chance de atingir estas taxas. Por outro lado, pessoas com maior apetite ao risco aceitam opções de investimento que podem até mesmo resultar em perdas, mas que podem gerar resultados maiores em caso de sucesso. Este mesmo conceito pode ser aplicada a proteção da informação em conformidade com a ISO 27001.

Como eu determino o apetite ao risco de uma organização?

O apetite ao risco é único para cada organização, mas ele pode ser identificado por alguns parâmetros e fontes comuns. Podemos dizer que o apetite ao risco de uma organização pode ser descrito por:

  • Aspectos associados a assuntos relevantes para a organização (e.g., normas, leis, políticas, contratos, etc.);
  • Os valores, políticas, estratégias e objetivos da organização (e.g., comprometimento com o cliente, ser a mais inovadora, etc.);
  • Assuntos de interesse de partes interessadas (e.g., lucro, participação de mercado, etc.);
  • O estilo da gestão (não um estilo pessoal, mas o estilo da equipe de gestão como um todo) (e.g., autocrático, consultivo, democrático, etc.).

Pelos exemplos citados acima você pode ter percebido que o apetite ao risco é algo que equilibra valores qualitativos e quantitativos, e isto é porque o apetite ao risco é mais um “estado mental” do que um modelo ou uma fórmula. As recompensas envolvidas dependerão de fatores que podem variar para cada situação, e alguns deles muito frequentemente não são documentados (e.g., interesses de partes interessadas e estilo de gestão).

Como aplicar o apetite ao risco a ISO 27001

Em geral, a implementação da ISO 27001 usa o conceito de apetite ao risco implicitamente, através da matriz de avaliação de risco probabilidade vs. impacto, definindo riscos como aceitáveis (podemos aceitar estes riscos como eles são), gerenciáveis (ações de controle deveriam ser consideradas), e inaceitáveis (ações de controle devem ser implementadas). Mesmo que esta abordagem tenha benefícios relacionados a facilidade de uso, algumas considerações devem ser tomadas ao se aplicar o conceito de apetite ao risco:

  • Com um apetite ao risco alto, mesmo um risco avaliado como alto pode parecer atraente se o ganho potencial é alto o suficiente;
  • Um maior apetite ao risco pode expor você a mais riscos, ao fazer com que você use controles menos restritos em busca de aproveitar uma oportunidade específica, então verificar se os ganhos esperados pela aceitação do risco podem cobrir perdas intermediárias e ainda assim entregar recompensas consideradas desejáveis.

Assim, como integrar ao seu SGSI estes riscos que possuem tratamentos que são diferentes da forma normal com que você trata riscos, sem comprometer a conformidade com a ISO 27001? Como usar o apetite ao risco no SGSI da sua organização? Para fazer isso você deveria considerar:

  • Documentação adequada das decisões em análises críticas [cláusula 9.3 (e)] que apoiam as decisões tomadas sobre a mudança no nível de aceitação de risco e/ou nos planos de tratamento normalmente usados para controlar riscos específicos [cláusula 6.1.3 (e)] (mudando ou excluindo controles, considerando os resultados esperados);
  • Ajustes na Declaração de Aplicabilidade [cláusula 6.1.3 (d)], identificando condições específicas para o uso de controles menos restritivos.

Desta forma, com estes ajustes você pode adotar em seu SGSI o conceito de apetite ao risco, e fazer uso da segurança da informação não apenas para prevenir perdas, mas também como uma ferramenta para usar informações e riscos de maneira controlada para aproveitar oportunidades de negócio ou minimizar custos relacionados a adoção de controles, agregando mais valor ao negócio com a ISO 27001.

Clique aqui para ver uma amostra gratuita da  Metodologia de avaliação e tratamento de riscos.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001