Gestão de Riscos de SI – Norma 27005:2008

Edison Fontes

A Norma ABNT NBR ISO/IEC 27005:2008 – Tecnologia da informação – Técnicas de
segurança – Gestão de riscos de segurança da informação define as diretrizes para o
processo de gestão de riscos de segurança da informação.

Considero a Gestão de Riscos de SI (GRSI) uma das dimensões de um processo de segurança da

informação em uma organização. A GRSI compõe o conjunto das dimensões que possibilita que o
processo de segurança da informação aconteça de maneira eficiente, eficaz e continuo ao longo do
tempo. O mais importante para a proteção da informação é que essas dimensões formem um
conjunto coeso, como uma excelente orquestra. É pouco importante para uma organização ter um
estado de excelência em uma dimensão e ter uma situação deplorável em outra dimensão.

E esta é um dos primeiros cuidados que devemos ter ao desenvolver e implantar dimensões de
controle. Com as melhores das intenções queremos que em um primeiro momento a organização
saia do estágio zero para o estágio de controle total e que seja referência de mercado. Muita boa
intenção, mas pouca realidade!

Uma dúvida que surge nos profissionais é sobre a Norma 27005 e a Norma NBR ISO/IEC
27002:2005 – Tecnologia da informação – Código de prática para a gestão da
segurança da informação. A Norma 27002 define os requisitos de segurança da informação. O
processo de GRSI é um dos requisitos, descrito no Capítulo 4 – Análise/avaliação e
tratamento de riscos. Sendo assim a Norma 27005 é o desdobramento de um requisito/elemento de
segurança. A Norma 27002 continua soberana em relação ao processo de segurança da
informação.

A Norma 27005 apresenta vários conceitos importantes. Destaco o conceito de risco e medida de
risco.

Risco: é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de

um conjunto de ativos, desta maneira prejudicando a organização.
Medida de risco: é a combinação da probabilidade de um evento indesejável e a sua
consequencia.

A norma recomenda um roteiro para a GRSI:

1. Contextualização

É necessário que seja definido o seguinte conjunto de elementos:

- o escopo, o objetivo, os métodos a serem considerados, os critérios básicos (avaliação, impacto
e tratamento de risco) referentes à gestão a ser realizada e a área organizacional responsável pelo
processo de GRSI.

2. Análise de risco

Nesta etapa são identificados os eventos que possam causar perdas. Isto é, são identificadas as
ameaças. Logo após devemos identificar os controles existentes e a eficácia destes controles em
evitar que uma ameaça explore uma vulnerabilidade. Com a informação das ameaças e da
efetividade dos controles podemos identificar o nível de risco.

A organização conhecendo o nível de risco tem a oportunidade de decidir o que vai fazer em
relação a cada risco: reduzir (novos controles), aceitar, evitar ou transferir. Após esta decisão ainda
restará o risco residual sobre o qual a organização decidirá o que vai fazer. Isto fica em um ciclo até
que se chegue a uma decisão aceita (mesmo que temporariamente) pela organização.

3. Avaliação do risco

A norma fala da avaliação do risco (análise das conseqüências) em pontos distintos. Entendo que
o que faz mais sentido prático é quando (item 8.3) define que a avaliação de riscos tem como
entrada uma lista de riscos com níveis de valores designados e como saída uma lista de riscos
ordenados por prioridades. Isto é, precisamos priorizar os riscos, pois um risco de nível alto, com
baixo impacto financeiro, não necessariamente deva ser tratado antes de um risco de nível médio,
porém com grande impacto financeiro.

Dessa forma a avaliação de risco considera impactos do tipo sócio-ambiental, operacional,

financeiro, oportunidade de negócio, cumprimento de prazo ou requisitos legais. Entendo que em
uma primeira versão do processo de GRSI pode-se tomar o item impacto englobando todos estes
aspectos. Na medida em que a organização amadureça em gestão de risco, pode-se ter uma maior
granularidade dos tipos de impactos.

Teoricamente os riscos de mais prioridade considerando o aspecto do impacto (consequencia)

deverão ser minimizados. Falo teoricamente porque as organizações possuem limitações
(financeira, de tempo, de cultura, de conhecimento técnico e outros) que impedem de minimizar o
risco. Lembre-se: vivemos em um mundo real. O papel aceita tudo (o que eu escrevo ou o que a
norma define), mas temos a organização com suas características e seu mercado de atuação.

A norma define em seus anexos algumas abordagens para o processo de tratamento de risco.
Particularmente acho muito bom a seguinte estratégia:

1. Avaliação considerando a probabilidade da ameaça e facilidade de exploração (fragilidade dos

controles) e chegando ao nível (medida) de risco. Podemos ter uma visão dos riscos existentes.

2. Priorização de ações sobre o risco, considerando os impactos (consequencias).

Esta maneira ficará coerente quando tratarmos de riscos operacionais onde primeiro será
analisado o que impede a organização (ou área da organização) de atingir os seus objetivos e
depois consideraremos o custo dessas ações. A norma indica um caminho estruturado que deve
ser tomado por base. Cada profissional e organização devem implantar da maneira que lhe seja
mais conveniente e amigável. A sofisticação deve ser uma consequencia da maturidade do
processo de GRSI. Lembre-se que a norma é uma trilha; não é um trilho!