Plano de Tratamento de Risco e processo de tratamento de risco – Qual é a diferença?

O Plano de Tratamento de risco é um dos documentos chave da ISO 27001, contudo ele é frequentemente confundido com a documentação que é produzida como resultado de um processo de tratamento de risco. Aqui está a diferença:

Processo de tratamento de risco

O tratamento de risco é uma etapa do processo de gestão de risco posterior a etapa de avaliação de risco – na avaliação de risco todos riscos precisam ser identificados, e o riscos que não s”ao aceitáveis devem ser selecionados. A principal tarefa na etapa de tratamento de risco é selecionar uma ou mais opções para tratar cada risco inaceitável, i.e. decidir como mitigar todos estes riscos. Existem quatro opções para tratamento do risco (para o processo completo de gestão de risco, favor ler Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas):

  1. Aplicar controles de segurança do Anexo A para reduzir os riscos – veja este artigo Visão geral do Anexo A da ISO 27001:2013.
  2. Transferir o risco para outra parte – e.g. para uma companhia de seguro ao se adquirir uma apólice.
  3. Evitar o risco parando um atividade que é muito arriscada, ou ao realizá-la de uma forma completamente diferente.
  4. Aceitar o risco – se, por exemplo, o custo de mitigação do risco for maior do que o próprio dano em si.

O tratamento de risco é geralmente feito na forma de uma simples folha, onde você correlaciona opções de mitigação e controles com cada risco inaceitável; isto também pode ser feito com uma ferramenta de gerenciamento de risco, caso você utilize uma. De acordo com a ISO 27001, é requerido documentar os resultados do tratamento de risco no Relatório de avaliação de risco, e estes resultados são as principais entradas para escrever a Declaração de Aplicabilidade. Isto significa que os resultados do tratamento de risco não são diretamente documentados no Plano de Tratamento de Risco.

Plano de Tratamento de Risco

Então, onde o Plano de Tratamento de Risco está em todo este processo? A resposta é: ele pode ser escrito apenas após a Declaração de Aplicabilidade ser finalizada.

Por que isso? Para começar a pensar sobre Plano de Tratamento de Risco, seria mais fácil pensar nele como um “Plano de ação” onde você precisa especificar quais controles de segurança você precisa implementar, quem é responsável por ele, quais são os prazos e quais recursos (i.e. financeiros e humanos) são requeridos. Mas de modo a escrever tal documento, primeiro você precisa decidir quais controles precisam ser implementados, e isto é feito (de uma forma muito sistemática) através da Declaração de aplicabilidade.

A questão é – por que a ISO 27001 não requer que os resultados do processo de tratamento de riscos sejam documentados diretamente no Plano de Tratamento de Risco? Por que esta etapa entre as duas é necessária, soba a forma da Declaração de aplicabilidade? Minha opinião é de que os autores da ISO 27001 queriam encorajar as organizações a ter uma imagem abrangente da segurança da informação – ao decidir quais controles são ou não aplicáveis na Declaração de aplicabilidade, o resultado de tratamento de risco não é a única entrada – outras entradas são requisitos legais, regulatórios e contratuais, outras necessidades de negócio, etc. Em outras palavras, a SoA serve como um tipo de lista de verificação que leva em conta uma vis”ao global da organização, e o Plano de Tratamento de risco não seria completo sem tal verificação.

Para concluir – o Plano de Tratamento de Risco é o ponto onde a teoria para, e a vida real começa de acordo com a ISO 27001. Um bom processo de avaliação de risco e de tratamento de risco, assim como uma Declaração de Aplicabilidade abrangente, produzirá um plano de ação muito útil para a implementação de sua segurança da informação; não realize uma destas etapas e o Plano de Tratamento de Risco apenas confundirá você.

Para saber mais, faça o download gratuito do Diagram of ISO 27001:2013 Risk Assessment and Treatment process.

Nós agradecemos a Rhand Leal pela tradução para o Português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.