{"id":8819,"date":"2016-04-05T09:29:42","date_gmt":"2016-04-05T09:29:42","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=8819"},"modified":"2022-07-17T15:43:24","modified_gmt":"2022-07-17T15:43:24","slug":"iso-31010-o-que-usar-ao-inves-da-abordagem-baseada-em-ativos-para-a-identificacao-de-riscos-da-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2016\/04\/05\/iso-31010-o-que-usar-ao-inves-da-abordagem-baseada-em-ativos-para-a-identificacao-de-riscos-da-iso-27001\/","title":{"rendered":"ISO 31010: O que usar ao inv\u00e9s da abordagem baseada em ativos para a identifica\u00e7\u00e3o de riscos da ISO 27001"},"content":{"rendered":"<p>Uma das mudan\u00e7as mais significantes na vers\u00e3o 2013 da <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>, uma norma mundial para Sistemas de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o, \u00e9 que ela n\u00e3o prescreve mais nenhuma abordagem para o processo de <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/metodologia-de-avaliacao-e-tratamento-de-riscos\/\" target=\"_blank\" rel=\"noopener\">avalia\u00e7\u00e3o de riscos<\/a>. Enquanto ela ainda requer a ado\u00e7\u00e3o de uma abordagem de avalia\u00e7\u00e3o de risco baseada em processo (saiba mais aqui: <a href=\"\/27001academy\/pt-br\/knowledgebase\/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas\/\">Avalia\u00e7\u00e3o e tratamento de riscos segundo a ISO 27001 \u2013 6 etapas b\u00e1sicas<\/a>), a obriga\u00e7\u00e3o de usar um modelo ativo-amea\u00e7a-vulnerabilidade na etapa de identifica\u00e7\u00e3o de risco n\u00e3o mais existe.<\/p>\n<p>Enquanto esta abordagem na norma prove mais Liberdade para as organiza\u00e7\u00f5es escolherem a abordagem de\u00a0<a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/anexo-1-tabela-de-avaliacao-de-riscos\/\" target=\"_blank\" rel=\"noopener\">identifica\u00e7\u00e3o de risco<\/a>\u00a0que melhor se adequa \u00e0s suas necessidades, a aus\u00eancia de tal orienta\u00e7\u00e3o \u00e9 fonte de muita confus\u00e3o para organiza\u00e7\u00f5es sobre como abordar a identifica\u00e7\u00e3o de riscos. Neste artigo, falarei sobre como a ISO 31010 (uma norma focada no processo de avalia\u00e7\u00e3o de riscos) pode ajudar voc\u00ea, ao apresentar algumas de suas abordagens de identifica\u00e7\u00e3o de riscos que podem ser usadas para encontrar, reconhecer e descrever riscos de uma forma que \u00e9 conforme com a ISO 27001.<\/p>\n<h2>A etapa de identifica\u00e7\u00e3o de riscos<\/h2>\n<p>De acordo com a ISO 31010:2012 \u2013 Gest\u00e3o de riscos \u2014 T\u00e9cnicas de avalia\u00e7\u00e3o de riscos, o prop\u00f3sito da identifica\u00e7\u00e3o de riscos \u00e9 identificar o que poderia acontecer, ou que situa\u00e7\u00f5es poderiam existir, que possam afetar o atingimento dos objetivos propostos. Considerando a seguran\u00e7a da informa\u00e7\u00e3o, alguns exemplos pr\u00e1ticos s\u00e3o:<\/p>\n<ul>\n<li>Um pico de energia pode causar a falha de uma unidade de armazenamento, levando a perda de dados;<\/li>\n<li>Falta de aten\u00e7\u00e3o pode ocasionar que um empregado envie um <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/anexo-3-relatorio-de-avaliacao-de-riscos\/\" target=\"_blank\" rel=\"noopener\">relat\u00f3rio<\/a>\u00a0para\u00a0 a pessoa errada, levando a uma divulga\u00e7\u00e3o n\u00e3o autorizada de informa\u00e7\u00e3o;<\/li>\n<li>Uma mudan\u00e7a em condi\u00e7\u00f5es ambientais pode levar um equipamento a fazer leituras erradas, levando ao comprometimento da integridade dos dados.<\/li>\n<\/ul>\n<p>Uma vez que um risco seja identificado, a organiza\u00e7\u00e3o tamb\u00e9m deveria identificar quaisquer controles existentes afetando aquele risco, e proceder para as pr\u00f3ximas etapas do processo de avalia\u00e7\u00e3o de riscos (an\u00e1lise de risco e avalia\u00e7\u00e3o de risco).<\/p>\n<h2>Metodologia de identifica\u00e7\u00e3o de risco<\/h2>\n<p>Para ser \u00fatil, uma descri\u00e7\u00e3o de risco deve conter alguns elementos:<\/p>\n<ul>\n<li><strong>Fontes de risco<\/strong>: elementos no cen\u00e1rio que, isolados ou combinados, t\u00eam o potencial de afetar os resultados esperados (e.g., a eletricidade para energizar a unidade de armazenamento)<\/li>\n<li><strong>Evento<\/strong>: um conjunto espec\u00edfico de circunst\u00e2ncias (e.g., a falha da unidade de armazenamento)<\/li>\n<li><strong>Causa<\/strong>: a condi\u00e7\u00e3o inicial que inicia o evento (e.g., o pico de energia)<\/li>\n<li><strong>Consequ\u00eancia<\/strong>: o resultado do evento afetando o objetivo (e.g., a perda de dados, afetando a disponibilidade da informa\u00e7\u00e3o)<\/li>\n<\/ul>\n<p>Ao fazer uso de uma metodologia para identificar <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/anexo-2-tabela-de-tratamento-de-riscos\/\" target=\"_blank\" rel=\"noopener\">riscos<\/a>, voc\u00ea aumenta as chances de identificar todos estes itens, seja pela coleta de evid\u00eancia verific\u00e1vel, aplica\u00e7\u00e3o de conhecimento especializado, ou de qualquer outra forma estruturada. Considerando isto, e as metodologias de identifica\u00e7\u00e3o de <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/declaracao-de-aplicabilidade\/\" target=\"_blank\" rel=\"noopener\">risco<\/a>\u00a0apresentadas pela ISO 31010, posso destacar estas metodologias de identifica\u00e7\u00e3o de riscos:<\/p>\n<p><strong><em>Brainstorming:<\/em><\/strong> uma t\u00e9cnica de criatividade em grupo para a coleta de uma grande quantidade de informa\u00e7\u00e3o para se encontrar uma conclus\u00e3o para uma situa\u00e7\u00e3o espec\u00edfica. Por sua forte \u00eanfase na imagina\u00e7\u00e3o, ela \u00e9 \u00fatil para se identificar riscos em situa\u00e7\u00f5es que requerem resposta r\u00e1pida e tem poucos dados formais dispon\u00edveis (e.g., sele\u00e7\u00e3o das medidas menos danosas para se contar um ataque em andamento), ou s\u00e3o novas para a organiza\u00e7\u00e3o, como riscos envolvendo a entrada em um novo segmento de mercado.<\/p>\n<p><strong><em>Entrevista:<\/em><\/strong> uma conversa onde quest\u00f5es pr\u00e9-definidas s\u00e3o apresentadas para um entrevistado para entender sua percep\u00e7\u00e3o de uma dada situa\u00e7\u00e3o (e.g., tend\u00eancias de mercado, desempenho de processos, expectativas de produto, etc.), e a partir da\u00ed identificar riscos considerando sua perspectiva. \u00c9 recomendada quando opini\u00f5es particulares detalhadas s\u00e3o requeridas (e.g., do CEO, CFO, de clientes, etc.).<\/p>\n<p><strong><em>M\u00e9todo Delphi:<\/em><\/strong> uma t\u00e9cnica colaborativa an\u00f4nima usada para combinar diferentes opini\u00f5es de especialistas de uma forma confi\u00e1vel e n\u00e3o tendenciosa em dire\u00e7\u00e3o a um consenso (e.g., sele\u00e7\u00e3o de um fornecedor de seguran\u00e7a, defini\u00e7\u00e3o de uma estrat\u00e9gia de prote\u00e7\u00e3o). Ela difere do brainstorming porque trabalha para eliminar solu\u00e7\u00f5es durante sua realiza\u00e7\u00e3o, ao inv\u00e9s de criar novas. Deveria ser considerada em situa\u00e7\u00f5es onde as caracter\u00edsticas dos participantes podem afetar as opini\u00f5es de outros (e.g., todos concordam \/ discordam de algu\u00e9m apenas por conta de seu cargo).<\/p>\n<p><strong><em>Lista de verifica\u00e7\u00e3o:<\/em><\/strong> uma t\u00e9cnica onde uma lista de itens \u00e9 elaborada para assegurar que os t\u00f3picos mais comuns, assim como os mais cr\u00edticos, sobre o assunto tratado n\u00e3o sejam esquecidos durante a identifica\u00e7\u00e3o de riscos (e.g., falas comuns no desenvolvimento de software, ou prote\u00e7\u00f5es requeridas por contrato). Isto aumenta a consist\u00eancia e completude da identifica\u00e7\u00e3o de riscos. Seu uso \u00e9 recomendado nos casos onde informa\u00e7\u00e3o hist\u00f3rica, refer\u00eancias se mercado, e conhecimento de situa\u00e7\u00f5es pr\u00e9vias encontra-se largamente dispon\u00edvel.<\/p>\n<p><strong><em>An\u00e1lise de cen\u00e1rio:<\/em><\/strong> metodologia que usa modelos descrevendo poss\u00edveis cen\u00e1rios futuros para identificar riscos considerando poss\u00edveis resultados, estrat\u00e9gias e a\u00e7\u00f5es que levam aos resultados, e poss\u00edveis implica\u00e7\u00f5es para o neg\u00f3cio. Uma abordagem comum na seguran\u00e7a da informa\u00e7\u00e3o \u00e9, por exemplo, o uso de cen\u00e1rios permissivos, restritivos e balanceados para se identificar riscos com controle de acesso. Ela deveria ser considerada em situa\u00e7\u00f5es onde m\u00faltiplas solu\u00e7\u00f5es est\u00e3o dispon\u00edveis ou os resultados podem apresentar grande varia\u00e7\u00e3o.<\/p>\n<h2>E quanto a abordagem ativo-amea\u00e7a-vulnerabilidade?<\/h2>\n<p>Embora a metodologia ativo-amea\u00e7a-vulnerabilidade n\u00e3o seja obrigat\u00f3ria na norma ISO 27001:2013, ela ainda \u00e9 uma abordagem v\u00e1lida. Organiza\u00e7\u00f5es que j\u00e1 a implementaram e a consideram apropriada para seus prop\u00f3sitos podem continuar a us\u00e1-la normalmente. O principal aspecto para sua ado\u00e7\u00e3o \u00e9 a disponibilidade de uma base de dados de ativos confi\u00e1vel (saiba mais aqui:\u00a0<a href=\"\/27001academy\/pt-br\/knowledgebase\/avaliacao-de-riscos-da-iso-27001-como-combinar-ativos-ameacas-e-vulnerabilidades\/\">Avalia\u00e7\u00e3o de riscos da ISO 27001: Como combinar ativos, amea\u00e7as e vulnerabilidades<\/a>).<\/p>\n<h2>N\u00e3o h\u00e1 bala de prata na identifica\u00e7\u00e3o de riscos<\/h2>\n<p>Por muitos anos, o modelo de identifica\u00e7\u00e3o de riscos ativo-amea\u00e7a-vulnerabilidade tem dominado o processo de avalia\u00e7\u00e3o de <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/plano-de-tratamento-de-riscos\/\" target=\"_blank\" rel=\"noopener\">risco<\/a>. Em minha opini\u00e3o, isto \u00e9 mais devido a ele ser explicitamente mencionado na vers\u00e3o ISO 27001:2005, do que pela efic\u00e1cia de sua aplica\u00e7\u00e3o em qualquer situa\u00e7\u00e3o. E eu entendo que diferentes abordagens poder\u00e3o se sobressair com o tempo.<\/p>\n<p>A identifica\u00e7\u00e3o de riscos \u00e9 uma atividade complexa, dependendo de muitos elementos para se atingir resultados \u00fateis. Pela identifica\u00e7\u00e3o apropriada de ferramentas que podem tirar vantagem da situa\u00e7\u00e3o e informa\u00e7\u00f5es dispon\u00edveis, sua organiza\u00e7\u00e3o pode se concentrar nos riscos que realmente importam para o seu neg\u00f3cio e resultados, aplicando recursos de uma forma mais eficiente.<\/p>\n<p><em>Para saber mais sobre identifica\u00e7\u00e3o de riscos e o processo de avalia\u00e7\u00e3o de riscos, tente este webinar gratuito: \u00a0<\/em><a href=\"https:\/\/advisera.com\/27001academy\/webinar\/basics-risk-assessment-treatment-according-iso-27001-free-webinar-demand\/\" target=\"_blank\" rel=\"noopener\">The basics of risk assessment and treatment according to ISO 27001<\/a>.<\/p>\n<p>N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Uma das mudan\u00e7as mais significantes na vers\u00e3o 2013 da ISO 27001, uma norma mundial para Sistemas de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o, \u00e9 que ela n\u00e3o prescreve mais nenhuma abordagem para o processo de avalia\u00e7\u00e3o de riscos. Enquanto ela ainda requer a ado\u00e7\u00e3o de uma abordagem de avalia\u00e7\u00e3o de risco baseada em processo (saiba mais &#8230;<\/p>\n","protected":false},"author":41,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[],"class_list":["post-8819","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/8819","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/41"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=8819"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/8819\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=8819"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=8819"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=8819"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}