Encontra-se em fase final de revisão a nova versão da norma internacional ISO/IEC 27005 -Gestão de riscos de segurança da informação. O documento atualizado vai substituir a atual versão de 2018, publicada no Brasil como ABNT NBR ISO/IEC 27005:2019 , disponível para aquisição no site da ABNT.
Tratando-se de uma norma de diretrizes, fornece as melhores práticas para que a gestão da segurança da informação seja feita a partir de uma abordagem sistemática de gestão de riscos, alinhada com os conceitos e requisitos da ISO 27001 e os controles da ISO 27002.
Para mim, é um prazer e uma honra participar ativamente da elaboração desta norma desde o início, junto a ISO internacional e no Brasil, coordenando o grupo de trabalho da ABNT na discussão e elaboração do seu conteúdo, bem como na tradução das versões nacionais para publicação no Brasil como norma brasileira.
O Brasil tem tido uma contribuição relevante no desenvolvimento da ISO 27005, com comentários e sugestões importantes para garantir que os conceitos e definições estejam alinhados com a ISO 31000, referência maior de gestão de riscos corporativos.
Gestão de riscos é um processo contínuo que leva em consideração o negócio de cada organização, a partir de suas partes interessadas e principais objetivos. De forma geral, trata-se de estabelecer o contexto interno e externo da organização, identificar, analisar e avaliar os seus riscos, e decidir sobre os controles adequados para tratamento, monitorando para que estes riscos se mantenham em um nível aceitável
A versão atual da ISO 27005 apresenta uma figura com a visão de alto nível do processo de gestão de riscos, baseado na figura original da ISO 31000, que consiste no estabelecimento do contexto, processo de avaliação de riscos (identificação, análise e avaliação de riscos), tratamento de riscos, comunicação e consulta, e monitoramento e análise crítica.
No contexto da segurança da informação, esta outra figura modificada reflete este processo de gestão de riscos com um enfoque iterativo, apresentando um fluxo que possibilita a repetição dos processos de avaliação ou tratamento de riscos, até que sejam considerados satisfatórios. Desta forma, introduz o conceito de pontos de decisão, onde é possível voltar, aprofundar e detalhar mais as atividades, bem como priorizar a seleção dos controles de segurança para reduzir o risco residual até que seu nível seja considerado aceitável. O processo é dinâmico e, considerando o monitoramento e análise crítica periódica, pode-se identificar as mudanças no contexto, critérios, bem como a avaliação da eficácia dos controles, com todo o ciclo de atividades sendo repetido e adequadamente comunicado.
Nesta nova versão da ISO 27005, mudanças relevantes serão realizadas, a começar pelo próprio título da norma que passa a ser Segurança da informação, segurança cibernética e proteção da privacidade - Orientação para gerenciar riscos de segurança da informação (em inglês, Information security, cybersecurity and privacy protection — Guidance on managing information security risks).
Outras mudanças que merecem destaque são:
- alinhamento das orientações com as normas ISO 27001 e ISO 31000;
- alinhamento da terminologia com a versão mais nova (de 2018) da ISO 31000;
- ajuste da estrutura das cláusulas segundo o layout da ISO 27001;
- introdução dos conceitos de cenário de riscos;
- diferenciação entre a abordagem baseada em eventos e a abordagem baseada em ativos para identificação de riscos, e
- revisão do conteúdo dos vários anexos e reestruturação para um único anexo.
Comentários e sugestões dos países para aprovação desta nova versão devem ser enviados até 13 de setembro, sendo que nosso grupo de trabalho da ABNT no Brasil já decidiu que faremos uma única e relevante recomendação: que os atuais termos e definições que referenciam o ISO Guia 73:2009 sejam substituídos pelos seus respectivos termos da nova norma ISO 31073:2022 - Gestão de Riscos - Vocabulário, lançada fevereiro deste ano.
Em paralelo, decidimos também já iniciar o processo de tradução, para adiantar o texto em português, de forma que a ABNT possa lançar o mais rápido possível a versão nacional, assim que a norma for publicada internacionalmente.
Interessados em participar podem me enviar um e-mail para abastos@modulo.com.br
Abraços, e até a próxima,
