A gestão de riscos em segurança da informação

Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para se identificar as necessidades da organização em relação aos requisitos de segurança da informação e para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz.

A NBR ISO/IEC 27005 de 10/2019 – Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação fornece as diretrizes para o processo de gestão de riscos de segurança da informação. Este documento estabelece os conceitos gerais especificados na NBR ISO/IEC 27001 e foi elaborado para facilitar uma implementação satisfatória da segurança da informação tendo como base uma abordagem de gestão de riscos. O conhecimento dos conceitos, modelos, processos e terminologias descritos na NBR ISO/IEC 27001 e na NBR ISO/IEC 27002 é importante para um entendimento completo deste documento. Este documento é aplicável a todos os tipos de organização (por exemplo: empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos), que pretendam gerenciar os riscos que podem comprometer a segurança da informação da organização.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são os critérios para a aceitação do risco?

Qual o propósito da identificação de riscos?

Como fazer a identificação das vulnerabilidades?

Como executar uma avaliação das consequências?

Como fazer a determinação do nível de risco?

Este documento fornece diretrizes para a gestão de riscos de segurança da informação em uma organização. Entretanto, este documento não fornece um método específico para a gestão de riscos de segurança da informação. Cabe à organização definir sua abordagem ao processo de gestão de riscos, considerando, por exemplo, o escopo de um sistema de gestão de segurança (SGSI), o contexto da gestão de riscos e o seu setor de atividade econômica. Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita neste documento para implementar os requisitos de um SGSI.

Este documento é baseado no método de identificação de riscos de ativos, ameaças e vulnerabilidades, que não é mais requerido pela NBR ISO/IEC 27001. Existem outras abordagens que podem ser usadas. Este documento não contém orientação direta sobre a implementação dos requisitos do SGSI fornecidos na NBR ISO/IEC 27001.

Este documento é aplicável a gestores e pessoal envolvidos com a gestão de riscos de segurança da informação em uma organização e, quando apropriado, em entidades externas que dão suporte a essas atividades. Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para se identificar as necessidades da organização em relação aos requisitos de segurança da informação e para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz. Convém que esta abordagem seja adequada ao ambiente da organização e em particular esteja alinhada com o processo maior de gestão de riscos corporativos.

Convém que os esforços de segurança lidem com riscos de maneira efetiva e no tempo apropriado, onde e quando forem necessários. Convém que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão da segurança da informação e seja aplicada tanto à implementação quanto à operação cotidiana de um SGSI.

Convém que a gestão de riscos de segurança da informação seja um processo contínuo. Convém que o processo defina o contexto interno e externo, avalie os riscos e os trate usando um plano de tratamento a fim de implementar as recomendações e decisões. Convém que a gestão de riscos analise os possíveis acontecimentos e suas consequências, antes de decidir o que será feito e quando será feito, a fim de reduzir os riscos a um nível aceitável.

Convém que a gestão de riscos de segurança da informação contribua para o seguinte: identificação de riscos; processo de avaliação de riscos em função das consequências ao negócio e da probabilidade de sua ocorrência; comunicação e entendimento da probabilidade e das consequências destes riscos; estabelecimento da ordem prioritária para tratamento do risco; priorização das ações para reduzir a ocorrência dos riscos; envolvimento das partes interessadas nas decisões de gestão de riscos tomadas e para informação sobre a situação da gestão de riscos; eficácia do monitoramento do tratamento do risco; monitoramento e análise crítica periódica dos riscos e do processo de gestão de riscos; coleta de informações de forma a melhorar a abordagem da gestão de riscos; treinamento de gestores e pessoal sobre os riscos e as ações para mitigá-los.

O processo de gestão de riscos de segurança da informação pode ser aplicado à organização como um todo, a uma área específica da organização (por exemplo: um departamento, um local físico, um serviço), a qualquer sistema de informações, a controles já existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo: o plano de continuidade de negócios). Uma visão de alto nível do processo de gestão de riscos é especificada na NBR ISO 31000 e apresentado na figura abaixo.

A figura abaixo apresenta como este documento é aplicado ao processo de gestão de riscos. O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), processo de avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação e consulta do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12).

Como mostra a figura acima, o processo de gestão de riscos de segurança da informação pode ser iterativo para o processo de avaliação de riscos e/ou para as atividades de tratamento do risco. Um enfoque iterativo na execução do processo de avaliação de riscos torna possível aprofundar e detalhar a avaliação em cada repetição. O enfoque iterativo permite minimizar o tempo e o esforço despendidos na identificação de controles e, ainda assim, assegura que riscos de alto impacto ou de alta probabilidade possam ser adequadamente avaliados.

Primeiramente, o contexto é estabelecido. Em seguida, executa-se um processo de avaliação de riscos. Se ele fornecer informações suficientes para que se determine de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento do risco pode ser realizado. Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração do processo de avaliação de riscos, revisando-se o contexto (por exemplo: os critérios de avaliação de riscos, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo.

A eficácia do tratamento do risco depende dos resultados do processo de avaliação de riscos. Notar que o tratamento do risco envolve um processo cíclico para: avaliar um tratamento do risco; decidir se os níveis de risco residual são aceitáveis; gerar um novo tratamento do risco se os níveis de risco não forem aceitáveis; e avaliar a eficácia do tratamento.

É possível que o tratamento do risco não resulte em um nível de risco residual que seja aceitável. Nessa situação, pode ser necessária uma outra iteração do processo de avaliação de riscos, com mudanças nas variáveis do contexto (por exemplo: os critérios para o processo de avaliação de riscos, de aceitação do risco e de impacto), seguida por uma fase adicional de tratamento do risco (ver figura acima, Ponto de Decisão 2).

A atividade de aceitação do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos gestores da organização. Isto é especialmente importante em uma situação em que a implementação de controles é omitida ou adiada, por exemplo, devido aos custos. Durante o processo de gestão de riscos de segurança da informação, é importante que os riscos e a forma com que são tratados sejam comunicados ao pessoal das áreas operacionais e gestores apropriados.

Mesmo antes do tratamento do risco, informações sobre riscos identificados podem ser muito úteis para gerenciar incidentes e ajudar a reduzir possíveis prejuízos. A conscientização dos gestores e pessoal em relação aos riscos, à natureza dos controles aplicados para mitigá-los e às áreas definidas como de interesse pela organização, auxiliam a lidar com os incidentes e eventos não previstos da maneira mais efetiva.

Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões sobre o processo de avaliação de riscos e sobre o tratamento do risco (representadas pelos dois pontos de decisão na figura acima), sejam documentados. A NBR ISO/IEC 27001 especifica que os controles implementados no escopo, limites e contexto do SGSI devem ser baseados em risco. A aplicação de um processo de gestão de riscos de segurança da informação pode satisfazer a esse requisito. Há várias abordagens pelas quais os controles podem ser determinados para implementar as opções de tratamento do risco escolhidas.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google photo

Está a comentar usando a sua conta Google Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

%d bloggers like this: