A revisão 2013 da ISO 27001 permite a você identificar riscos utilizando qualquer metodologia que deseje; contudo, a velha metodologia (definida pela antiga versão 2005 da ISO 27001), a qual requer a identificação de ativos, ameaças e vulnerabilidades, ainda é dominante. (Veja também: O que mudou na avaliação de riscos na ISO 27001:2013.)
Assim, como você combina ativos, ameaças e vulnerabilidades de forma a identificar riscos?
Como documentar a identificação de riscos
A identificação de riscos é a primeira metade do processo de análise e avaliação de riscos, após a qual vem a parte de avaliação (avaliação de impactos e probabilidade) – veja os detalhes aqui: Como escrever metodologia de avaliação de riscos para a ISO 27001.
Para tornar sua avaliação de riscos mais fácil, você pode usar uma planilha com ativos, ameaças e vulnerabilidades em colunas; você deveria também incluir algumas outras informações tais como ID do risco, proprietários dos riscos, impacto e probabilidade, etc.
Eu descobri que é mais fácil iniciar listando itens coluna por coluna, e não linha por linha – isto significa que você deveria listar todos os seus ativos primeiro, e apenas então iniciar a identificação de algumas ameaças para cada ativo, e finalmente algumas vulnerabilidades para cada ameaça.
Para saber quais tipos de ativos você deveria levar em conta, leia este artigo: Como lidar com o registro de ativos (inventário de ativos) de acordo com a ISO 27001, e clique aqui para ver um catálogo de ameaças e vulnerabilidades apropriado para organizações de pequeno e médio porte.
Relação entre ativos, ameaças e vulnerabilidades
Então, vejamos como a combinação destes três componentes iria se parecer – por exemplo:
- Ativo: documento em papel:
- ameaça: fogo; vulnerabilidade: documento não é armazenado em armário à prova de fogo (risco relacionado a perda de disponibilidade da informação)
- ameaça: fogo; vulnerabilidade: não existe cópia de segurança do documento (potencial perda de disponibilidade)
- ameaça: acesso não autorizado; vulnerabilidade: documento não está trancado em um armário (potencial perda de confidencialidade)
- Ativo: documento digital:
- ameaça: falha de disco; vulnerabilidade: não existe cópia de segurança do documento (potencial perda de disponibilidade)
- ameaça: vírus; vulnerabilidade: programa antivírus não está adequadamente atualizado (potencial perda de confidencialidade, integridade e disponibilidade)
- ameaça: acesso não autorizado; vulnerabilidade: esquema de controle de acesso não é definido apropriadamente (potencial perda de confidencialidade, integridade e disponibilidade)
- ameaça: acesso não autorizado; vulnerabilidade: o aceso foi dado a pessoas em excesso (potencial perda de confidencialidade, integridade e disponibilidade)
- Ativo: administrador do sistema:
- ameaça: indisponibilidade desta pessoa; vulnerabilidade: não há substituto para esta posição (potencial perda de disponibilidade)
- ameaça: erros frequentes; vulnerabilidade: falta de treinamento (potencial perda de integridade e disponibilidade)
- etc.
Isto pode parecer complicado a primeira vista, mas uma vez que você tenha começado verá que o progresso será rápido. Algumas pessoas preferem usar ferramentas para este tipo de trabalho, e eu concordo que isto poderia ser uma boa opção para organizações de grande porte, mas para organizações pequenas usar uma ferramenta apenas tomaria mais tempo: Quando usar ferramentas para a ISO 27001/ISO 22301 e quando evitá-las.
Quanto é o suficiente?
Muito frequentemente as pessoas me perguntam – quantos riscos elas deveriam identificar? Se elas começarem realmente rigorosas, para cada ativo elas poderiam encontrar 10 ameaças, e para cada ameaça ao menos 5 vulnerabilidades – isto é bem realista, não é?
Agora se você é uma organização pequena com 50 ativos, isto significaria que você acabaria com 2.500 riscos, o que provavelmente seria uma sobrecarga para uma organização deste tamanho. É por isto que você deveria se concentrar apenas nas ameaças e vulnerabilidades mais importantes, enquanto incluiria todos os ativos; isto significaria que para cada ativo você identificaria uma média de 5 ameaças, e para cada ameaça uma média de 2 vulnerabilidades. Desta forma você terminaria com 500 riscos para uma organização pequena com 50 ativos, o que é bem gerenciável.
Por que esta metodologia ainda é boa?
Eu pessoalmente gosto bastante desta metodologia ativos-ameaças-vulnerabilidades – não que eu seja nostálgico pela versão 2005 da ISO 27001, mas eu penso que esta metodologia fornece um bom equilíbrio entre fazer a avaliação de riscos rapidamente, e ao mesmo tempo realizá-la de forma sistemática e detalhada o bastante para que alguém possa identificar onde o problema potencial de segurança está.
E é sobre isso de que se trata realmente a avaliação de risco: descobrir um problema potencial antes que ele de fato aconteça. Em outras palavras, a ISO 27001 diz a você: melhor prevenir do que remediar.
Neste ISO 27001 Foundations Online Course você verá um exemplo sobre como identificar ativos, ameaças e vulnerabilidades em conformidade com a ISO 27001.
Nós agradecemos a Rhand Leal pela tradução para o português.