O Plano de Tratamento de risco é um dos documentos chave da ISO 27001, contudo ele é frequentemente confundido com a documentação que é produzida como resultado de um processo de tratamento de risco. Aqui está a diferença:
Processo de tratamento de risco
O tratamento de risco é uma etapa do processo de gestão de risco posterior a etapa de avaliação de risco – na avaliação de risco todos riscos precisam ser identificados, e o riscos que não s”ao aceitáveis devem ser selecionados. A principal tarefa na etapa de tratamento de risco é selecionar uma ou mais opções para tratar cada risco inaceitável, i.e. decidir como mitigar todos estes riscos. Existem quatro opções para tratamento do risco (para o processo completo de gestão de risco, favor ler Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas):
- Aplicar controles de segurança do Anexo A para reduzir os riscos – veja este artigo Visão geral do Anexo A da ISO 27001:2013.
- Transferir o risco para outra parte – e.g. para uma companhia de seguro ao se adquirir uma apólice.
- Evitar o risco parando um atividade que é muito arriscada, ou ao realizá-la de uma forma completamente diferente.
- Aceitar o risco – se, por exemplo, o custo de mitigação do risco for maior do que o próprio dano em si.
O tratamento de risco é geralmente feito na forma de uma simples folha, onde você correlaciona opções de mitigação e controles com cada risco inaceitável; isto também pode ser feito com uma ferramenta de gerenciamento de risco, caso você utilize uma. De acordo com a ISO 27001, é requerido documentar os resultados do tratamento de risco no Relatório de avaliação de risco, e estes resultados são as principais entradas para escrever a Declaração de Aplicabilidade. Isto significa que os resultados do tratamento de risco não são diretamente documentados no Plano de Tratamento de Risco.
Plano de Tratamento de Risco
Então, onde o Plano de Tratamento de Risco está em todo este processo? A resposta é: ele pode ser escrito apenas após a Declaração de Aplicabilidade ser finalizada.
Por que isso? Para começar a pensar sobre Plano de Tratamento de Risco, seria mais fácil pensar nele como um “Plano de ação” onde você precisa especificar quais controles de segurança você precisa implementar, quem é responsável por ele, quais são os prazos e quais recursos (i.e. financeiros e humanos) são requeridos. Mas de modo a escrever tal documento, primeiro você precisa decidir quais controles precisam ser implementados, e isto é feito (de uma forma muito sistemática) através da Declaração de aplicabilidade.
A questão é – por que a ISO 27001 não requer que os resultados do processo de tratamento de riscos sejam documentados diretamente no Plano de Tratamento de Risco? Por que esta etapa entre as duas é necessária, soba a forma da Declaração de aplicabilidade? Minha opinião é de que os autores da ISO 27001 queriam encorajar as organizações a ter uma imagem abrangente da segurança da informação – ao decidir quais controles são ou não aplicáveis na Declaração de aplicabilidade, o resultado de tratamento de risco não é a única entrada – outras entradas são requisitos legais, regulatórios e contratuais, outras necessidades de negócio, etc. Em outras palavras, a SoA serve como um tipo de lista de verificação que leva em conta uma vis”ao global da organização, e o Plano de Tratamento de risco não seria completo sem tal verificação.
Para concluir – o Plano de Tratamento de Risco é o ponto onde a teoria para, e a vida real começa de acordo com a ISO 27001. Um bom processo de avaliação de risco e de tratamento de risco, assim como uma Declaração de Aplicabilidade abrangente, produzirá um plano de ação muito útil para a implementação de sua segurança da informação; não realize uma destas etapas e o Plano de Tratamento de Risco apenas confundirá você.
Para saber mais, faça o download gratuito do Diagram of ISO 27001:2013 Risk Assessment and Treatment process.
Nós agradecemos a Rhand Leal pela tradução para o Português.