A avaliação de riscos (frequentemente chamada de análise de riscos) é provavelmente a parte mais complicada da implementação da ISO 27001; mas ao mesmo a avaliação (e tratamento) de riscos é a etapa mais importante no início do seu projeto de segurança da informação – ela define os fundamentos para a segurança da informação em sua organização.
A questão é – por que ela é tão importante? A resposta é bem simples embora não compreendida por muitas pessoas: a principal filosofia da ISO 27001 é identificar quais incidentes poderiam ocorrer (i.e. avaliar os riscos) e então encontrar as formas mais apropriadas de evitar tais incidentes (i.e. Tratar os riscos). Não apenas isto, você também deve avaliar a importância de cada risco de forma que você possa focar nos mais importantes.
Embora a avaliação e o tratamento de riscos (juntas: gestão de riscos) seja um trabalho complexo, muito frequentemente ele é mistificado desnecessariamente. Estas 6 etapas básicas jogarão um pouco de luz sobre o que você tem que fazer:
1. Metodologia de analise de risco da ISO 27001
Esta é a primeira etapa em sua viagem através da gestão de riscos. Você precisa definir regras sobre como você irá realizar a gestão de riscos porque você quer que toda a organização faça isso da mesma forma – o maior problemas com a gestão de riscos acontece se diferentes partes da organização realizam a gestão de formas diferentes. Desta forma, você precisa definir se você quer uma avaliação de riscos qualitativa ou quantitativa, quais escalas você irá usar para a avaliação qualitativa, qual será o nível aceitável de risco, etc.
2. Implementação da avaliação de riscos
Uma vez que você saiba as regras, você pode iniciar identificando quais problemas em potencial poderiam acontecer a você – você precisa listar todos os seus ativos, depois ameaças e vulnerabilidades relacionadas a estes ativos, avaliar o impacto e a probabilidade para cada combinação de ativos/ameaças/vulnerabilidades e finalmente calcular o nível de risco.
Em minha experiência, organizações estão conscientes de apenas 30% de seus riscos. Assim, você provavelmente descobrirá este exercício como bastante revelador – quando você terminar você começará a apreciar o esforço que você teve.
3. Implementação do tratamento de riscos
Claro que nem todos os riscos são criado de forma igual – você deve focar nos mais importantes, os assim chamados ‘riscos inaceitáveis’.
Existem quatro opções que você pode escolher para mitigar cada risco inaceitável:
- Aplicar controles de segurança do Anexo A para reduzir os riscos – veja este artigo Visão geral do Anexo A da ISO 27001:2013.
- Transferir o risco para terceiro – e.g. Para uma companhia de seguro ao comprar uma apólice de seguro.
- Evitar o risco parando uma atividade que é muito arriscada, ou realizando-a de modo completamente diferente.
- Aceitar o risco – se, por exemplo, o custo para mitigar aquele risco seria maior do que o próprio dano.
Aqui é onde você precisa ser criativo – como reduzir os riscos com o mínimo de investimento. Seria mais fácil se o seu orçamento fosse ilimitado, mas isso nunca irá acontecer. E eu devo contar a você que infelizmente sua direção está correta – é possível atingir o mesmo resultado com menos dinheiro – você apenas precisa descobrir como.
4. Relatório de avaliação de riscos do SGSI
Diferente das etapas anteriores, esta é bem monótona – você precisa documentar tudo que você fez até agora. Não apenas para os auditores, mas você talvez queira checar por você mesmo estes resultados dentro de um ano ou dois.
5. Declaração de Aplicabilidade
Este documento na verdade mostra o perfil de segurança de sua organização – baseado nos resultados do tratamento de riscos você precisa listar todos os controles que você implementou, porque você os implementou e como. Este documento é também muito importante porque o auditor de certificação o usará como a principal orientação para a auditoria.
Para mais detalhes sobre este documento, veja o artigo A importância da Declaração de aplicabilidade da ISO 27001.
6. Plano de Tratamento de Risco
Esta é a etapa onde você tem que se mover da teoria para a prática. Sejamos francos – até agora todo este trabalho de gestão de riscos foi puramente teórico, mas agora é hora de mostrar alguns resultados concretos.
Este é o propósito do Plano de Tratamento de Risco – definir exatamente quem irá implementar cada controle, em que espaço de tempo, com qual orçamento, etc. Eu preferiria chamar este documento de ‘Plano de implementação’ ou ‘Plano de Ação’, mas vamos nos ater a terminologia utilizada pela ISO 27001.
Uma vez que você tenha escrito este documento, é crucial obter a aprovação de sua direção porque uma quantidade considerável de tempo e esforço (e dinheiro) será dedicada para implementar todos os controles que você planejou aqui. E sem o comprometimento da direção você não terá nada destes recursos.
E é isso – você começou sua jornada partindo de não conhecer nada sobre como definir sua segurança da informação até ter uma visão clara do que você precisa para implementá-la. O ponto é – a ISO 27001 força você a fazer esta jornada de forma sistemática.
P.S. ISO 27005 – como ela pode ajudar você?
A ISO/IEC 27005 é uma norma dedicada exclusivamente para a gestão de riscos de segurança da informação – ela é muito útil se você quer ter uma visão mais profunda da avaliação e tratamento de riscos de segurança da informação – isto é, se você quer trabalhar como um consultor ou talvez com segurança da informação / gestão de riscos regularmente. Contudo, se você está apenas buscando fazer uma avaliação de riscos por ano, esta norma provavelmente não é necessária para você.
Faça o download deste material gratuito para saber mais: Diagram of ISO 27001:2013 Risk Assessment and Treatment process.
Nós agradecemos a Rhand Leal pela tradução para o português.