Dejan Kosutic Muitas pessoas pensam que a avaliação de riscos é a parte mais difícil da implementação da ISO 27001 – verdade, a avaliação de riscos é provavelmente a mais complexa, mas o tratamento de riscos é definitivamente a mais estratégica e mais onerosa.
O propósito do tratamento de riscos parece bastante simples: controlar os riscos identificados durante a avaliação de riscos; em muitos casos isto significaria diminuir o risco pela redução da probabilidade de um incidente (e.g., pelo uso de materiais de construção não inflamáveis), e/ou reduzir o impacto em ativos (e.g., pelo uso de sistemas automáticos de supressão de incêndio). Durante o tratamento de risco as organizações deveriam focar naqueles riscos que não são aceitáveis; de outra forma, seria difícil definir prioridade e financiar a mitigação de todos os riscos identificados.
Veja também: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.
As 4 opções de tratamento mais comuns
Uma vez que você tenha uma lista de riscos inaceitáveis, você tem que ir de um por um e decidir como trata-los – geralmente, estas opções são aplicadas:
- Diminuir o risco – esta opção é a mais comum, e ela inclui a implementação de salvaguardas (controles) – como sistemas de supressão de incêndio, etc.
- Evitar o risco – parar de realizar certas tarefas ou processos se eles incorrem em riscos que são simplesmente muito grandes para mitigar com quaisquer outras opções – e.g., você pode decidir banir o uso de laptops fora das instalações da empresa se o risco de acesso não autorizado para estes laptops é muito alto (porque, e.g., tais comprometimentos poderiam paralisar completamente a infraestrutura de TI que você está usando).
- Compartilhar o risco – isto significa você transferir o risco para outra parte – e.g., você compra uma apólice de seguro para o seu prédio contra incêndio, e assim você transfere parte do seu risco financeiro para uma companhia de seguro. Infelizmente, esta opção não tem qualquer influência no incidente em si, então a melhor estratégia é usar esta opção em conjunto com opções 1) e 2).
- Reter o risco – esta é a opção menos desejada, e significa que sua organização aceita o risco sem fazer nada a respeito. Esta opção deveria ser usada apenas se os custos de mitigação forem maiores do que o dano que um incidente poderia causar.
Diminuir os riscos é a opção mais comum para o tratamento de riscos, e para este propósito os controles do Anexo A da ISO 27001 são usados (e quaisquer outros controles que uma organização entende como apropriado). Veja aqui como os controles são organizados: Visão geral do Anexo A da ISO 27001:2013.
Antes de você iniciar o tratamento de riscos
Antes de iniciar o processo de tratamento de risco, você deveria estar ciente das principais entradas: estas são a Metodologia de Gestão de Riscos e riscos inaceitáveis da avaliação de riscos; contudo, uma entrada adicional também deveria ser o orçamento disponível para o ano corrente, porque muito frequentemente a mitigação irá requerer um investimento.
Quando da seleção de novos controles, basicamente existem três tipos de controles:
- Definir novas regras: regras são documentadas através de planos, políticas, procedimentos, instruções, etc., embora você não tenha que documentar alguns processos menos complexos.
- Implementar novas tecnologias: por exemplo, sistemas de backup, locais de recuperação de desastre para data centers alternativos, etc.
- Mudar a estrutura organizacional: em alguns casos, você precisará introduzir uma nova função de trabalho, ou mudar as responsabilidades de uma posição existente.
Decidindo quais controles selecionar
O tratamento de riscos é uma etapa onde você normalmente não incluiria um grupo muito grande de pessoas – você terá que fazer sessões de brainstorming sobre cada opção de tratamento com especialistas de sua organização como foco em certas áreas. Por exemplo, se o tratamento tem a ver com TI, você falará como a equipe de TI; se é sobre novos treinamentos, você falará como os recursos humanos, etc.
Claro, a decisão final sobre alguma nova opção de tratamento irá requerer uma decisão do nível de gestão apropriado – algumas vezes o CISO será capaz de tomar tais decisões, algumas vezes será sua equipe de projeto, algumas vezes você terá que ir para o chefe do departamento encarregado de uma área em particular (e.g., chefe do departamento legal se você quer solicitar cláusulas adicionais nos contratos com seus parceiros), ou talvez o nível executivo para investimentos maiores. Se você tem dúvidas com relação a quem pode decidir sobre o quê, consulte o patrocinador do seu projeto.
O processo de tratamento de riscos é muito frequentemente documentado de forma similar ao processo de avaliação de riscos – através de planilhas Excel ou uma ferramenta, e finalmente, no Relatório de Tratamento de Riscos. Um exemplo de uma tabela de tratamento de riscos pode se parecer com algo igual a isto:
| Ativo | Ameaça | Vulnerabilidade | Opção de tratamento | Meios de implementação |
| Servidor | Incêndio | Ausência de extintor de incêndio | 1) Diminuir o risco + 2) Compartilhar o risco | Comprar extintor de incêndio + comprar apólice de seguro contra incêndio |
| Laptop | Acesso por pessoas não autorizadas | Senha inadequada | 1) Diminuir o risco | Elaborar Política de Senha |
| Administrador de sistema | Deixar a organização | Sem substituto | 1) Diminuir o risco | Contratar segundo administrador de sistema que aprenderá tudo que o primeiro faz |
Se você escolher medir os riscos residuais, isso deveria ser feito em conjunto com as pessoas responsáveis nos departamentos – você tem que mostrar a elas quais opções de tratamento você tem planejadas, e baseado nesta informação, e usando as mesas escalas, você tem que avaliar o risco residual para cada risco inaceitável identificado durante a avaliação de riscos. Assim, por exemplo, se você identificou uma consequência de nível 4 e probabilidade de nível 5 durante sua avaliação de riscos (o que significaria um risco de valor 9 pelo método da adição), seu risco residual pode ser 5 se você avaliou que a consequência baixaria para 3 e a probabilidade para 2 devido a, e.g., salvaguardas que você planejou implementar.
Seja criativo!
Ao considerar estas opções, e particularmente salvaguardas que envolvem um investimento em tecnologia, por favor tenha cuidado com o seguinte: muito frequentemente a primeira ideia que vem à mente será a mais onerosa – assim, pense bastante antes de comprar algum novo sistema caro. Algumas vezes existirão alternativas que serão igualmente eficazes, mas com um custo menor. Da mesma forma, esteja ciente de que muitos dos riscos existem por conta do comportamento humano, não por causa das máquinas – assim, é questionável se uma máquina é a solução para tal tipo de problema.
Em outras palavras, aqui é onde você precisa ser criativo – você precisa imaginar como diminuir os riscos com o mínimo de investimento. Seria mais fácil se o seu orçamento fosse ilimitado, mas isso nunca vai acontecer. E, infelizmente tenho que lhe contar isso, sua gestão está certa – é possível atingir os mesmos resultados com menos dinheiro – você apenas precisa ser esperto o suficiente para encontrar uma solução.
Este artigo é um trecho do novo livro Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own. Clique aqui para ver quais outros tópicos são abordados…
Nós agradecemos a Rhand Leal pela tradução para o português.
