Profissionais de segurança costumam utilizar checklists e avaliações de vulnerabilidades em ativos para identificar riscos e definir os controles que precisam ser implementados. Este método "bottom-up" (de baixo para cima) é definido na ISO/IEC 27005:2022 como abordagem baseada em ativos (asset based approach). Outro modo mais familiar aos profissionais de gestão de riscos corporativos, realizado de forma "top-down" (de cima para baixo), a norma define como abordagem baseada em eventos (event based approach).
A norma ISO 27005 orienta que os métodos escolhidos para gestão de riscos sejam alinhados com a gestão dos outros riscos da organização. Desta forma, os riscos de segurança da informação podem ser comparados com outros riscos organizacionais e não apenas considerados isoladamente.
Ambas as abordagens atendem ao requisito 6.1.2 da ABNT NBR ISO/IEC 27001:2022, que determina que a organização deve definir e aplicar um processo de avaliação de riscos associados com a perda de confidencialidade, integridade e disponibilidade da informação.
Como regra, este processo deve manter critérios de riscos; assegurar que as contínuas avaliações de riscos produzam resultados comparáveis, válidos e consistentes; mensurar estes riscos determinando suas medidas e níveis; comparar os resultados da análise com os critérios de riscos estabelecidos; e finalmente priorizar os riscos analisados e selecionar as opções de tratamento.
Para identificar os riscos, os proprietários de risco, partes interessadas e/ou especialistas precisam identificar situações que possam afetar o alcance dos objetivos de segurança da informação. Na abordagem baseada em eventos, a identificação de cenários considera a visão de negócio com a definição de cenários estratégicos e fontes de risco que podem impactar os objetivos das partes interessadas. Na abordagem baseada em ativos, a visão é mais técnica e envolve a identificação de cenários operacionais, detalhados em termos de ativos, ameaças e vulnerabilidades.
Para estimar os riscos, ambas as abordagens utilizam então métodos para se calcular a medida e o nível de risco, analisando o cenário de risco a partir das estimativas de suas probabilidades e consequências.
Para se analisar e avaliar os cenários de risco, pode-se usar modelos quantitativos, onde o risco é expresso em termos financeiros como perdas em unidades monetárias e frequência de ocorrência em período específico, ou modelos qualitativos, onde o risco é expresso por rótulos e escalas de valores.
No caso da abordagem baseada em eventos, é possível estabelecer cenários de alto nível ou estratégicos sem gastar uma quantidade considerável de tempo na identificação dos ativos em um nível detalhado. Isso permite que a organização concentre seus esforços de tratamento nos riscos críticos. Na abordagem baseada em ativos, a identificação é feita a partir das ameaças e vulnerabilidades específicas nos ativos a serem protegidos, permitindo assim que a organização priorize e determine tratamento de riscos específicos em um nível detalhado.
Independente da abordagem escolhida, é importante que o processo de gestão de riscos seja documentado, continuamente monitorado, analisado criticamente e aprimorado conforme necessário, buscando sempre melhorar e amadurecer o processo a partir das lições aprendidas durante sua execução.
Ressaltamos que os conceitos e orientações para gestão de riscos da ISO/IEC 27005 estão baseados e alinhados com a terminologia, princípios e diretrizes gerais da ISO 31000, criando uma linguagem comum e facilitando sua integração em um modelo geral de gestão de riscos corporativos.
Na ABNT, já temos formado o grupo de trabalho responsável pela tradução do novo documento da ISO/IEC 27005:2022 para português, de forma que em breve esperamos adotá-la como norma brasileira.
Abraços e até a próxima,
