Home / Artigo / O que é realmente necessário ao executar uma avaliação de riscos com base na ISO 27001?
O que é realmente necessário ao executar uma avaliação de riscos com base na ISO 27001?

O que é realmente necessário ao executar uma avaliação de riscos com base na ISO 27001?

A realização de uma avaliação de risco é uma parte central do processo da ISO 27001 direcionada à implementação de um SGSI (Sistema de Gestão de Segurança da Informação). Afinal, como seria possível proteger qualquer tipo de ambiente sem estar totalmente ciente das ameaças iminentes, do nível de exposição e de variáveis como probabilidade de ocorrência e nível estimado de impacto?  

Compreender todos esses fatores e como eles se comparam ao apetite de risco da sua empresa inicialmente soa como algo complexo, mas é extremamente importante para permitir que você selecione os controles adequados, com base não em suposições, mas em evidências concretas. Esse processo resulta não apenas em proteção efetiva, mas também se mostra uma abordagem bastante econômica, além de permitir que você direcione seus esforços e recursos para implementar contramedidas adequadas ao seu cenário específico, protegendo o que realmente importa. No final das contas, é disso que se trata a segurança da informação. 

Antes de realizar uma avaliação de riscos, algumas perguntas devem ser respondidas:  

  • Qual é o melhor método?  
  • Que tarefas são necessárias?  
  • Qual deve ser o produto final?  
  • O que devo fazer após a avaliação de risco?

Felizmente, a resposta para todas as perguntas é bastante simples uma vez que você obtém as ISO 27001 e a ISO 27005. Mas para deixar esse processo calor, vamos responder as dúvidas mais comuns:

Saiba como assegurar a segurança da informação na sua empresa. Assista agora ao Webinar: o papel do CSO durante e pós-crise: Como garantir a segurança da informação e processos

Etapa 01 – Compreendendo seu contexto

Um ponto chave que muitos profissionais entendem errado sobre segurança da informação é o fato de que você não precisa fornecer o mesmo nível de proteção para todos os ativos/informações. Um bom gerenciamento de segurança significa proteger o que realmente importa, e essa é a razão pela qual entender o contexto da sua organização é uma tarefa essencial.

Se sua organização deseja obter uma certificação ISO 27001, você provavelmente já deve ter alguma informação mapeada. Por isso deve ser simples o suficiente identificar toda informação relevante sobre o contexto da sua gestão de risco. Fora isso, o nosso foco deve estar na definição do objetivo do seu processo de gerenciamento de riscos à segurança da informação, incluindo seu escopo e limites.

O importante é entender que o contexto de cada empresa é único e, portanto, deve ser refletido em sua abordagem de avaliação de riscos. Isso deve permitir que você defina os critérios básicos que serão usados durante a avaliação.

 

Etapa 02 – Identificação de riscos

A primeira etapa real de uma avaliação de riscos é justamente identificar os riscos. A ideia é listar eventos que possam causar danos potenciais à sua organização e ter um entendimento claro de como, onde e por que essa perda pode ocorrer.  Uma abordagem prática é identificar todos os ativos que se enquadram no seu escopo e garantir que você tenha informações suficientes para uma análise adequada.

Depois de ter a lista de ativos, a próxima ação lógica é entender as ameaças e suas respectivas fontes. Uma abordagem simples, porém eficaz, está em organizar as ameaças em diferentes categorias, por exemplo:

  • Adversárias (Insiders, outsiders, cibercriminosos e concorrentes)
  • Acidentais (Ações errôneas de usuários)
  • Estruturas (Falhas de equipamentos e softwares)
  • Ambientais (Desastres naturais)

Você pode coletar essas informações a partir de relatórios de incidentes, conversando com cada proprietário do ativo e até usando catálogos de ameaças.

 

Nesse ponto, você deve ter uma lista completa de ameaças divididas por tipo e fonte, para identificar qualquer contramedida ou controle de segurança existente que já esteja planejado para implementação. Isso deve ajudar a evitar trabalhos desnecessários ou mesmo a duplicação de controles e fornecerá evidências que servirão de base para a compreensão do atual nível de proteção. É importante ressaltar que é necessário garantir que qualquer controle existente esteja realmente funcionando conforme o esperado, caso contrário, você poderá ter uma falsa sensação de segurança.

 

A etapa final de identificação de riscos é definir o nível de impacto que pode resultar da perda dos aspectos principais da segurança da informação. Isso baseia-se em uma análise profunda das informações que você coletou até o momento e estar alinhado ao contexto da sua organização. Os impactos devem ser representados em termos pertinentes ao seu cenário.

Etapa 03 – Análise de riscos

Sua análise de riscos se enquadra em duas categorias básicas:

  • Quantitativa: Envolve um estudo estatístico de registro como incidentes, impactos reais e outras informações pertinentes que você registrou ao longo dos anos. Os resultados são apresentados em escala numérica e têm a vantagem de ter pouco espaço para a subjetividade. O nível de dados históricos disponíveis, ou seja, se você não tiver informações suficientes, não é prático usar essa abordagem.
  • Qualitativa: É mais simples de implementar e obter informações para o tratamento de riscos. Uma análise qualitativa usa uma escala baseada em atributos de qualificação que descrevem a magnitude dos impactos potenciais e a probabilidade de ocorrência.

Depois de selecionar a metodologia que melhor se adapte às suas necessidades, você poderá calcular o nível de impacto e a probabilidade de ocorrência e criar uma estimativa de risco.

Presumindo que você tenha selecionado uma abordagem qualitativa, é muito simples criar uma matriz de risco, veja um exemplo básico:

Se você decidiu fazer uma análise quantitativa, sua matriz provavelmente será mais parecida com esta::  

 

Sendo que o “Nível de risco” é igual a Impacto X Probabilidade

Se bem feito, independentemente da metodologia escolhida, o resultado final da sua análise de risco deve ser uma visão clara do nível de cada risco mapeado. E esta é a base para a etapa final da nossa avaliação de riscos.

Etapa 04 – Avaliação de risco

Agora que você conhece os níveis de riscos, é hora de verificar como eles se comparam aos critérios de avaliação, como o apetite de riscos de sua organização. Basicamente isso significa que, conforme o contexto da sua organização, você deve definir o que precisa ser tratado e o que pode ser aceito como está (caso um risco esteja dentro do seu apetite definido). Esse ponto é orientado completamente pela abordagem que você decidiu na etapa anterior.

O produto final desta etapa é uma lista de riscos priorizados, com base no seu contexto, apetite de riscos, cenários e categorização realizados nas etapas anteriores.

Espero que esses tópicos lhe ajudem para garantir a segurança e a conformidade da sua empresa. Avaliar os riscos nem sempre é uma tarefa fácil, porém será uma grande diferença durante épocas como a que vivemos em 2021.

Quer ajudar a gente a desenvolver o contéudo que irá para o nosso blog? Faça nossa pesquisa de conteúdo

Sobre Cláudio Dodt

mm
Evangelista em Segurança da Informação e Proteção de Dados, consultor, instrutor e palestrante, atua na área de tecnologia há mais de 15 anos, exercendo atividades como Analista de Suporte, Analista de Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança.

Confira tambem

Perícia Forense Digital

A Cadeia de Custódia na Perícia Forense Digital

O grande guia da custódia na forense digital é a ISO/IEC27037 (Tecnologia da Informação – Técnicas …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *