É com entusiasmo que anuncio o lançamento da versão brasileira da nova ISO 27005. É um marco significativo para a segurança da informação no Brasil, enfatizando a importância da gestão de riscos como parte integrante de uma estratégia de segurança eficaz.

Demonstra também o compromisso do país em adotar e aderir aos principais padrões e normas internacionais.

A NBR ISO/IEC 27005, publicada pela ABNT, fornece orientações para a gestão de riscos de segurança da informação, ajudando a cumprir os requisitos da ISO 27001, que estabelece requisitos para implementar um Sistema de Gestão de Segurança da Informação (SGSI). Agora, com a versão traduzida e adaptada ao cenário brasileiro, as organizações estarão mais bem preparadas para enfrentar os desafios crescentes da segurança, especificamente na avaliação e tratamento de riscos cibernéticos.

A nova norma é estruturada em seções, projetadas para orientar sobre os vários aspectos da gestão de riscos de segurança da informação:

• Seção 5: Gestão de riscos de segurança da informação
• Seção 6: Estabelecimento de contexto
• Seção 7: Processo de avaliação de riscos de segurança da informação
• Seção 8: Processo de tratamento de riscos de segurança da informação
• Seção 9: Operação
• Seção 10: Alavancagem dos processos relacionados ao SGSI

A norma também enfatiza a necessidade de ciclos de gestão de riscos, tanto estratégicos quanto operacionais, atualizados regularmente com base em mudanças no contexto geral da organização.

Para mais detalhes e informações sobre a nova ISO 27005 recomendo a coletânea de artigos publicados anteriormente:

A nova ISO 27005 para gestão de riscos de segurança da informação(5/9/2022): Neste artigo falo sobre a experiência da minha participação na elaboração da norma, ressaltando a ativa colaboração do Brasil em seu desenvolvimento. Comento sobre o processo de tradução para adoção como norma brasileira, e as principais mudanças, incluindo o alinhamento com outras normas ISO.

Saindo do forno: nova ISO 27005 para gestão de riscos em segurança da informação (17/11/2022) - Neste artigo, anunciamos a nova ISO 27005, assim que lançada internacionalmente, detalhando seu alinhamento com a ISO 31000 e a ISO/IEC 27001, discutindo as principais mudanças em relação à versão anterior e como o Brasil se mobilizou para a sua adoção.

Como definir sua abordagem de gestão de riscos (16/11/2022): Este artigo apresenta as duas abordagens de gestão de riscos da ISO 27005, sendo uma "bottom-up" (de baixo para cima) que é a abordagem baseada em ativos (asset based approach) e outra "top-down" (de cima para baixo), definida como baseada em eventos (event based approach).

Padronizando a linguagem de riscos com a ISO 27005 (28/11/2022): Este artigo, apresenta as 27 definições alinhadas com a terminologia da ISO 31000 - Diretrizes e ISO Guia 73 - Vocabulário, sendo 17 termos relacionados diretamente ao risco e mais 10 termos referentes ao processo e atividades da gestão de riscos.

Critérios de riscos de segurança da informação - exemplos da 27005(30/1/2023): Este artigo aborda a revisão e consolidação do conteúdo dos 6 anexos do documento anterior, em apenas um único anexo, com o título Exemplos de técnicas de apoio ao processo de avaliação de riscos, divididos em 2 partes: Critérios de risco e Técnicas práticas.

Técnicas práticas de gestão de riscos - ISO 27005 (6/2/2023): Este artigo apresenta e detalha os componentes do risco, com exemplos de cenários aplicáveis a ambas as abordagens top-down (baseada em eventos) e bottom-up (baseada em ativos).

Monitoramento e Análise Crítica de Riscos com a ISO 27005 e ISO 31000 (13/2/2023): Este artigo reforça o valor do monitoramento e análise crítica dos riscos e do processo de gestão de riscos, apresentando os processos conforme a ISO 27005 e ISO 31000.

Conheça a versão brasileira da ISO 27005 - Gestão de riscos de segurança da informação (8/5/2023): Este artigo informou que a nova ISO 27005 encontrava-se em consulta nacional no site da ABNT, para substituir a versão anterior, publicada em 2018, com um resumo do seu conteúdo e estrutura.