{"id":4554,"date":"2014-04-30T19:32:20","date_gmt":"2014-04-30T19:32:20","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/04\/30\/como-organizar-a-avaliacao-de-riscos-inicial-de-acordo-com-a-iso-27001-e-iso-22301\/"},"modified":"2022-07-17T16:02:26","modified_gmt":"2022-07-17T16:02:26","slug":"como-organizar-a-avaliacao-de-riscos-inicial-de-acordo-com-a-iso-27001-e-iso-22301","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2014\/04\/30\/como-organizar-a-avaliacao-de-riscos-inicial-de-acordo-com-a-iso-27001-e-iso-22301\/","title":{"rendered":"Como organizar a avalia\u00e7\u00e3o de riscos inicial de acordo com a ISO 27001 e ISO 22301"},"content":{"rendered":"

Geralmente, a maior dor de cabe\u00e7a que as organiza\u00e7\u00f5es tem ao iniciar a implementa\u00e7\u00e3o da ISO 22301<\/a>, e especialmente a da ISO 27001<\/a>, \u00e9 a avalia\u00e7\u00e3o de riscos. E, curiosamente, tal dor de cabe\u00e7a acontece apenas ao realiz\u00e1-la pela primeira vez \u2013 o que significa que a avalia\u00e7\u00e3o de riscos n\u00e3o tem de ser dif\u00edcil uma vez que voc\u00ea saiba com o faz\u00ea-la.<\/p>\n

Ent\u00e3o, como se preparar para tornar esta dor de cabe\u00e7a menor?<\/p>\n

Fazer sozinho ou contratar um consultor?<\/h2>\n

Uma vez que a avalia\u00e7\u00e3o e o tratamento de riscos consomem um tempo razo\u00e1vel e s\u00e3o complexas, voc\u00ea pode decidir se estas atividades ser\u00e3o gerenciadas pelo Gerente do projeto \/ Gerente de seguran\u00e7a da informa\u00e7\u00e3o \/ Gerente de continuidade do neg\u00f3cio sozinho, ou com a ajuda de um especialista contratado (ex.: um consultor). Um consultor poderia ser de grande ajuda para organiza\u00e7\u00f5es maiores, n\u00e3o apenas para guiar o coordenador atrav\u00e9s de todo o processo, mas tamb\u00e9m para realizar parte do processo \u2013 ex.: um consultor poderia realizar os workshops e\/ou entrevistas, compilar todas as informa\u00e7\u00f5es, escrever relat\u00f3rios, etc. , enquanto o coordenador iria gerenciar todo o processo e coordenar as pessoas dentro da organiza\u00e7\u00e3o. Leia tamb\u00e9m 5 criteria for choosing an ISO 22301 \/ ISO 27001 consultant<\/a>.<\/p>\n

Organiza\u00e7\u00f5es maiores geralmente ter\u00e3o equipes de projeto para a implementa\u00e7\u00e3o da ISO 27001\/ISO 22301, ent\u00e3o esta mesma equipe de projeto participar\u00e1 do processo de avalia\u00e7\u00e3o de riscos \u2013 membros da equipe do projeto poderiam ser aqueles realizando as entrevistas.<\/p>\n

Organiza\u00e7\u00f5es menores n\u00e3o precisam ter um consultor ou uma equipe de projeto \u2013 sim, o gerente do projeto ter\u00e1 que receber alguma capacita\u00e7\u00e3o inicial, mas com a metodologia de avalia\u00e7\u00e3o de riscos adequada<\/a>, este processo pode ser realizado sem a ajuda de um especialista.<\/p>\n

Voc\u00ea deveria utilizar uma ferramenta de avalia\u00e7\u00e3o de riscos?<\/h2>\n

Ferramentas podem acelerar o processo de avalia\u00e7\u00e3o e tratamento de riscos porque elas em geral possuem cat\u00e1logos incorporados de ativos, amea\u00e7as e vulnerabilidades; s\u00e3o capazes de compilar resultados de forma semiautom\u00e1tica; e a produ\u00e7\u00e3o de relat\u00f3rios tamb\u00e9m \u00e9 mais f\u00e1cil \u2013 op\u00e7\u00f5es estas que as tornam uma escolha muito boa para organiza\u00e7\u00f5es maiores.<\/p>\n

Contudo, para organiza\u00e7\u00f5es menores, o pre\u00e7o de tais ferramentas poderia ser um obst\u00e1culo, embora em minha opini\u00e3o uma barreira ainda maior \u00e9 o fato de que tais ferramentas s\u00e3o em geral muito complexas para organiza\u00e7\u00f5es menores. Em outras palavras, o tempo necess\u00e1rio para aprender a trabalhar com tais ferramentas \u00e9 em geral muito maior do que o que levaria para lidar com uma d\u00fazia de planilhas eletr\u00f4nicas. Sem mencionar que tais ferramentas geralmente necessitam que voc\u00ea siga uma metodologia de avalia\u00e7\u00e3o de riscos em geral complexa, o que poderia ser uma sobrecarga para organiza\u00e7\u00f5es menores.<\/p>\n

Em outras palavras, se voc\u00ea est\u00e1 em uma organiza\u00e7\u00e3o pequena, pense duas vezes antes de adquirir qualquer ferramenta \u2013 uma planilha eletr\u00f4nica ainda \u00e9 uma ferramenta muito boa se voc\u00ea n\u00e3o \u00e9 muito ambicioso. (Se voc\u00ea usa planilhas eletr\u00f4nicas, tenha certeza de utilizar alguns cat\u00e1logos \u2013 veja aqui um exemplo de cat\u00e1logo de ame\u00e7as e vulnerabilidades<\/a>.)<\/p>\n

Op\u00e7\u00f5es para a coleta de informa\u00e7\u00f5es<\/h2>\n

avalia\u00e7\u00e3o de riscos significa que voc\u00ea ter\u00e1 que obter uma quantidade substancial de entradas de seus empregados \u2013 essencialmente, existem 3 formas de fazer isso:<\/p>\n

a) Realizar a avalia\u00e7\u00e3o de riscos atrav\u00e9s de entrevistas<\/strong> \u2013 isto significa que o coordenador entrevistar\u00e1 pessoa(s) respons\u00e1vel(is) por cada departamento, onde ele explicar\u00e1 primeiro o prop\u00f3sito da avalia\u00e7\u00e3o de riscos, e ir\u00e1 se certificar que cada decis\u00e3o da pessoa respons\u00e1vel sobre o n\u00edvel de risco (consequ\u00eancia e probabilidade) faz sentido e n\u00e3o seja tendenciosa.<\/p>\n

b) Realizar workshops com as pessoas respons\u00e1veis<\/strong> \u2013 em tais workshops o coordenador explica a todas as pessoas respons\u00e1veis o prop\u00f3sito da sobre o n\u00edvel de risco , e atrav\u00e9s de v\u00e1rios exemplos reais, mostra como identificar riscos e avaliar\/analisar seus n\u00edveis.<\/p>\n

c) Enviar planilhas com explica\u00e7\u00f5es detalhadas<\/strong> \u2013 aqui voc\u00ea n\u00e3o auxilia as pessoas respons\u00e1veis diretamente, mas envia a elas a metodologia de sobre o n\u00edvel de risco ou algum outro tipo de instru\u00e7\u00f5es sobre como preencher eles mesmos as planilhas de avalia\u00e7\u00e3o de riscos.<\/p>\n

A \u00faltima op\u00e7\u00e3o \u00e9 provavelmente a mais f\u00e1cil da perspectiva do coordenador, mas o problema \u00e9 que a informa\u00e7\u00e3o coletada desta forma ter\u00e1 baixa qualidade. Se o processo de avalia\u00e7\u00e3o de riscos n\u00e3o \u00e9 muito claro para voc\u00ea, ele certamente ser\u00e1 menos claro ainda para os outros empregados em sua organiza\u00e7\u00e3o, n\u00e3o importa o qu\u00e3o boa sua explica\u00e7\u00e3o escrita seja.<\/p>\n

Claro que, realizar entrevistas provavelmente trar\u00e1 melhores resultados; contudo, esta op\u00e7\u00e3o \u00e9 frequentemente impratic\u00e1vel porque requer um grande investimento do tempo do coordenador. Desta forma, realizar workshops \u00e9 frequentemente a melhor solu\u00e7\u00e3o.<\/p>\n

Quem decide o n\u00edvel do risco?<\/h2>\n

A decis\u00e3o sobre o n\u00edvel do risco (consequ\u00eancia e probabilidade) deveriam sempre ser deixadas para a pessoa respons\u00e1vel pelas atividades \u2013 o coordenador nunca ir\u00e1 conhecer os ativos, processos e o ambiente o suficiente para tomar tais decis\u00f5es, mas as pessoas trabalhando l\u00e1 certamente ter\u00e3o uma ideia melhor.<\/p>\n

Contudo, o coordenador tem outra importante fun\u00e7\u00e3o durante o processo de avalia\u00e7\u00e3o de riscos \u2013 uma vez que ele comece a receber os resultados das avalia\u00e7\u00f5es de riscos, ele deve se certificar que estes resultados fazem sentido e que os crit\u00e9rios entre diferentes departamentos s\u00e3o uniformes. Mesmo que os workshops tenham sido realizados, ou que uma explica\u00e7\u00e3o tenha sido dada durante as entrevistas com a pessoa respons\u00e1vel, eles sempre tender\u00e3o a dar uma import\u00e2ncia maior (maiores riscos) para seus pr\u00f3prios departamentos \u2013 em tais casos, o coordenador deve questionar tais avalia\u00e7\u00f5es e solicitar a estas pessoas que reconsiderem suas decis\u00f5es.<\/p>\n

Ent\u00e3o, estas foram as prepara\u00e7\u00f5es que voc\u00ea precisa fazer: uma vez iniciada a avalia\u00e7\u00e3o de riscos voc\u00ea deveria seguir estes passos: Avalia\u00e7\u00e3o e tratamento de riscos segundo a ISO 27001 \u2013 6 etapas b\u00e1sicas<\/a>.<\/p>\n

E n\u00e3o se esque\u00e7a: uma boa prepara\u00e7\u00e3o \u00e9 metade do trabalho feito.<\/p>\n

Para saber mais, veja gratuitamente este<\/em> Diagram of ISO 27001:2013 Risk Assessment and Treatment process<\/a>.<\/p>\n

N\u00f3s agradecemos a Rhand Leal pela tradu\u00e7\u00e3o para o Portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Geralmente, a maior dor de cabe\u00e7a que as organiza\u00e7\u00f5es tem ao iniciar a implementa\u00e7\u00e3o da ISO 22301, e especialmente a da ISO 27001, \u00e9 a avalia\u00e7\u00e3o de riscos. E, curiosamente, tal dor de cabe\u00e7a acontece apenas ao realiz\u00e1-la pela primeira vez \u2013 o que significa que a avalia\u00e7\u00e3o de riscos n\u00e3o tem de ser dif\u00edcil …<\/p>\n","protected":false},"author":26,"featured_media":4555,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[],"class_list":["post-4554","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4554","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4554"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4554\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4555"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4554"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4554"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4554"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}