Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Base de conhecimento ISO 27001 e ISO 22301

    Avaliação de riscos da ISO 27001: Como combinar ativos, ameaças e vulnerabilidades

    A revisão 2013 da ISO 27001 permite a você identificar riscos utilizando qualquer metodologia que deseje; contudo, a velha metodologia (definida pela antiga versão 2005 da ISO 27001), a qual requer a identificação de ativos, ameaças e vulnerabilidades, ainda é dominante. (Veja também: O que mudou na avaliação de riscos na ISO 27001:2013.)

    Assim, como você combina ativos, ameaças e vulnerabilidades de forma a identificar riscos?

    Como documentar a identificação de riscos

    A identificação de riscos é a primeira metade do processo de análise e avaliação de riscos, após a qual vem a parte de avaliação (avaliação de impactos e probabilidade) – veja os detalhes aqui: Como escrever metodologia de avaliação de riscos para a ISO 27001.

    Para tornar sua avaliação de riscos mais fácil, você pode usar uma planilha com ativos, ameaças e vulnerabilidades em colunas; você deveria também incluir algumas outras informações tais como ID do risco, proprietários dos riscos, impacto e probabilidade, etc.

    Eu descobri que é mais fácil iniciar listando itens coluna por coluna, e não linha por linha – isto significa que você deveria listar todos os seus ativos primeiro, e apenas então iniciar a identificação de algumas ameaças para cada ativo, e finalmente algumas vulnerabilidades para cada ameaça.

    Para saber quais tipos de ativos você deveria levar em conta, leia este artigo: Como lidar com o registro de ativos (inventário de ativos) de acordo com a ISO 27001, e clique aqui para ver um catálogo de ameaças e vulnerabilidades apropriado para organizações de pequeno e médio porte.

    Relação entre ativos, ameaças e vulnerabilidades

    Então, vejamos como a combinação destes três componentes iria se parecer – por exemplo:

    • Ativo: documento em papel:
      • ameaça: fogo; vulnerabilidade: documento não é armazenado em armário à prova de fogo (risco relacionado a perda de disponibilidade da informação)
      • ameaça: fogo; vulnerabilidade: não existe cópia de segurança do documento (potencial perda de disponibilidade)
      • ameaça: acesso não autorizado; vulnerabilidade: documento não está trancado em um armário (potencial perda de confidencialidade)
    • Ativo: documento digital:
      • ameaça: falha de disco; vulnerabilidade: não existe cópia de segurança do documento (potencial perda de disponibilidade)
      • ameaça: vírus; vulnerabilidade: programa antivírus não está adequadamente atualizado (potencial perda de confidencialidade, integridade e disponibilidade)
      • ameaça: acesso não autorizado; vulnerabilidade: esquema de controle de acesso não é definido apropriadamente (potencial perda de confidencialidade, integridade e disponibilidade)
      • ameaça: acesso não autorizado; vulnerabilidade: o aceso foi dado a pessoas em excesso (potencial perda de confidencialidade, integridade e disponibilidade)
    • Ativo: administrador do sistema:
      • ameaça: indisponibilidade desta pessoa; vulnerabilidade: não há substituto para esta posição (potencial perda de disponibilidade)
      • ameaça: erros frequentes; vulnerabilidade: falta de treinamento (potencial perda de integridade e disponibilidade)
      • etc.

    Isto pode parecer complicado a primeira vista, mas uma vez que você tenha começado verá que o progresso será rápido. Algumas pessoas preferem usar ferramentas para este tipo de trabalho, e eu concordo que isto poderia ser uma boa opção para organizações de grande porte, mas para organizações pequenas usar uma ferramenta apenas tomaria mais tempo: Quando usar ferramentas para a ISO 27001/ISO 22301 e quando evitá-las.

    Quanto é o suficiente?

    Muito frequentemente as pessoas me perguntam – quantos riscos elas deveriam identificar? Se elas começarem realmente rigorosas, para cada ativo elas poderiam encontrar 10 ameaças, e para cada ameaça ao menos 5 vulnerabilidades – isto é bem realista, não é?

    Agora se você é uma organização pequena com 50 ativos, isto significaria que você acabaria com 2.500 riscos, o que provavelmente seria uma sobrecarga para uma organização deste tamanho. É por isto que você deveria se concentrar apenas nas ameaças e vulnerabilidades mais importantes, enquanto incluiria todos os ativos; isto significaria que para cada ativo você identificaria uma média de 5 ameaças, e para cada ameaça uma média de 2 vulnerabilidades. Desta forma você terminaria com 500 riscos para uma organização pequena com 50 ativos, o que é bem gerenciável.

    Por que esta metodologia ainda é boa?

    Eu pessoalmente gosto bastante desta metodologia ativos-ameaças-vulnerabilidades – não que eu seja nostálgico pela versão 2005 da ISO 27001, mas eu penso que esta metodologia fornece um bom equilíbrio entre fazer a avaliação de riscos rapidamente, e ao mesmo tempo realizá-la de forma sistemática e detalhada o bastante para que alguém possa identificar onde o problema potencial de segurança está.

    E é sobre isso de que se trata realmente a avaliação de risco: descobrir um problema potencial antes que ele de fato aconteça. Em outras palavras, a ISO 27001 diz a você: melhor prevenir do que remediar.

    Neste  ISO 27001 Foundations Online Course você verá um exemplo sobre como identificar ativos, ameaças e vulnerabilidades em conformidade com a ISO 27001.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.