• (0)
    ISO-27001-ISO-22301-blog

    Base de conhecimento ISO 27001 e ISO 22301

    Como escrever metodologia de avaliação de riscos para a ISO 27001

    Sem dúvida, a análise de risco é a etapa mais complexa da implementação da ISO 27001; contudo, muitas organizações tornam esta etapa ainda mais difícil ao definir a metodologia e o processo errados de analise de risco (ou por não definir uma metodologia).

    O que a ISO 27001 realmente requer?

    A ISO 27001 requer que você documente todo o processo de avaliação de risco (cláusula 6.1.2), e isto é geralmente feito em um documento chamado Metodologia de avaliação e tratamento de riscos. Infelizmente, é aqui onde muitas organizações cometem o primeiro grande erro: elas começam a implementação da avaliação de risco sem a metodologia – em outras palavras, sem qualquer regra clara sobre como fazer isso. Veja também este artigo:  Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.

    Existem muitos mitos com relação a como a avaliação de risco deveria se parecer, mas na verdade os requisitos da ISO 27001:2013 não são muito difíceis – aqui está o que a cláusula 6.1.2 requer:

    1) Definir como identificar riscos que poderiam causar perdas de confidencialidade, integridade e/ou disponibilidade de sua informação

    2) Definir como identificar os proprietários dos riscos

    3) Definir critérios para avaliar consequências e avaliar probabilidades do risco

    4) Definir como o risco será calculado

    5) Definir critérios para aceitação dos riscos

    Então essencialmente, você precisa definir estes 5 elementos – qualquer coisa a menos não será suficiente, mas mais importante – qualquer coisa a mais não é necessária, o que significa: não complique muito as coisas.

    E sim – você precisa assegurar que os resultados da avaliação de risco sejam consistentes – isto é, você tem que definir uma metodologia que produzirá resultados comparáveis em todos os departamentos de sua organização.

    Quais opções estão disponíveis?

    Claro, existem muitas opções disponíveis para os 5 elementos acima – aqui está o que você pode escolher:

    Identificação de risco. Na versão 2005 da ISO 27001 a metodologia para identificação era prescritiva: você precisava identificar ativos, ameaças e vulnerabilidades (veja também O que mudou na avaliação de riscos na ISO 27001:2013). A versão 2013 corrente da ISO 27001 não requer tal identificação, o que significa que você pode identificar riscos baseado em seus processos, baseado em seus departamentos, usando apenas ameaças e não vulnerabilidades, ou qualquer outra metodologia que você prefira; contudo, minha preferência pessoal ainda é pelo bom e velho método de ativo-ameaças-vulnerabilidades. (Veja também esta lista de ameaças e vulnerabilidades.)

    Proprietários de riscos. Basicamente, você deveria escolher uma pessoa que é tanto interessada em resolver um risco, quanto bem posicionada hierarquicamente na organização para que possa fazer algo sobre o assunto. Veja também este artigo Proprietários de risco vs. Proprietários de ativos na ISO 27001:2013.

    Avaliando consequências e probabilidade. Você deveria avaliar separadamente as consequências e probabilidade de cada um dos seus riscos; você é completamente livre para usar quaisquer escalas que preferir – e.g., Baixo-Médio-Alto, ou 1 até 5, ou 1 até 10 – qualquer uma que se adeque melhor a sua situação. Claro que, se você quer mantê-la simples, opte por Baixo-Médio-Alto.

    Método de cálculo do risco. Isto é geralmente feito através de soma (e.g., 2 + 5 = 7) ou através de multiplicação (e.g., 2 x 5 = 10). Se você usa escalas Baixo-Médio-Alto, isto é o mesmo que usar uma escala 1-2-3, assim você tem números para o seu cálculo.

    Critérios para aceitação dos riscos. Se o seu método de cálculo de risco produz valores de 2 até 10, então você pode decidir que um risco aceitável é, por exemplo, 7 – isto significaria que apenas riscos de valor 8, 9 e 10 precisam de tratamento. Alternativamente, você pode examinar cada risco individual e decidir quais deveriam ser tratados ou não baseados em sua percepção e experiência, usando valores não pré-definidos. Este artigo também ajudará você: Why is residual risk so important?

    Metodologia primeiro, tudo o mais depois

    Então o ponto é este: você não deveria começar a avaliar os riscos usando alguma planilha que você encontrou em algum lugar da Internet – esta planilha pode estar usando uma metodologia que é completamente inapropriada para a sua organização. Você não deveria iniciar usando a metodologia prescrita pela ferramenta de avaliação de riscos que você comprou; ao invés disso, você deveria escolher a ferramenta de avaliação de riscos que se adeque a sua metodologia. (Ou você pode decidir que não precisa de uma ferramenta, e que você pode fazer isso utilizando simples planilhas Excel.)

    Em qualquer caso, você não deveria iniciar a avaliação de riscos antes de adaptar a metodologia às suas circunstâncias específicas e às suas necessidades.

    Clique aqui para ver uma amostra gratuita da Metodologia de avaliação e tratamento de riscos que é aplicável a organizações de pequeno e médio porte.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.