Cybersecurity e Boas Práticas

Monitoramento e Análise Crítica de Riscos com a ISO 27005 e ISO 31000

Um das etapas essenciais no processo de gestão de riscos é o monitoramento e análise crítica de riscos, que permite melhorar e amadurecer o processo, com mudanças ou adições à abordagem, metodologia ou ferramentas utilizadas, a partir de lições aprendidas e acompanhamento de indicadores.


Na ISO 31000,Monitoramento e Análise Crítica (em inglês,Monitoring and Review) é uma parte planejada da gestão de riscos e deve ocorrer em todos os estágios do processo de forma planejada, periódica, e com responsabilidades definidas, incluindo planejamento, coleta e análise de informações, registro de resultados efeedback.


Em segurança da informação, é definida na ISO 27001 como o requisito 9.1- Monitoramento, Medição, Análise e Avaliação, onde a organização deve avaliar o desempenho e a eficácia do seu Sistema de Gestão da Segurança da Informação (SGSI).


ABNT NBR ISO/IEC 27001:2022
9.1 Monitoramento, medição, análise e avaliação
A organização deve determinar:


  • o que precisa ser monitorado e medido, incluindo controles e processos da segurança da informação;
  • os métodos para monitoramento, medição, análise e avaliação, conforme aplicável, para assegurar resultados válidos. Convém que os métodos selecionados produzam resultados comparáveis e reproduzíveis a serem considerados válidos;
  • quando o monitoramento e a medição devem ser realizados;
  • quem deve monitorar e medir;
  • quando os resultados do monitoramento e da medição devem ser analisados e avaliados;
  • quem deve analisar e avaliar estes resultados.

Riscos são dinâmicos e mudam constantemente, assim o Monitoramento e Análise Crítica é a garantia que as medidas de tratamento de riscos continuam eficazes e eficientes. Outros benefícios incluem obter informações para melhorar as avaliações futuras de risco, aprender com lições de incidentes e tendências, detectar alterações no contexto interno e externo e identificar riscos emergentes.


Monitorar continuamente o ambiente e manter uma visão geral do quadro completo dos riscos, possibilita identificar e avaliar alterações nos fatores que influenciam os riscos. Alguns destes fatores são novos ativos que podem ter sido incluídos no escopo, mudanças nas leis e regulamentações, com novos requisitos de negócio, novas fontes de riscos e ameaças, incluindo vulnerabilidades recentemente relatadas, dentre outros.


Analisar criticamente os ativos, ameaças e vulnerabilidades, permite também atualizar o apetite e critérios de riscos, bem como calibrar as estimativas da análise de riscos, para a probabilidade e impacto das possíveis ocorrências.


As organizações devem monitorar também seus indicadores de tratamento de riscos, como base para as avaliações de desempenho. Se o tratamento dos riscos não estiver se mostrando eficaz, ou se estiver tendo dificuldades na implementação dos controles, é preciso revisá-lo e implementar novas ações para modificar o risco residual a um nível aceitável.


É importante considerar também as não conformidades, que podem ser levantadas por uma auditoria interna ou externa, ou por meio de monitoramento e indicadores. Neste caso, implementar ações corretivas que podem incluir ajustes nos controles atuais, ou a implementação de novos controles.


Análise Crítica


Realizada como parte do calendário de ações programadas da organização, aAnálise Crítica (em inglês, Review)é também etapa crucial na implementação da gestão de riscos, para garantir o alinhamento com os objetivos de negócios e com os critérios de aceitação.


NaISO 27001, esta atividade está relacionada com os requisitos9.3 - Análise Crítica pela Direçãoe10.1 Melhoria Contínua, onde a Alta Direção deve analisar criticamente oSistema de Gestão da Segurança da Informação(SGSI), com decisões relativas às oportunidades para melhoria contínua e necessidades de mudanças.


ABNT NBR ISO/IEC 27001:2022 - 9.3 Análise crítica pela Direção


  • A Alta Direção deve analisar criticamente o sistema de gestão da segurança da informação da organização em intervalos planejados, para assegurar a sua contínua adequação, pertinência e eficácia.


ABNT NBR ISO/IEC 27001:2022 - 10.1 Melhoria contínua


  • A organização deve melhorar continuamente a pertinência, a adequação e a eficácia do sistema de gestão da segurança da informação.


Considerando as análises críticas anteriores, a avaliação de riscos e o status do plano de tratamento de riscos, o processo de análise crítica deve avaliar os resultados, para confirmar se os riscos residuais atendem aos critérios de aceitação e se o plano de tratamento aborda todos os riscos relevantes.


O processo de gestão de mudanças também fornecefeedbackimportante, considerando que variações nos sistemas podem modificar os riscos. É preciso também verificar regularmente os critérios utilizados para medir o risco, garantindo que continuem válidos e consistentes com as expectativas das partes interessadas e os objetivos, estratégias e políticas de negócios.


O resultado da análise crítica pode resultar em alterações nos critérios de aceitação e de avaliações de riscos, ou mesmo na atualização do plano de tratamento de riscos ou na Declaração de Aplicabilidade (em inglês,SOA - Statement of Applicability).


Resumindo, o processo de gestão de riscos precisa ser continuamente monitorado, analisado criticamente e aprimorado conforme necessário, levando em consideração as mudanças no contexto interno e externo e aumentando de forma consistente a maturidade de segurança da organização.


Mais informações sobre indicadores, sugerimos aISO 27004, Gestão de segurança da informação — Monitoramento, medição, análise e avaliação.


Abraços e até a próxima,


Alberto Bastos

ISO 27005 Gestão de Riscos ISO 31000 Segurança Cibernética
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato