left-svg
Bônus em suporte especializado no valor de $500
com o Kit de Documentação ISO 27001
Oferta por tempo limitado – termina em 30 de junho de 2022.
right-svg
  • (0)
    ISO-27001-ISO-22301-blog

    Base de conhecimento ISO 27001 e ISO 22301

    Avaliação de riscos da ISO 27001: Como combinar ativos, ameaças e vulnerabilidades

    A revisão 2013 da ISO 27001 permite a você identificar riscos utilizando qualquer metodologia que deseje; contudo, a velha metodologia (definida pela antiga versão 2005 da ISO 27001), a qual requer a identificação de ativos, ameaças e vulnerabilidades, ainda é dominante. (Veja também: O que mudou na avaliação de riscos na ISO 27001:2013.)

    Assim, como você combina ativos, ameaças e vulnerabilidades de forma a identificar riscos?

    Como documentar a identificação de riscos

    A identificação de riscos é a primeira metade do processo de análise e avaliação de riscos, após a qual vem a parte de avaliação (avaliação de impactos e probabilidade) – veja os detalhes aqui: Como escrever metodologia de avaliação de riscos para a ISO 27001.

    Para tornar sua avaliação de riscos mais fácil, você pode usar uma planilha com ativos, ameaças e vulnerabilidades em colunas; você deveria também incluir algumas outras informações tais como ID do risco, proprietários dos riscos, impacto e probabilidade, etc.

    Eu descobri que é mais fácil iniciar listando itens coluna por coluna, e não linha por linha – isto significa que você deveria listar todos os seus ativos primeiro, e apenas então iniciar a identificação de algumas ameaças para cada ativo, e finalmente algumas vulnerabilidades para cada ameaça.

    Para saber quais tipos de ativos você deveria levar em conta, leia este artigo: Como lidar com o registro de ativos (inventário de ativos) de acordo com a ISO 27001, e clique aqui para ver um catálogo de ameaças e vulnerabilidades apropriado para organizações de pequeno e médio porte.

    Relação entre ativos, ameaças e vulnerabilidades

    Então, vejamos como a combinação destes três componentes iria se parecer – por exemplo:

    • Ativo: documento em papel:
      • ameaça: fogo; vulnerabilidade: documento não é armazenado em armário à prova de fogo (risco relacionado a perda de disponibilidade da informação)
      • ameaça: fogo; vulnerabilidade: não existe cópia de segurança do documento (potencial perda de disponibilidade)
      • ameaça: acesso não autorizado; vulnerabilidade: documento não está trancado em um armário (potencial perda de confidencialidade)
    • Ativo: documento digital:
      • ameaça: falha de disco; vulnerabilidade: não existe cópia de segurança do documento (potencial perda de disponibilidade)
      • ameaça: vírus; vulnerabilidade: programa antivírus não está adequadamente atualizado (potencial perda de confidencialidade, integridade e disponibilidade)
      • ameaça: acesso não autorizado; vulnerabilidade: esquema de controle de acesso não é definido apropriadamente (potencial perda de confidencialidade, integridade e disponibilidade)
      • ameaça: acesso não autorizado; vulnerabilidade: o aceso foi dado a pessoas em excesso (potencial perda de confidencialidade, integridade e disponibilidade)
    • Ativo: administrador do sistema:
      • ameaça: indisponibilidade desta pessoa; vulnerabilidade: não há substituto para esta posição (potencial perda de disponibilidade)
      • ameaça: erros frequentes; vulnerabilidade: falta de treinamento (potencial perda de integridade e disponibilidade)
      • etc.

    Isto pode parecer complicado a primeira vista, mas uma vez que você tenha começado verá que o progresso será rápido. Algumas pessoas preferem usar ferramentas para este tipo de trabalho, e eu concordo que isto poderia ser uma boa opção para organizações de grande porte, mas para organizações pequenas usar uma ferramenta apenas tomaria mais tempo: Quando usar ferramentas para a ISO 27001/ISO 22301 e quando evitá-las.

    Quanto é o suficiente?

    Muito frequentemente as pessoas me perguntam – quantos riscos elas deveriam identificar? Se elas começarem realmente rigorosas, para cada ativo elas poderiam encontrar 10 ameaças, e para cada ameaça ao menos 5 vulnerabilidades – isto é bem realista, não é?

    Agora se você é uma organização pequena com 50 ativos, isto significaria que você acabaria com 2.500 riscos, o que provavelmente seria uma sobrecarga para uma organização deste tamanho. É por isto que você deveria se concentrar apenas nas ameaças e vulnerabilidades mais importantes, enquanto incluiria todos os ativos; isto significaria que para cada ativo você identificaria uma média de 5 ameaças, e para cada ameaça uma média de 2 vulnerabilidades. Desta forma você terminaria com 500 riscos para uma organização pequena com 50 ativos, o que é bem gerenciável.

    Por que esta metodologia ainda é boa?

    Eu pessoalmente gosto bastante desta metodologia ativos-ameaças-vulnerabilidades – não que eu seja nostálgico pela versão 2005 da ISO 27001, mas eu penso que esta metodologia fornece um bom equilíbrio entre fazer a avaliação de riscos rapidamente, e ao mesmo tempo realizá-la de forma sistemática e detalhada o bastante para que alguém possa identificar onde o problema potencial de segurança está.

    E é sobre isso de que se trata realmente a avaliação de risco: descobrir um problema potencial antes que ele de fato aconteça. Em outras palavras, a ISO 27001 diz a você: melhor prevenir do que remediar.

    Neste  ISO 27001 Foundations Online Course você verá um exemplo sobre como identificar ativos, ameaças e vulnerabilidades em conformidade com a ISO 27001.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan: