Rhand Leal Uma das mudanças mais significantes na versão 2013 da ISO 27001, uma norma mundial para Sistemas de Gestão de Segurança da Informação, é que ela não prescreve mais nenhuma abordagem para o processo de avaliação de riscos. Enquanto ela ainda requer a adoção de uma abordagem de avaliação de risco baseada em processo (saiba mais aqui: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas), a obrigação de usar um modelo ativo-ameaça-vulnerabilidade na etapa de identificação de risco não mais existe.
Enquanto esta abordagem na norma prove mais Liberdade para as organizações escolherem a abordagem de identificação de risco que melhor se adequa às suas necessidades, a ausência de tal orientação é fonte de muita confusão para organizações sobre como abordar a identificação de riscos. Neste artigo, falarei sobre como a ISO 31010 (uma norma focada no processo de avaliação de riscos) pode ajudar você, ao apresentar algumas de suas abordagens de identificação de riscos que podem ser usadas para encontrar, reconhecer e descrever riscos de uma forma que é conforme com a ISO 27001.
A etapa de identificação de riscos
De acordo com a ISO 31010:2012 – Gestão de riscos — Técnicas de avaliação de riscos, o propósito da identificação de riscos é identificar o que poderia acontecer, ou que situações poderiam existir, que possam afetar o atingimento dos objetivos propostos. Considerando a segurança da informação, alguns exemplos práticos são:
- Um pico de energia pode causar a falha de uma unidade de armazenamento, levando a perda de dados;
- Falta de atenção pode ocasionar que um empregado envie um relatório para a pessoa errada, levando a uma divulgação não autorizada de informação;
- Uma mudança em condições ambientais pode levar um equipamento a fazer leituras erradas, levando ao comprometimento da integridade dos dados.
Uma vez que um risco seja identificado, a organização também deveria identificar quaisquer controles existentes afetando aquele risco, e proceder para as próximas etapas do processo de avaliação de riscos (análise de risco e avaliação de risco).
Metodologia de identificação de risco
Para ser útil, uma descrição de risco deve conter alguns elementos:
- Fontes de risco: elementos no cenário que, isolados ou combinados, têm o potencial de afetar os resultados esperados (e.g., a eletricidade para energizar a unidade de armazenamento)
- Evento: um conjunto específico de circunstâncias (e.g., a falha da unidade de armazenamento)
- Causa: a condição inicial que inicia o evento (e.g., o pico de energia)
- Consequência: o resultado do evento afetando o objetivo (e.g., a perda de dados, afetando a disponibilidade da informação)
Ao fazer uso de uma metodologia para identificar riscos, você aumenta as chances de identificar todos estes itens, seja pela coleta de evidência verificável, aplicação de conhecimento especializado, ou de qualquer outra forma estruturada. Considerando isto, e as metodologias de identificação de risco apresentadas pela ISO 31010, posso destacar estas metodologias de identificação de riscos:
Brainstorming: uma técnica de criatividade em grupo para a coleta de uma grande quantidade de informação para se encontrar uma conclusão para uma situação específica. Por sua forte ênfase na imaginação, ela é útil para se identificar riscos em situações que requerem resposta rápida e tem poucos dados formais disponíveis (e.g., seleção das medidas menos danosas para se contar um ataque em andamento), ou são novas para a organização, como riscos envolvendo a entrada em um novo segmento de mercado.
Entrevista: uma conversa onde questões pré-definidas são apresentadas para um entrevistado para entender sua percepção de uma dada situação (e.g., tendências de mercado, desempenho de processos, expectativas de produto, etc.), e a partir daí identificar riscos considerando sua perspectiva. É recomendada quando opiniões particulares detalhadas são requeridas (e.g., do CEO, CFO, de clientes, etc.).
Método Delphi: uma técnica colaborativa anônima usada para combinar diferentes opiniões de especialistas de uma forma confiável e não tendenciosa em direção a um consenso (e.g., seleção de um fornecedor de segurança, definição de uma estratégia de proteção). Ela difere do brainstorming porque trabalha para eliminar soluções durante sua realização, ao invés de criar novas. Deveria ser considerada em situações onde as características dos participantes podem afetar as opiniões de outros (e.g., todos concordam / discordam de alguém apenas por conta de seu cargo).
Lista de verificação: uma técnica onde uma lista de itens é elaborada para assegurar que os tópicos mais comuns, assim como os mais críticos, sobre o assunto tratado não sejam esquecidos durante a identificação de riscos (e.g., falas comuns no desenvolvimento de software, ou proteções requeridas por contrato). Isto aumenta a consistência e completude da identificação de riscos. Seu uso é recomendado nos casos onde informação histórica, referências se mercado, e conhecimento de situações prévias encontra-se largamente disponível.
Análise de cenário: metodologia que usa modelos descrevendo possíveis cenários futuros para identificar riscos considerando possíveis resultados, estratégias e ações que levam aos resultados, e possíveis implicações para o negócio. Uma abordagem comum na segurança da informação é, por exemplo, o uso de cenários permissivos, restritivos e balanceados para se identificar riscos com controle de acesso. Ela deveria ser considerada em situações onde múltiplas soluções estão disponíveis ou os resultados podem apresentar grande variação.
E quanto a abordagem ativo-ameaça-vulnerabilidade?
Embora a metodologia ativo-ameaça-vulnerabilidade não seja obrigatória na norma ISO 27001:2013, ela ainda é uma abordagem válida. Organizações que já a implementaram e a consideram apropriada para seus propósitos podem continuar a usá-la normalmente. O principal aspecto para sua adoção é a disponibilidade de uma base de dados de ativos confiável (saiba mais aqui: Avaliação de riscos da ISO 27001: Como combinar ativos, ameaças e vulnerabilidades).
Não há bala de prata na identificação de riscos
Por muitos anos, o modelo de identificação de riscos ativo-ameaça-vulnerabilidade tem dominado o processo de avaliação de risco. Em minha opinião, isto é mais devido a ele ser explicitamente mencionado na versão ISO 27001:2005, do que pela eficácia de sua aplicação em qualquer situação. E eu entendo que diferentes abordagens poderão se sobressair com o tempo.
A identificação de riscos é uma atividade complexa, dependendo de muitos elementos para se atingir resultados úteis. Pela identificação apropriada de ferramentas que podem tirar vantagem da situação e informações disponíveis, sua organização pode se concentrar nos riscos que realmente importam para o seu negócio e resultados, aplicando recursos de uma forma mais eficiente.
Para saber mais sobre identificação de riscos e o processo de avaliação de riscos, tente este webinar gratuito: The basics of risk assessment and treatment according to ISO 27001.
Nós agradecemos a Rhand Leal pela tradução para o português.
