O que mudou na avaliação de riscos na ISO 27001:2013

A avaliação de risco sempre tem sido um assunto de destaque, e especialmente agora com as mudanças na versão 2013 da ISO 27001 – há muitas dúvidas se a avaliação de riscos feita de acordo com a versão 2005 precisa ser modificada, e em caso de sim – quão grande é esta mudança.

Os mitos

Vamos iniciar com alguns mitos relacionados a gestão de riscos que se desenvolveram em torno da ISO 27001:2013:

  • “Nós temos que usar a ISO 31000 para gestão de riscos.” Falso – A ISO 31000 é apenas mencionada na ISO 27001:2013, mas não é obrigatória. (Veja também ISO 31000 e ISO 27001 – Como elas estão relacionadas?)
  • “Nós temos que excluir ativos, ameaças e vulnerabilidades de nossa avaliação de riscos.” Falso de novo – você pode manter sua antiga metodologia se desejar, porque a ISO 27001:2013 dá liberdade para que você identifique riscos da maneira que quiser.
  • “Nós não temos mais que identificar proprietários de ativos.” Outra declaração falsa – embora a ISO 27001:2013 não requeira que você identifique proprietários de ativos como parte da avaliação de riscos, ela requer que você faça isso no controle A.8.1.2. (Veja também Proprietários de risco vs. Proprietários de ativos na ISO 27001:2013)
  • “A identificação de riscos baseada na confidencialidade, integridade e disponibilidade (C-I-D) é um novo conceito.” Falso – este conceito existe na 27001:2005, também; na verdade, toda a norma é baseada no conceito de proteger a C-I-D desde o início.

Oque mudou na análise e avaliação de risco na ISO 27001:2013

Como você verá, as mudanças não são muito significativas:

  • A política de segurança da informação de alto nível não precisa estabelecer critérios contra os quais os riscos serão avaliados – este era o requisito da ISO 27001:2005 4.2.1 b) 4); na ISO 27001:2013, você ainda precisa definir o critério de avaliação de risco, mas não como parte da política de alto nível.
  • Como mencionado anteriormente, você não precisa usar a metodologia de ativos-ameaças-vulnerabilidades para identificar riscos – por exemplo, você pode identificar riscos com base em seus processos, baseado em seus departamentos, usando apenas ameaças e não vulnerabilidades, ou qualquer outra metodologia que você goste.
  • Você precisa identificar proprietários de risco para cada risco.
  • A ISO 27001:2005 requeria que a administração aprovasse os riscos residuais, assim como a implementação e operação do SGSI. Pelo contrário, na ISO 27001:2013 os proprietários do risco devem aceitar os riscos residuais e aprovar o plano de tratamento de risco.
  • As opções de tratamento na versão de 2013 não estão limitadas apenas na aplicação de controles, aceitação de riscos, evitar os riscos e transferir os riscos como era na versão 2005 – basicamente, você está livre para considerar qualquer opção de tratamento que considerar apropriada.

Uma mudança indireta que não é visível em uma leitura inicial da norma é que a gestão do risco tomou o papel das ações preventivas (ações preventivas não existem mais na versão 2013) – apenas ao ler a cláusula 6.1.1 da ISO 27001:2013 com mais cuidado isto se torna óbvio. Mas esta mudança faz sentido – ações preventivas nada mais são do que concluir que coisas negativas podem ocorrer no futuro, e tomar ações para preveni-las – e isto é exatamente sobre isso que trata a avaliação e tratamento de riscos. Dessa forma, a ISO 27001:2013 apenas corrigiu o que não era muito lógico na ISO 27001:2005, e a coisa boa é que você não tem que mudar seu processo de avaliação de risco por causa disso.

Assim, como você pode ver, as mudanças na avaliação e tratamento de risco são relativamente menores, e se você fez um bom trabalho com a ISO 27001:2005, então você descobrirá que a transição para a versão 2013 da ISO 27001 é relativamente fácil. Tudo que você precisa fazer é identificar proprietários de risco para cada risco, e dar a eles a responsabilidade de tomar decisões sobre os riscos.

Clique aqui para fazer o download gratuito do artigo Twelve-step transition process from ISO 27001:2005 to 2013 revision.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.