Análise de lacunas da ISO 27001 vs. Levantamento de riscos

Frequentemente vejo pessoas confundirem análise de lacunas com levantamento de riscos – o que é compreensível, uma vez que o propósito de ambas é identificar deficiências na segurança da informação de suas organizações. Contudo, considerando a perspectiva da ISO 27001, e a perspectiva de um auditor de certificação, estas duas são bem diferentes. Entenda o por quê:

O que é a análise de lacunas da ISO 27001?

A análise de lacunas nada mais é do que a leitura de cada cláusula da ISO 27001 e a análise se cada requisito já se encontra implementado em sua organização. Quando você faz isso pode encontrar um sim ou um não, ou fazer uso de uma escala similar a esta:

  • 0 – requisito não implementado ou planejado;
  • 1 – requisito planejado mas não implementado;
  • 2 – requisito implementado apenas parcialmente (não é possível obter todos os impactos esperados);
  • 3 – requisito implementado, mas medições, revisões e melhorias não são realizadas; e
  • 4 – requisito implementado e medido, revisado e melhorado regularmente.

A análise de lacunas é mandatória na ISO 27001, mas apenas no desenvolvimento da Declaração de Aplicabilidade (Statement of Applicability) – a cláusula 6.1.3 d) diz que você precisa determinar “… se eles [os controles necessários] estão implementados ou não.”

Desta forma, você não precisa realizar uma análise de lacunas para cláusulas da parte principal da norma – apenas para os controles do Anexo A. Adicionalmente, a análise de lacunas não precisa ser realizada antes de se iniciar a implementação da ISO 27001 – você deve fazê-la apenas após o levantamento e tratamento de riscos.

O que é o levantamento de riscos?

O levantamento de riscos é uma etapa crucial na implementação do Sistema de Gestão de Segurança da Informação (SGSI) porque ela informa a você o seguinte: você deveria implementar controles de segurança (salvaguardas) apenas se existirem riscos (incidentes em potencial) que justifiquem tais controles. Em outras palavras, quanto maior o risco, mais você deve investir em controles; mas, por outro lado, caso não existam riscos que justifiquem um controle em particular, então a implementação do mesmo seria um desperdício de tempo e dinheiro.

O levantamento de riscos é um requisito chave na ISO 27001 que deve ser realizado antes de se iniciar a implementação de controles de segurança, e, contentemente, ele é o requisito que determina a forma de sua segurança da informação. Aprenda mais aqui: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.

Então, a diferença é…

A análise de lacunas informa quão distante você está dos requisitos/controles da ISO 27001; ela não informa quais problemas podem ocorrer ou quais controles implementar. O levantamento de riscos informa quais incidentes podem ocorrer e quais controles implementar, mas não dá uma visão geral de quais controles já estão implementados.

Enquanto o levantamento de riscos é crucial para a implementação da ISO 27001, a análise de lacunas somente é requerida ao se escrever a Declaração de aplicabilidade – então, uma não é substituta da outra, e ambas são requeridas, mas em diferentes fases da implementação e com diferentes propósitos.

Algumas vezes as organizações realizam uma análise de lacunas antes de iniciar a implementação da ISO 27001, de forma a ter uma ideia de onde se encontram no momento, e para identificar quais recursos eles precisarão empregar para implementar a ISO 27001. Contudo, a utilidade de tal abordagem é duvidosa, Uma vez que apenas o levantamento de riscos irá mostrar a real extensão de do que precisa ser implementado e de forma.

Para aprender mais sobre levantamento e tratamento de riscos, registre-se para este webnar gratuito: The basics of risk assessment and treatment according to ISO 27001.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.