• (0)
    ISO-27001-ISO-22301-blog

    Base de conhecimento ISO 27001 e ISO 22301

    Análise de lacunas da ISO 27001 vs. Levantamento de riscos

    Frequentemente vejo pessoas confundirem análise de lacunas com levantamento de riscos – o que é compreensível, uma vez que o propósito de ambas é identificar deficiências na segurança da informação de suas organizações. Contudo, considerando a perspectiva da ISO 27001, e a perspectiva de um auditor de certificação, estas duas são bem diferentes. Entenda o por quê:

    O que é a análise de lacunas da ISO 27001?

    A análise de lacunas nada mais é do que a leitura de cada cláusula da ISO 27001 e a análise se cada requisito já se encontra implementado em sua organização. Quando você faz isso pode encontrar um sim ou um não, ou fazer uso de uma escala similar a esta:

    • 0 – requisito não implementado ou planejado;
    • 1 – requisito planejado mas não implementado;
    • 2 – requisito implementado apenas parcialmente (não é possível obter todos os impactos esperados);
    • 3 – requisito implementado, mas medições, revisões e melhorias não são realizadas; e
    • 4 – requisito implementado e medido, revisado e melhorado regularmente.

    A análise de lacunas é mandatória na ISO 27001, mas apenas no desenvolvimento da Declaração de Aplicabilidade (Statement of Applicability) – a cláusula 6.1.3 d) diz que você precisa determinar “… se eles [os controles necessários] estão implementados ou não.”

    Desta forma, você não precisa realizar uma análise de lacunas para cláusulas da parte principal da norma – apenas para os controles do Anexo A. Adicionalmente, a análise de lacunas não precisa ser realizada antes de se iniciar a implementação da ISO 27001 – você deve fazê-la apenas após o levantamento e tratamento de riscos.

    O que é o levantamento de riscos?

    O levantamento de riscos é uma etapa crucial na implementação do Sistema de Gestão de Segurança da Informação (SGSI) porque ela informa a você o seguinte: você deveria implementar controles de segurança (salvaguardas) apenas se existirem riscos (incidentes em potencial) que justifiquem tais controles. Em outras palavras, quanto maior o risco, mais você deve investir em controles; mas, por outro lado, caso não existam riscos que justifiquem um controle em particular, então a implementação do mesmo seria um desperdício de tempo e dinheiro.

    O levantamento de riscos é um requisito chave na ISO 27001 que deve ser realizado antes de se iniciar a implementação de controles de segurança, e, contentemente, ele é o requisito que determina a forma de sua segurança da informação. Aprenda mais aqui: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.

    Então, a diferença é…

    A análise de lacunas informa quão distante você está dos requisitos/controles da ISO 27001; ela não informa quais problemas podem ocorrer ou quais controles implementar. O levantamento de riscos informa quais incidentes podem ocorrer e quais controles implementar, mas não dá uma visão geral de quais controles já estão implementados.

    Enquanto o levantamento de riscos é crucial para a implementação da ISO 27001, a análise de lacunas somente é requerida ao se escrever a Declaração de aplicabilidade – então, uma não é substituta da outra, e ambas são requeridas, mas em diferentes fases da implementação e com diferentes propósitos.

    Algumas vezes as organizações realizam uma análise de lacunas antes de iniciar a implementação da ISO 27001, de forma a ter uma ideia de onde se encontram no momento, e para identificar quais recursos eles precisarão empregar para implementar a ISO 27001. Contudo, a utilidade de tal abordagem é duvidosa, Uma vez que apenas o levantamento de riscos irá mostrar a real extensão de do que precisa ser implementado e de forma.

    Para aprender mais sobre levantamento e tratamento de riscos, registre-se para este webnar gratuito: The basics of risk assessment and treatment according to ISO 27001.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.