Avaliação de riscos é uma etapa fundamental para a segurança da informação. Com nova versão lançada em 2022, a ISO/IEC 27005 é a norma internacional da série 27001, que fornece orientações práticas para a gestão de riscos de segurança da informação.
Dentre as várias alterações desta nova versão da ISO 27005, uma mudança relevante foi a revisão e consolidação do conteúdo dos seis anexos do documento anterior, em apenas um único anexo, com o título
Exemplos de técnicas de apoio ao processo de avaliação de riscos.
Este anexo consolidado da nova ISO 27005 tem caráter informativo, são apenas exemplos divididos em duas partes:
- Critérios de risco
- Técnicas práticas.
Neste artigo, vamos abordar os Critérios de risco, que estão subdivididos emcritérios relacionados ao processo de avaliação de riscos e critérios de aceitação de riscos, com exemplos de escalas e valores de probabilidade e consequências, tanto para a abordagem qualitativa como para a quantitativa.
Critérios relacionados ao processo de avaliação de riscos
O processo de avaliação de riscos é essencial na gestão de riscos, definido pelas atividades de identificação, análise e avaliação de riscos. A partir deste processo, é possível identificar ameaças e vulnerabilidades, analisar os principais fatores para se estimar o nível de risco e, a partir dos resultados, decidir sobre sua aceitação ou definir e priorizar ações de tratamento e recursos de maneira eficaz.
Existem duas abordagens principais para a avaliação de riscos: qualitativa e quantitativa. A abordagem qualitativa considera a estimativa da probabilidade e impacto dos riscos com base em julgamentos subjetivos e opiniões de especialistas. E a abordagem quantitativa, que busca mensurar os fatores de risco em termos numéricos, geralmente valores monetários.
Abordagem qualitativa
Para a abordagem qualitativa é comum o uso de tabelas com a definição de escalas baseadas em descrições. As Tabelas A.1 e A.2 do Anexo A da ISO 27005 fornecem exemplos de escalas de consequência e de probabilidade para análise qualitativa do risco.
Também para o nível de risco, escalas qualitativas podem ser utilizadas para criar uma matriz de riscos, com rótulos e descrições que identificam as respectivas categorias, expressas em linguagem objetiva. ATabela A.3apresenta um exemplo de abordagem qualitativa para os níveis de risco.
Abordagem quantitativa
Para a análise quantitativa, utilizam-se métodos de cálculos que consideram valores numéricos para estimar os fatores dos riscos. Por exemplo, no caso da probabilidade, os fatores podem se referir a frequência de um evento ocorrer dentro de um determinado período de tempo (normalmente um período anual). As Tabelas A.4 e A.5 fornecem exemplos de escalas de probabilidade e consequência para cálculo quantitativo do risco.
Critérios de aceitação de riscos
Sobre os critérios para a aceitação do risco, o documento afirma que este pode ser definido de várias formas, incluindo apenas um único valor como referência, acima do qual os riscos devem ser considerados inaceitáveis. Também é comum se criar uma matriz de riscos, codificada por cores, onde graficamente é possível visualizar o nível de risco e sinalizar a atitude esperada baseada nos valores de risco, como por exemplo indicar se um risco deve ser aceito ou tratado.
A Tabela A.6 apresenta um exemplo de escala de avaliação de riscos.
Concluindo, escalas de probabilidade e consequências são importantes para definir critérios de risco, possibilitando que as avaliações sejam consistentes, precisas e confiáveis. Porém, é preciso garantir o uso de métodos e ferramentas adequadas e, que os profissionais envolvidos sejam devidamente capacitados. A calibração do julgamento dos analistas de riscos é crucial para as estimativas. Envolve treinar os profissionais para usar técnicas e ferramentas de maneira consistente e buscando sempre informações atualizadas e familiaridade com as melhores práticas.
Abraços e até a próxima,
