Sem dúvida, a análise de risco é a etapa mais complexa da implementação da ISO 27001; contudo, muitas organizações tornam esta etapa ainda mais difícil ao definir a metodologia e o processo errados de analise de risco (ou por não definir uma metodologia).
O que a ISO 27001 realmente requer?
A ISO 27001 requer que você documente todo o processo de avaliação de risco (cláusula 6.1.2), e isto é geralmente feito em um documento chamado Metodologia de avaliação e tratamento de riscos. Infelizmente, é aqui onde muitas organizações cometem o primeiro grande erro: elas começam a implementação da avaliação de risco sem a metodologia – em outras palavras, sem qualquer regra clara sobre como fazer isso. Veja também este artigo: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.
Existem muitos mitos com relação a como a avaliação de risco deveria se parecer, mas na verdade os requisitos da ISO 27001:2013 não são muito difíceis – aqui está o que a cláusula 6.1.2 requer:
1) Definir como identificar riscos que poderiam causar perdas de confidencialidade, integridade e/ou disponibilidade de sua informação
2) Definir como identificar os proprietários dos riscos
3) Definir critérios para avaliar consequências e avaliar probabilidades do risco
4) Definir como o risco será calculado
5) Definir critérios para aceitação dos riscos
Então essencialmente, você precisa definir estes 5 elementos – qualquer coisa a menos não será suficiente, mas mais importante – qualquer coisa a mais não é necessária, o que significa: não complique muito as coisas.
E sim – você precisa assegurar que os resultados da avaliação de risco sejam consistentes – isto é, você tem que definir uma metodologia que produzirá resultados comparáveis em todos os departamentos de sua organização.
Quais opções estão disponíveis?
Claro, existem muitas opções disponíveis para os 5 elementos acima – aqui está o que você pode escolher:
Identificação de risco. Na versão 2005 da ISO 27001 a metodologia para identificação era prescritiva: você precisava identificar ativos, ameaças e vulnerabilidades (veja também O que mudou na avaliação de riscos na ISO 27001:2013). A versão 2013 corrente da ISO 27001 não requer tal identificação, o que significa que você pode identificar riscos baseado em seus processos, baseado em seus departamentos, usando apenas ameaças e não vulnerabilidades, ou qualquer outra metodologia que você prefira; contudo, minha preferência pessoal ainda é pelo bom e velho método de ativo-ameaças-vulnerabilidades. (Veja também esta lista de ameaças e vulnerabilidades.)
Proprietários de riscos. Basicamente, você deveria escolher uma pessoa que é tanto interessada em resolver um risco, quanto bem posicionada hierarquicamente na organização para que possa fazer algo sobre o assunto. Veja também este artigo Proprietários de risco vs. Proprietários de ativos na ISO 27001:2013.
Avaliando consequências e probabilidade. Você deveria avaliar separadamente as consequências e probabilidade de cada um dos seus riscos; você é completamente livre para usar quaisquer escalas que preferir – e.g., Baixo-Médio-Alto, ou 1 até 5, ou 1 até 10 – qualquer uma que se adeque melhor a sua situação. Claro que, se você quer mantê-la simples, opte por Baixo-Médio-Alto.
Método de cálculo do risco. Isto é geralmente feito através de soma (e.g., 2 + 5 = 7) ou através de multiplicação (e.g., 2 x 5 = 10). Se você usa escalas Baixo-Médio-Alto, isto é o mesmo que usar uma escala 1-2-3, assim você tem números para o seu cálculo.
Critérios para aceitação dos riscos. Se o seu método de cálculo de risco produz valores de 2 até 10, então você pode decidir que um risco aceitável é, por exemplo, 7 – isto significaria que apenas riscos de valor 8, 9 e 10 precisam de tratamento. Alternativamente, você pode examinar cada risco individual e decidir quais deveriam ser tratados ou não baseados em sua percepção e experiência, usando valores não pré-definidos. Este artigo também ajudará você: Why is residual risk so important?
Metodologia primeiro, tudo o mais depois
Então o ponto é este: você não deveria começar a avaliar os riscos usando alguma planilha que você encontrou em algum lugar da Internet – esta planilha pode estar usando uma metodologia que é completamente inapropriada para a sua organização. Você não deveria iniciar usando a metodologia prescrita pela ferramenta de avaliação de riscos que você comprou; ao invés disso, você deveria escolher a ferramenta de avaliação de riscos que se adeque a sua metodologia. (Ou você pode decidir que não precisa de uma ferramenta, e que você pode fazer isso utilizando simples planilhas Excel.)
Em qualquer caso, você não deveria iniciar a avaliação de riscos antes de adaptar a metodologia às suas circunstâncias específicas e às suas necessidades.
Clique aqui para ver uma amostra gratuita da Metodologia de avaliação e tratamento de riscos que é aplicável a organizações de pequeno e médio porte.
Nós agradecemos a Rhand Leal pela tradução para o português.