Cybersecurity e Boas Práticas

Padronizando a linguagem de riscos com a ISO 27005

Com o lançamento da nova ISO/IEC 27005:2022, dispomos agora de um documento atualizado com as melhores práticas e um conjunto de termos e definições para padronizar a linguagem utilizada em gestão de riscos de segurança da informação.


Reunindo 27 definições alinhadas com a terminologia da ISO 31000: Gestão de Riscos – Diretrizes e, também com a ABNT ISO Guia 73:2009 - Gestão de riscos — Vocabulário, a norma apresenta 17 termos relacionados diretamente ao risco e mais 10 referentes ao processo e atividades da gestão de riscos.


Na sessão 3.1 da norma, além dos termos definidos, existem também notas explicativas que detalham ou fornecem mais informações para clarear o entendimento.




Lembrando que existe ainda como referência corporativa, a recém-lançada ABNT NBR ISO 31073 - Gestão de Riscos - Vocabulário, que define termos genéricos relacionados a quaisquer tipos de risco, aplicações e situações de gestão de riscos enfrentados pelas organizações. Mais informações nos artigos "O novo vocabulário da ISO 31073 para gestão de riscos" e também no "Torre de Babel na LGPD" (Fernando Nery ).


No caso da ISO 27005, os termos definidos apoiam a implementação da abordagem de gestão de riscos requerida pela ISO 27001, e são:


Termos relacionados ao risco de segurança da informação


  • contexto externo


ambiente externo no qual a organização busca atingir seus objetivos


  • contexto interno


ambiente interno no qual a organização busca atingir seus objetivos


  • risco


efeito da incerteza nos objetivos


  • cenário de risco


sequência ou combinação de eventos que levam da causa inicial à consequência indesejada


  • proprietário do risco


pessoa ou entidade com a responsabilidade e autoridade para gerenciar um risco


  • fonte de risco


elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco


  • critérios de risco


termos de referência contra os quais a significância de um risco é avaliada


  • apetite pelo risco


quantidade e tipo de riscos que uma organização está preparada para buscar ou reter


  • ameaça


causa potencial de um incidente de segurança da informação que pode resultar em danos a um sistema ou prejuízos a uma organização


  • vulnerabilidade


fraqueza de um ativo ou controle que pode ser explorada e então ocorra um evento com uma consequência negativa


  • evento


ocorrência ou mudança em um conjunto específico de circunstâncias


  • incidente de segurança da informação


uma única ou uma série de eventos de segurança da informação indesejados ou inesperados que têm uma probabilidade significativa de comprometer as operações do negócio e ameaçar a segurança da informação


  • probabilidade


chance de algo acontecer


  • consequência


resultado de um evento que afeta os objetivos


  • nível de risco


significância de um risco, expressa em termos da combinação das consequências e de suas probabilidades


  • controle


medida que mantém e/ou modifica o risco


  • risco residual

risco remanescente após o tratamento do risco



Termos relacionados a gestão de riscos de segurança da informação



  • processo de gestão de riscos


aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos


  • comunicação e consulta de risco


conjunto de processos contínuos e iterativos que uma organização conduz para fornecer, compartilhar ou obter informações e se envolver no diálogo com as partes interessadas, com a relação a gerenciar riscos


  • avaliação de riscos


processo global de identificação de riscos, análise de riscos e avaliação de riscos


  • identificação de riscos


processo de busca, reconhecimento e descrição de riscos


  • análise de riscos


processo de compreender a natureza do risco (3.1.3) e determinar o nível de risco (3.1.15)


  • avaliação de riscos


processo de comparar os resultados da análise de riscos com os critérios de risco para determinar se o risco e/ou sua significância são aceitáveis ou toleráveis


  • tratamento de riscos


processo para modificar o risco


  • aceitação do risco


decisão consciente de assumir um risco específico


  • compartilhamento de risco


forma de tratamento de riscos que envolve a distribuição acordada de riscos com outras partes


  • retenção de riscos


aceitação temporária do benefício potencial de ganho, ou do ônus da perda, a partir de um risco específico


Na ABNT, encontra-se em andamento o grupo de trabalho para a tradução da ISO/IEC 27005 - Segurança da informação, segurança cibernética e proteção à privacidade - Guia para a gestão de riscos de segurança da informação, para adoção como norma nacional, que facilitará no Brasil o entendimento comum destes termos em português.


Para mais informações sobre a nova ISO/IEC 27005:2022, acesse o artigo "Saindo do forno: nova ISO 27005 para gestão de riscos em segurança da informação", com um resumo de seu conteúdo, novidades e principais mudanças em relação a versão anterior.


Abraços e até a próxima,


Alberto Bastos

ISO 27005 Gestão de Riscos Segurança Cibernética
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato