Como escrever metodologia de avaliação de riscos para a ISO 27001

Sem dúvida, a análise de risco é a etapa mais complexa da implementação da ISO 27001; contudo, muitas organizações tornam esta etapa ainda mais difícil ao definir a metodologia e o processo errados de analise de risco (ou por não definir uma metodologia).

O que a ISO 27001 realmente requer?

A ISO 27001 requer que você documente todo o processo de avaliação de risco (cláusula 6.1.2), e isto é geralmente feito em um documento chamado Metodologia de avaliação e tratamento de riscos. Infelizmente, é aqui onde muitas organizações cometem o primeiro grande erro: elas começam a implementação da avaliação de risco sem a metodologia – em outras palavras, sem qualquer regra clara sobre como fazer isso. Veja também este artigo:  Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.

Existem muitos mitos com relação a como a avaliação de risco deveria se parecer, mas na verdade os requisitos da ISO 27001:2013 não são muito difíceis – aqui está o que a cláusula 6.1.2 requer:

1) Definir como identificar riscos que poderiam causar perdas de confidencialidade, integridade e/ou disponibilidade de sua informação

2) Definir como identificar os proprietários dos riscos

3) Definir critérios para avaliar consequências e avaliar probabilidades do risco

4) Definir como o risco será calculado

5) Definir critérios para aceitação dos riscos

Então essencialmente, você precisa definir estes 5 elementos – qualquer coisa a menos não será suficiente, mas mais importante – qualquer coisa a mais não é necessária, o que significa: não complique muito as coisas.

E sim – você precisa assegurar que os resultados da avaliação de risco sejam consistentes – isto é, você tem que definir uma metodologia que produzirá resultados comparáveis em todos os departamentos de sua organização.

Quais opções estão disponíveis?

Claro, existem muitas opções disponíveis para os 5 elementos acima – aqui está o que você pode escolher:

Identificação de risco. Na versão 2005 da ISO 27001 a metodologia para identificação era prescritiva: você precisava identificar ativos, ameaças e vulnerabilidades (veja também O que mudou na avaliação de riscos na ISO 27001:2013). A versão 2013 corrente da ISO 27001 não requer tal identificação, o que significa que você pode identificar riscos baseado em seus processos, baseado em seus departamentos, usando apenas ameaças e não vulnerabilidades, ou qualquer outra metodologia que você prefira; contudo, minha preferência pessoal ainda é pelo bom e velho método de ativo-ameaças-vulnerabilidades. (Veja também esta lista de ameaças e vulnerabilidades.)

Proprietários de riscos. Basicamente, você deveria escolher uma pessoa que é tanto interessada em resolver um risco, quanto bem posicionada hierarquicamente na organização para que possa fazer algo sobre o assunto. Veja também este artigo Proprietários de risco vs. Proprietários de ativos na ISO 27001:2013.

Avaliando consequências e probabilidade. Você deveria avaliar separadamente as consequências e probabilidade de cada um dos seus riscos; você é completamente livre para usar quaisquer escalas que preferir – e.g., Baixo-Médio-Alto, ou 1 até 5, ou 1 até 10 – qualquer uma que se adeque melhor a sua situação. Claro que, se você quer mantê-la simples, opte por Baixo-Médio-Alto.

Método de cálculo do risco. Isto é geralmente feito através de soma (e.g., 2 + 5 = 7) ou através de multiplicação (e.g., 2 x 5 = 10). Se você usa escalas Baixo-Médio-Alto, isto é o mesmo que usar uma escala 1-2-3, assim você tem números para o seu cálculo.

Critérios para aceitação dos riscos. Se o seu método de cálculo de risco produz valores de 2 até 10, então você pode decidir que um risco aceitável é, por exemplo, 7 – isto significaria que apenas riscos de valor 8, 9 e 10 precisam de tratamento. Alternativamente, você pode examinar cada risco individual e decidir quais deveriam ser tratados ou não baseados em sua percepção e experiência, usando valores não pré-definidos. Este artigo também ajudará você: Why is residual risk so important?

Metodologia primeiro, tudo o mais depois

Então o ponto é este: você não deveria começar a avaliar os riscos usando alguma planilha que você encontrou em algum lugar da Internet – esta planilha pode estar usando uma metodologia que é completamente inapropriada para a sua organização. Você não deveria iniciar usando a metodologia prescrita pela ferramenta de avaliação de riscos que você comprou; ao invés disso, você deveria escolher a ferramenta de avaliação de riscos que se adeque a sua metodologia. (Ou você pode decidir que não precisa de uma ferramenta, e que você pode fazer isso utilizando simples planilhas Excel.)

Em qualquer caso, você não deveria iniciar a avaliação de riscos antes de adaptar a metodologia às suas circunstâncias específicas e às suas necessidades.

Clique aqui para ver uma amostra gratuita da Metodologia de avaliação e tratamento de riscos que é aplicável a organizações de pequeno e médio porte.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan: