• (0)
    ISO-27001-ISO-22301-blog

    Base de conhecimento ISO 27001 e ISO 22301

    Análise de lacunas da ISO 27001 vs. Levantamento de riscos

    Frequentemente vejo pessoas confundirem análise de lacunas com levantamento de riscos – o que é compreensível, uma vez que o propósito de ambas é identificar deficiências na segurança da informação de suas organizações. Contudo, considerando a perspectiva da ISO 27001, e a perspectiva de um auditor de certificação, estas duas são bem diferentes. Entenda o por quê:

    O que é a análise de lacunas da ISO 27001?

    A análise de lacunas nada mais é do que a leitura de cada cláusula da ISO 27001 e a análise se cada requisito já se encontra implementado em sua organização. Quando você faz isso pode encontrar um sim ou um não, ou fazer uso de uma escala similar a esta:

    • 0 – requisito não implementado ou planejado;
    • 1 – requisito planejado mas não implementado;
    • 2 – requisito implementado apenas parcialmente (não é possível obter todos os impactos esperados);
    • 3 – requisito implementado, mas medições, revisões e melhorias não são realizadas; e
    • 4 – requisito implementado e medido, revisado e melhorado regularmente.

    A análise de lacunas é mandatória na ISO 27001, mas apenas no desenvolvimento da Declaração de Aplicabilidade (Statement of Applicability) – a cláusula 6.1.3 d) diz que você precisa determinar “… se eles [os controles necessários] estão implementados ou não.”

    Desta forma, você não precisa realizar uma análise de lacunas para cláusulas da parte principal da norma – apenas para os controles do Anexo A. Adicionalmente, a análise de lacunas não precisa ser realizada antes de se iniciar a implementação da ISO 27001 – você deve fazê-la apenas após o levantamento e tratamento de riscos.

    O que é o levantamento de riscos?

    O levantamento de riscos é uma etapa crucial na implementação do Sistema de Gestão de Segurança da Informação (SGSI) porque ela informa a você o seguinte: você deveria implementar controles de segurança (salvaguardas) apenas se existirem riscos (incidentes em potencial) que justifiquem tais controles. Em outras palavras, quanto maior o risco, mais você deve investir em controles; mas, por outro lado, caso não existam riscos que justifiquem um controle em particular, então a implementação do mesmo seria um desperdício de tempo e dinheiro.

    O levantamento de riscos é um requisito chave na ISO 27001 que deve ser realizado antes de se iniciar a implementação de controles de segurança, e, contentemente, ele é o requisito que determina a forma de sua segurança da informação. Aprenda mais aqui: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.

    Então, a diferença é…

    A análise de lacunas informa quão distante você está dos requisitos/controles da ISO 27001; ela não informa quais problemas podem ocorrer ou quais controles implementar. O levantamento de riscos informa quais incidentes podem ocorrer e quais controles implementar, mas não dá uma visão geral de quais controles já estão implementados.

    Enquanto o levantamento de riscos é crucial para a implementação da ISO 27001, a análise de lacunas somente é requerida ao se escrever a Declaração de aplicabilidade – então, uma não é substituta da outra, e ambas são requeridas, mas em diferentes fases da implementação e com diferentes propósitos.

    Algumas vezes as organizações realizam uma análise de lacunas antes de iniciar a implementação da ISO 27001, de forma a ter uma ideia de onde se encontram no momento, e para identificar quais recursos eles precisarão empregar para implementar a ISO 27001. Contudo, a utilidade de tal abordagem é duvidosa, Uma vez que apenas o levantamento de riscos irá mostrar a real extensão de do que precisa ser implementado e de forma.

    Para aprender mais sobre levantamento e tratamento de riscos, registre-se para este webnar gratuito: The basics of risk assessment and treatment according to ISO 27001.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan: