Frequentemente vejo pessoas confundirem análise de lacunas com levantamento de riscos – o que é compreensível, uma vez que o propósito de ambas é identificar deficiências na segurança da informação de suas organizações. Contudo, considerando a perspectiva da ISO 27001, e a perspectiva de um auditor de certificação, estas duas são bem diferentes. Entenda o por quê:
O que é a análise de lacunas da ISO 27001?
A análise de lacunas nada mais é do que a leitura de cada cláusula da ISO 27001 e a análise se cada requisito já se encontra implementado em sua organização. Quando você faz isso pode encontrar um sim ou um não, ou fazer uso de uma escala similar a esta:
- 0 – requisito não implementado ou planejado;
- 1 – requisito planejado mas não implementado;
- 2 – requisito implementado apenas parcialmente (não é possível obter todos os impactos esperados);
- 3 – requisito implementado, mas medições, revisões e melhorias não são realizadas; e
- 4 – requisito implementado e medido, revisado e melhorado regularmente.
A análise de lacunas é mandatória na ISO 27001, mas apenas no desenvolvimento da Declaração de Aplicabilidade (Statement of Applicability) – a cláusula 6.1.3 d) diz que você precisa determinar “… se eles [os controles necessários] estão implementados ou não.”
Desta forma, você não precisa realizar uma análise de lacunas para cláusulas da parte principal da norma – apenas para os controles do Anexo A. Adicionalmente, a análise de lacunas não precisa ser realizada antes de se iniciar a implementação da ISO 27001 – você deve fazê-la apenas após o levantamento e tratamento de riscos.
O que é o levantamento de riscos?
O levantamento de riscos é uma etapa crucial na implementação do Sistema de Gestão de Segurança da Informação (SGSI) porque ela informa a você o seguinte: você deveria implementar controles de segurança (salvaguardas) apenas se existirem riscos (incidentes em potencial) que justifiquem tais controles. Em outras palavras, quanto maior o risco, mais você deve investir em controles; mas, por outro lado, caso não existam riscos que justifiquem um controle em particular, então a implementação do mesmo seria um desperdício de tempo e dinheiro.
O levantamento de riscos é um requisito chave na ISO 27001 que deve ser realizado antes de se iniciar a implementação de controles de segurança, e, contentemente, ele é o requisito que determina a forma de sua segurança da informação. Aprenda mais aqui: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.
Então, a diferença é…
A análise de lacunas informa quão distante você está dos requisitos/controles da ISO 27001; ela não informa quais problemas podem ocorrer ou quais controles implementar. O levantamento de riscos informa quais incidentes podem ocorrer e quais controles implementar, mas não dá uma visão geral de quais controles já estão implementados.
Enquanto o levantamento de riscos é crucial para a implementação da ISO 27001, a análise de lacunas somente é requerida ao se escrever a Declaração de aplicabilidade – então, uma não é substituta da outra, e ambas são requeridas, mas em diferentes fases da implementação e com diferentes propósitos.
Algumas vezes as organizações realizam uma análise de lacunas antes de iniciar a implementação da ISO 27001, de forma a ter uma ideia de onde se encontram no momento, e para identificar quais recursos eles precisarão empregar para implementar a ISO 27001. Contudo, a utilidade de tal abordagem é duvidosa, Uma vez que apenas o levantamento de riscos irá mostrar a real extensão de do que precisa ser implementado e de forma.
Para aprender mais sobre levantamento e tratamento de riscos, registre-se para este webnar gratuito: The basics of risk assessment and treatment according to ISO 27001.
Nós agradecemos a Rhand Leal pela tradução para o português.