Gestão de Riscos de SI ? Norma 27005:2008

A Norma ABNT NBR ISO/IEC 27005:2008 ? Tecnologia da informação ? Técnicas de segurança ? Gestão de riscos de segurança da informação define as diretrizes para o processo de gestão de riscos de segurança da informação.Considero a Gestão de Riscos de SI (GRSI) uma das dimensões de um processo de segurança da informação em uma organização. A GRSI compõe o conjunto das dimensões que possibilita que o processo de segurança da informação aconteça de maneira eficiente, eficaz e continuo ao longo do tempo. O mais importante para a proteção da informação é que essas dimensões formem um conjunto coeso, como uma excelente orquestra. É pouco importante para uma organização ter um estado de excelência em uma dimensão e ter uma situação deplorável em outra dimensão. E esta é um dos primeiros cuidados que devemos ter ao desenvolver e implantar dimensões de controle. Com as melhores das intenções queremos que em um primeiro momento a organização saia do estágio zero para o estágio de controle total e que seja referência de mercado. Muita boa intenção, mas pouca realidade!Uma dúvida que surge nos profissionais é sobre a Norma 27005 e a Norma NBR ISO/IEC 27002:2005 ? Tecnologia da informação ? Código de prática para a gestão da segurança da informação. A Norma 27002 define os requisitos de segurança da informação. O processo de GRSI é um dos requisitos, descrito no Capítulo 4 ? Análise/avaliação e tratamento de riscos. Sendo assim a Norma 27005 é o desdobramento de um requisito/elemento de segurança. A Norma 27002 continua soberana em relação ao processo de segurança da informação.A Norma 27005 apresenta vários conceitos importantes. Destaco o conceito de risco e medida de risco.Risco: é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização.Medida de risco: é a combinação da probabilidade de um evento indesejável e a sua consequencia. A norma recomenda um roteiro para a GRSI:1. Contextualização É necessário que seja definido o seguinte conjunto de elementos: – o escopo, o objetivo, os métodos a serem considerados, os critérios básicos (avaliação, impacto e tratamento de risco) referentes à gestão a ser realizada e a área organizacional responsável pelo processo de GRSI.2. Análise de riscoNesta etapa são identificados os eventos que possam causar perdas. Isto é, são identificadas as ameaças. Logo após devemos identificar os controles existentes e a eficácia destes controles em evitar que uma ameaça explore uma vulnerabilidade. Com a informação das ameaças e da efetividade dos controles podemos identificar o nível de risco.A organização conhecendo o nível de risco tem a oportunidade de decidir o que vai fazer em relação a cada risco: reduzir (novos controles), aceitar, evitar ou transferir. Após esta decisão ainda restará o risco residual sobre o qual a organização decidirá o que vai fazer. Isto fica em um ciclo até que se chegue a uma decisão aceita (mesmo que temporariamente) pela organização.3. Avaliação do riscoA norma fala da avaliação do risco (análise das conseqüências) em pontos distintos. Entendo que o que faz mais sentido prático é quando (item 8.3) define que a avaliação de riscos tem como entrada uma lista de riscos com níveis de valores designados e como saída uma lista de riscos ordenados por prioridades. Isto é, precisamos priorizar os riscos, pois um risco de nível alto, com baixo impacto financeiro, não necessariamente deva ser tratado antes de um risco de nível médio, porém com grande impacto financeiro.Dessa forma a avaliação de risco considera impactos do tipo sócio-ambiental, operacional, financeiro, oportunidade de negócio, cumprimento de prazo ou requisitos legais. Entendo que em uma primeira versão do processo de GRSI pode-se tomar o item impacto englobando todos estes aspectos. Na medida em que a organização amadureça em gestão de risco, pode-se ter uma maior granularidade dos tipos de impactos.Teoricamente os riscos de mais prioridade considerando o aspecto do impacto (consequencia) deverão ser minimizados. Falo teoricamente porque as organizações possuem limitações (financeira, de tempo, de cultura, de conhecimento técnico e outros) que impedem de minimizar o risco. Lembre-se: vivemos em um mundo real. O papel aceita tudo (o que eu escrevo ou o que a norma define), mas temos a organização com suas características e seu mercado de atuação.A norma define em seus anexos algumas abordagens para o processo de tratamento de risco. Particularmente acho muito bom a seguinte estratégia:1. Avaliação considerando a probabilidade da ameaça e facilidade de exploração (fragilidade dos controles) e chegando ao nível (medida) de risco. Podemos ter uma visão dos riscos existentes.2. Priorização de ações sobre o risco, considerando os impactos (consequencias).Esta maneira ficará coerente quando tratarmos de riscos operacionais onde primeiro será analisado o que impede a organização (ou área da organização) de atingir os seus objetivos e depois consideraremos o custo dessas ações.A norma indica um caminho estruturado que deve ser tomado por base. Cada profissional e organização devem implantar da maneira que lhe seja mais conveniente e amigável.  A sofisticação deve ser uma consequencia da maturidade do processo de GRSI. Lembre-se que a norma é uma trilha; não é um trilho!Edison Fontes, CISM, CISAConsultor, Professor e Autor de Livros de Segurança da Informação.Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.[email protected]?A maior solidão é a do ser que não ama?, Vinícius de Moraes (1913-1980)