Escolar Documentos
Profissional Documentos
Cultura Documentos
Edison Fontes
A Norma ABNT NBR ISO/IEC 27005:2008 – Tecnologia da informação – Técnicas de
segurança – Gestão de riscos de segurança da informação define as diretrizes para o
processo de gestão de riscos de segurança da informação.
E esta é um dos primeiros cuidados que devemos ter ao desenvolver e implantar dimensões de
controle. Com as melhores das intenções queremos que em um primeiro momento a organização
saia do estágio zero para o estágio de controle total e que seja referência de mercado. Muita boa
intenção, mas pouca realidade!
Uma dúvida que surge nos profissionais é sobre a Norma 27005 e a Norma NBR ISO/IEC
27002:2005 – Tecnologia da informação – Código de prática para a gestão da
segurança da informação. A Norma 27002 define os requisitos de segurança da informação. O
processo de GRSI é um dos requisitos, descrito no Capítulo 4 – Análise/avaliação e
tratamento de riscos. Sendo assim a Norma 27005 é o desdobramento de um requisito/elemento de
segurança. A Norma 27002 continua soberana em relação ao processo de segurança da
informação.
A Norma 27005 apresenta vários conceitos importantes. Destaco o conceito de risco e medida de
risco.
1. Contextualização
2. Análise de risco
Nesta etapa são identificados os eventos que possam causar perdas. Isto é, são identificadas as
ameaças. Logo após devemos identificar os controles existentes e a eficácia destes controles em
evitar que uma ameaça explore uma vulnerabilidade. Com a informação das ameaças e da
efetividade dos controles podemos identificar o nível de risco.
A organização conhecendo o nível de risco tem a oportunidade de decidir o que vai fazer em
relação a cada risco: reduzir (novos controles), aceitar, evitar ou transferir. Após esta decisão ainda
restará o risco residual sobre o qual a organização decidirá o que vai fazer. Isto fica em um ciclo até
que se chegue a uma decisão aceita (mesmo que temporariamente) pela organização.
3. Avaliação do risco
A norma fala da avaliação do risco (análise das conseqüências) em pontos distintos. Entendo que
o que faz mais sentido prático é quando (item 8.3) define que a avaliação de riscos tem como
entrada uma lista de riscos com níveis de valores designados e como saída uma lista de riscos
ordenados por prioridades. Isto é, precisamos priorizar os riscos, pois um risco de nível alto, com
baixo impacto financeiro, não necessariamente deva ser tratado antes de um risco de nível médio,
porém com grande impacto financeiro.
A norma define em seus anexos algumas abordagens para o processo de tratamento de risco.
Particularmente acho muito bom a seguinte estratégia: