• (0)
    ISO-27001-ISO-22301-blog

    Base de conhecimento ISO 27001 e ISO 22301

    Como avaliar consequências e probabilidade na análise de risco da ISO 27001

    Se você está avaliando riscos de segurança da informação em sua organização, então a identificação de ativos, ameaças e vulnerabilidades é apenas a primeira metade do trabalho. (Veja também Avaliação de riscos da ISO 27001: Como combinar ativos, ameaças e vulnerabilidades.) A segunda parte do trabalho, não menos importante e não menos difícil, é calcular quão grande é o risco – e isto se atinge através da análise das consequências (também chamado de impacto) se o risco se materializar, e da análise da probabilidade do risco acontecer; com esta informação, você pode facilmente calcular o nível do risco.

    A ISO 27001 realmente não diz a você como fazer sua análise de risco, mas lhe diz que você deve analisar consequências e probabilidades, e determinar o nível do risco – assim, cabe a você definir como fazer isso. Você encontrará algumas abordagens neste artigo: estas são minhas favoritas, mas existem outras formas de fazer isso – para mais abordagens veja a ISO 27005, a norma que explica a análise de riscos de segurança da informação em mais detalhes.

    Nota: Não importa qual abordagem você escolha, você tem que documentá-la em sua metodologia de risco – veja este artigo para maiores explicações: Como escrever metodologia de avaliação de riscos para a ISO 27001.

    Análise de risco simples

    Existem basicamente duas formas de analisar riscos usando o método qualitativo – vamos chamá-los de análise de risco simples e análise de risco detalhada. (Eu cobrirei o método quantitativo em outro artigo).

    Na análise de risco simples você analisa as consequências e probabilidade diretamente – uma vez que você tenha identificado os riscos, você simplesmente tem que usar escalas para analisar separadamente as consequências e probabilidade de cada risco. Por exemplo, você pode usar a escala de 0 a 4, onde 0 seria muito baixo, 1 baixo, 2 médio, e assim por diante, ou a escala de 1 a 10, ou Baixo-Médio-Alto, ou qualquer outra escala. Quanto maior a escala, mais precisos serão os resultados que você terá, mas também mais tempo você gastará para realizar a análise.

    Então, por exemplo, em uma análise de risco simples você pode ter algo como isto:

    • Ativo: laptop
    • Ameaça: roubo
    • Vulnerabilidade: empregados não sabem como proteger seus dispositivos móveis
    • Consequências: 3 (em uma escala de 0 a 4)
    • Probabilidade: 4 (em uma escala de 0 a 4)

    Análise de risco detalhada

    Na análise de risco detalhada, ao invés de analisar dois elementos (consequência e probabilidade), você analisa três elementos: valor do ativo, ameaça e vulnerabilidade. Assim, aqui está um exemplo desta análise de risco detalhada:

    • Ativo: laptop
    • Ameaça: roubo
    • Vulnerabilidade: empregados não sabem como proteger seus dispositivos móveis
    • Valor do ativo: 3 (em uma escala de 0 a 4)
    • Valor da ameaça: 2 (em uma escala de 0 a 2)
    • Valor da vulnerabilidade: 2 (em uma escala de 0 a 2)

    Quando você pensa sobre isso mais atentamente, através destes três elementos na análise de riscos detalhada, você indiretamente analisará as consequências e probabilidades: ao analisar o valor do ativo, você está simplesmente analisando o tipo de dano (i.e., consequência) que poderia ocorrer para este ativo se a confidencialidade, integridade ou disponibilidade em posta em risco; tanto ameaças e vulnerabilidades influenciam a probabilidade – quanto maior a ameaça e maior a vulnerabilidade, mais provável será o risco acontecer, e vice versa.

    E basicamente, é isto – se você é uma organização menor, a análise de risco simples será o suficiente para você; se você é uma organização de médio ou grande porte, a análise de risco detalhada dará conta do trabalho. E você não precisa adicionar mais nenhum elemento, porque isso apenas faria seu trabalho mais difícil. Veja também: Como organizar a avaliação de riscos inicial de acordo com a ISO 27001 e ISO 22301.

    Por que analisar tanto ativos quanto consequências é errado?

    Muito frequentemente vejo organizações implementando a análise de risco simples (i.e., elas analisam diretamente consequências e probabilidades), mas elas também adicionando valor do ativo a esta análise.

    Por que isto é errado? Pelo o simples fato de que elas já analisaram as consequências uma vez, então não precisam analisá-las novamente através do valor do ativo.

    Então, novamente – não tente enganar a si mesmo e criar algo complexo só porque você acha que consegue.

    Como calcular o nível do risco

    Calcular o risco é na verdade muito simples – isto é geralmente feito através de adição (e.g., 2 + 5 = 7) ou multiplicação (e.g., 2 x 5 = 10). Se você usa a escala Baixo-Médio-Alto, então isto é o mesmo que usar 1-2-3, assim você ainda tem números para o cálculo.

    Desta forma, usando os exemplos acima, aqui está como calcular o risco usando adição:

    • Análise de risco simples: Consequências (3) + Probabilidade (4) = Risco (7)
    • Análise de risco detalhada: Valor do ativo (3) + Valor da ameaça (2) + Valor da vulnerabilidade (2) = Risco (7)

    Na análise de risco detalhada, você notará que eu usei a escala de 0 a 4 para analisar o valor do ativo, e escalas menores de 0 a 2 para analisar ameaças e vulnerabilidades. Isto porque o peso das consequências deveria ser o mesmo que o peso da probabilidade – uma vez que ameaças e vulnerabilidade em conjunto “representam” a probabilidade, seu valor máximo quando adicionadas é 4, o mesmo para o valor do ativo (i.e., consequência).

    Após ter calculado os riscos, você tem que avaliar se eles são aceitáveis ou não, e então passar para a próxima etapa: o tratamento de risco. Para ver todas as etapas da gestão de riscos, leia este artigo: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.

    Não seja perfeccionista

    Então, para concluir: a gestão de risco em geral, mas especialmente a avaliação e a análise de risco, podem parecer a oportunidade perfeita para tornar as coisas complicadas – uma vez que requisitos da ISO 27001 são bastante específicos, você pode adicionar numerosos elementos na tentativa de tornar sua abordagem mais “científica”.

    Mas, você tem que se perguntar esta questão: seu objetivo é criar uma análise de riscos perfeita que precisará ser realizada por vários meses ou talvez anos (porque seus empregados simplesmente não entenderão sobre o que tudo isso se trata e tentarão evitar você), ou seu objetivo é terminar este processo em um período de tempo razoável, sabendo que não será 100% preciso, mas ao menos identificará os principais riscos, e fará com que seu pessoal comece a pensar sobre a necessidade de proteger as informações da organização?

    Clique aqui para se registrar para um webinar gratuito The basics of risk assessment and treatment according to ISO 27001 que explicará os detalhes da avaliação de riscos (webinar gravado também disponível).

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.