A
Norma ABNT NBR ISO/IEC
27005:2008 Tecnologia da informação Técnicas de segurança Gestão
de riscos de segurança da informação define as diretrizes para o
processo de gestão de riscos de segurança da informação.
Considero
a Gestão
de Riscos em Segurança da Informação (GRSI) uma das dimensões de um processo de segurança da informação em uma organização.
A GRSI
compõe o conjunto das
dimensões que possibilitam que o processo de segurança da informação
aconteça de maneira eficiente, eficaz e contínua ao longo do tempo. O
mais importante para a proteção da informação é que essas dimensões
formem um conjunto coeso, como uma excelente orquestra. É pouco importante para uma organização ter um estado
de excelência em uma dimensão e uma situação deplorável em outra
dimensão.
E este é um dos primeiros cuidados que devemos ter ao desenvolver e
implantar dimensões de controle. Com as melhores das intenções queremos
que, em um primeiro momento, a organização saia do estágio zero para o
estágio de controle total e que seja referência de mercado. Muita boa
intenção,
mas
pouca realidade!
Uma
dúvida que surge nos profissionais é sobre a Norma 27005 e a Norma NBR
ISO/IEC 27002:2005 Tecnologia da informação Código de prática para a gestão da
segurança da informação. A Norma 27002 define os requisitos de segurança
da informação. O processo de GRSI é um dos requisitos, descrito no Capítulo 4
Análise/avaliação e tratamento de riscos. Sendo assim, a Norma 27005 é o
desdobramento de um requisito/elemento de segurança. A Norma 27002
continua soberana em relação ao processo de segurança da informação.
A
Norma 27005 apresenta vários conceitos
importantes. Destaco o conceito de risco e medida de risco.
- Risco:
é a possibilidade de uma determinada ameaça explorar vulnerabilidades
de um ativo ou de um conjunto de ativos, desta maneira prejudicando a
organização. - Medida
de risco: é a combinação da probabilidade de um evento indesejável e a
sua consequência.
A
norma recomenda um roteiro para a GRSI:
01. Contextualização
É necessário que seja definido o seguinte
conjunto de elementos:
- escopo
- objetivo
- métodos a serem considerados
- critérios básicos
(avaliação, impacto e tratamento de risco) referentes à gestão a ser realizada - área organizacional responsável pelo processo de GRSI.
02. Análise de risco
Nesta etapa são
identificados os eventos que podem causar perdas, ou seja, as ameaças. Logo após, devemos identificar os controles
existentes e a sua eficácia em evitar que uma ameaça
explore uma vulnerabilidade. Com a informação das ameaças e da
efetividade dos controles, podemos identificar o nível de risco.
Conhecendo o nível de risco, a organização tem a oportunidade de decidir o que vai
fazer em relação a cada um deles: reduzir (novos controles), aceitar,
evitar ou transferir. Após esta decisão, ainda restará o risco residual
sobre o qual a organização decidirá o que vai fazer. Isto fica em um
ciclo até que se chegue a uma decisão aceita (mesmo que temporariamente) pela organização.
03. Avaliação do risco
A norma fala da
avaliação do risco (análise das conseqüências) em pontos distintos.
Entendo que o que faz mais sentido prático é quando define
que a avaliação de riscos tem como entrada uma lista de riscos com
níveis de valores designados e como saída uma lista de riscos ordenados
por prioridades (item 8.3). Isto é, precisamos priorizar os riscos, pois um de nível alto, com baixo impacto financeiro, não necessariamente deve ser
tratado antes de um risco de nível médio, porém com grande impacto
financeiro.
Dessa
forma, a avaliação de risco considera impactos do tipo sócio-ambiental,
operacional, financeiro, oportunidade de negócio, cumprimento de prazo
ou requisitos legais. Entendo que em uma primeira versão do processo de GRSI pode-se tomar o item
impacto englobando todos estes aspectos. Na medida em que a organização
amadureça em gestão de risco, pode-se ter uma maior granularidade dos tipos de impactos.
Teoricamente
os riscos de maior prioridade, considerando o aspecto do impacto
(consequência), deverão ser minimizados. Falo teoricamente porque as
organizações possuem limitações (financeira, de tempo, de cultura, de
conhecimento técnico e outros) que impedem de minimizar o risco. Lembre-se: vivemos em um mundo real. O papel aceita tudo (o que eu escrevo ou o que a norma define), mas
temos a organização com suas características e seu mercado de atuação.
A
norma define em seus anexos algumas abordagens para o processo de
tratamento de risco. Particularmente acho muito boa a seguinte
estratégia:
- Avaliação considerando a probabilidade da ameaça e facilidade de
exploração (fragilidade dos controles) e chegando ao nível (medida) de
risco. Podemos ter uma visão dos riscos existentes. - Priorização de ações sobre o risco, considerando os impactos
(consequências).
Esta
maneira ficará coerente quando tratarmos de riscos operacionais, onde
primeiro será
analisado
o que impede a organização (ou área da organização) de atingir os seus objetivos e depois
consideraremos o custo dessas ações.
A
norma indica um caminho estruturado que deve ser tomado por base. Cada
profissional e organização deve implantá-la da maneira que lhe seja mais conveniente e
amigável. A sofisticação deve ser uma consequência da maturidade do
processo de GRSI. Lembre-se de que a norma é uma trilha; não é um trilho!
De 0 a 10, o quanto você recomendaria este artigo para um amigo?