Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para gestão de risco
29
UNIVERSIDADE FUMEC FACULDADE DE CIÊNCIAS EMPRESARIAIS - FACE MARCELO DE ALENCAR VELOSO ISO 31000 X ISO 27005: Comparação entre as normas para gestão de risco Belo Horizonte 2012
-
Upload
marcelo-veloso -
Category
Technology
-
view
2.648 -
download
13
description
O trabalho apresenta os conceitos de duas normas internacionais que tratam do gerenciamento de riscos, e uma análise comparativa para verificar o nível de aderência da norma específica para gerenciamento de riscos de segurança da informação com a norma genérica de gerenciamento de riscos.
Transcript of Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para gestão de risco
UNIVERSIDADE FUMEC
FACULDADE DE CIÊNCIAS EMPRESARIAIS - FACE
MARCELO DE ALENCAR VELOSO
ISO 31000 X ISO 27005:
Comparação entre as normas para gestão de risco
Belo Horizonte
2012
MARCELO DE ALENCAR VELOSO
ISO 31000 X ISO 27005:
Comparação entre as normas para gestão de risco
Artigo Científico apresentado à UNIVERSIDADE FUMEC como requisito parcial para obtenção do certificado de MBA em Gestão de Segurança da Informação. Orientador: Prof. MSc. Francisco Paulo Temponi
Belo Horizonte
2012
“É perdoável ser derrotado, mas nunca surpreendido.”
Frederico, O Grande
RESUMO Crises do sistema financeiro nos mercados mundiais, disputas cada vez mais acirradas pelos mercados consumidores, ameaças constantes de ataques terroristas, possíveis conflitos armados envolvendo grandes potências militares, catástrofes naturais cada vez mais intensas, ameaças crescentes à segurança das informações. Esses são apenas alguns dos cenários de incertezas que rodam as organizações diariamente nos dias atuais. Isso, sem considerar a ocorrência do improvável, que não pode ser confundido com o impossível. São, entre outros, fatores que trazem a necessidade de um gerenciamento de riscos que busque minimizar impactos negativos nas operações das organizações. Neste trabalho serão apresentados os conceitos de duas normas internacionais que tratam do gerenciamento de riscos, e uma análise comparativa para verificar o nível de aderência da norma específica para gerenciamento de riscos de segurança da informação com a norma genérica de gerenciamento de riscos. Palavras-chave:Segurança da informação, Gerenciamento de risco, Modelo de gestão de risco, normas, análise comparativa.
ABSTRACT Crisis of the financial system in global markets, increasingly bitter dispute by consumer markets, constant threats of terrorist attacks, armed conflicts involving major military powers, natural disasters becoming more intense, increasing threats to information security. These are just some of the scenarios of uncertainty that run daily in organizations today. This, without considering the occurrence of the improbable, that cannot be confused with the impossible. They are, among others, factors that bring the need for risk management that seeks to minimize negative impacts on an organization's operations. In this paper we present concepts of two international standards dealing with risk management, and a comparative analysis to determine the level of adhesion of the specific standard for risk management information security with the standard generic risk management. Key-words: Information security, Risk management, Risk management model, standards, comparative analysis.
4
INTRODUÇÃO
A cada vez mais frequente utilização da tecnologia da informação nas organizações,
indiferente de seu porte e ramos de atuação, tem despertado uma preocupação
justificável com relação à segurança das informações dessas organizações.
Preocupações em saber até onde estão protegidas, quais são as ameaças que as
rondam, quais são os riscos a que estão expostas, geram dúvidas que fazem parte
do cotidiano de muitas organizações.
Estas e outras dúvidas levam a questionamentos onde as respostas muitas vezes
são difíceis de serem dadas. Isto porque a grande maioria das organizações não
possui nenhuma metodologia comprovadamente eficaz para a identificação,
tratamento e monitoramento dos riscos para a informação. Muitas vezes, o que se
identifica são iniciativas isoladas, que não conseguem apresentar a real situação da
organização, pois deixam de considerar todos os aspectos necessários neste tipo de
avaliação.
Este trabalho apresenta uma comparação entre duas metodologias de gestão de
riscos amplamente adotadas, apresentando a abordagem que cada uma delas tem
em relação ao tema, e caso existam, seus pontos negativos e positivos. Além disso,
busca identificar o nível de aderência e alinhamento existente entre a norma ABNT
NBR ISO/IEC 27005, voltada especificamente para o gerenciamento de riscos de
segurança da informação, com a norma ABNT NBR ISO/IEC 31000, criada para ser
a norma padrão para gestão de riscos.
Primeiramente é apresentado o referencial teórico sobre o tema segurança da
informação, apresentando os principais conceitos relacionados. Após, é feito uma
avaliação da norma ABNT NBR ISO/IEC 31000 e da norma ABNT NBR ISO/IEC
27005. Em seguida, faz-se uma análise comparativa entre as duas normas e
finalizando, as conclusões acerca do trabalho desenvolvido.
Segurança da Informação
Segundo definição da Norma NBR ISO/IEC 27002:2005 para informação:
"Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegido.”
5
Sendo assim, a informação é cada vez um elemento chave para o desenvolvimento
e sucesso de uma organização, independente de seu tamanho e área de atuação.
De acordo com a definição de Gualberto, segurança da informação:
Diz respeito à proteção da informação em suas propriedades (confidencialidade, integridade e disponibilidade) e em seus aspectos (autenticidade, legalidade, etc.), evitando que as vulnerabilidades dos ativos relacionados sejam exploradas por ameaças e possam trazer conseqüências para os negócios de uma organização. (GUALBERTO, 2010, p. 12)
Pode-se afirmar assim que a Segurança da Informação é composta dos processos e
medidas empregadas para assegurar as informações de uma organização contra
uma extensa variedade de ameaças, garantindo o sucesso e o funcionamento das
atividades dessa organização, tendo como base para sua aplicação os princípios de
confidencialidade, integridade e disponibilidade.
Princípios básicos
A segurança da informação tem como objetivo proteger os ativos de uma
organização contra a concretização de ameaças que possam afetar a informação,
seja corrompendo-a, eliminando-a, permitindo acessos indevidos ou sua
indisponibilidade. A proteção contra essas ameaças baseia-se em três princípios
básicos, que norteiam todas as atividades desenvolvidas.
Segundo Sêmola (2003), estes princípios podem ser definidos como:
• Confidencialidade – Toda informação deve ser protegida de acordo com
o grau de sigilo de seu conteúdo, visando a limitação de seu acesso e uso
apenas às pessoas para quem elas são destinadas.
• Integridade – Toda informação deve ser mantida na mesma condição em
que foi disponibilizada pelo seu proprietário, visando protegê-las contra
alterações indevidas, intencionais ou acidentais.
• Disponibilidade – Toda informação gerada ou adquirida por um indivíduo
ou instituição deve estar disponível aos seus usuários no momento em
que os mesmos delas necessitem para qualquer finalidade.
6
Ativos
Ativo é “todo elemento que manipula a informação, inclusive ela mesma, passando
pelo seu emissor, o meio pelo qual ela é transmitida ou armazenada, até chegar a
seu receptor.” (SÊMOLA, 2003, p.45).
Os ativos são elementos a serem protegidos de forma adequada, devido ao valor
que possuem para uma organização, para que suas operações não sejam
prejudicadas pelos variados tipos de danos que estão sujeitos, causados por
ameaças que explorem vulnerabilidades.
Segundo a Microsoft (2006), são compostos por três elementos:
• As informações, armazenadas em meio eletrônico ou físico;
• Os equipamentos e sistemas que oferecem suporte a elas, incluindo
hardware, software, e organização, formada pela estrutura física e
organizacional da organização;
• Os indivíduos que utilizam a estrutura tecnológica e de comunicação da
empresa e que lidam com a informação.
Ameaças
De acordo com a Microsoft (2006), as ameaças são a causa potencial de um
incidente indesejado através da exploração de vulnerabilidades existentes, que caso
se concretize pode resultar em perdas e danos aos ativos de uma organização,
afetando os seus negócios.
Os ativos estão constantemente sob ameaças que podem colocar em risco a
integridade, a confidencialidade e a disponibilidade das informações. Essas
ameaças sempre existirão e estão relacionadas a causas que representam riscos, as
quais podem ser:
• causas naturais ou não-naturais;
• causas internas ou externas (Microsoft, 2006).
As ameaças são constantes e podem ocorrer a qualquer momento. Essa relação de
frequência-tempo se baseia no conceito de risco, o qual representa a probabilidade
de que uma ameaça se concretize por meio de uma vulnerabilidade ou ponto fraco.
7
Segundo Oliveira (2006), as ameaças podem ser classificadas em três grupos:
1. Humanas – estão diretamente relacionadas às ações de indivíduos, e
podem sofrer uma nova segregação, sendo intencional as decorrentes
de ações deliberadas como sabotagens, invasões, fraudes, entre
outros, e não intencional as resultantes de erros e acidentes causados
por funcionários.
2. Ambientais – compreendidas por hardware, software, dispositivos
tecnológicos, “bugs”, falhas elétricas, etc.
3. Naturais – decorrentes de condições da natureza e a intempéries, tais
como incêndio, furacão, inundação, terremotos.
Vulnerabilidades
De acordo com Sêmola (2003, p.48), vulnerabilidade é:
Fragilidade presente ou associada a ativos que manipulam e/ou processam informações que, as ser explorada por ameaças, permite a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: confidencialidade, integridade e disponibilidade.
A existência de uma vulnerabilidade não implica necessariamente na ocorrência de
um incidente. Elas são os pontos que poderão ser utilizados pelas ameaças para
causar danos aos ativos da organização.
A sua identificação é de fundamental importância para que se possa dimensionar os
riscos aos quais os ativos encontram-se expostos, definindo medidas que visem a
sua correção para diminuir a possibilidade de exploração por parte das ameaças.
Segundo a Microsoft (2006, p. 48-53), as vulnerabilidades podem ser divididas nas
seguintes categorias:
a) Vulnerabilidades físicas – São aquelas presentes nos ambientes em que
estão sendo armazenadas ou gerenciadas as informações, como falta de
extintores, disposição desorganizada de cabos de energia e rede, etc.
b) Vulnerabilidades naturais – São aquelas relacionadas às condições da
natureza que podem colocar em risco as informações, como locais próximos a
8
rios propensos a inundações, incapacidade de resistência a manifestações da
natureza como terremotos, furacões, tempestades, etc.
c) Vulnerabilidades de hardware – Os possíveis defeitos de fabricação ou
configuração dos equipamentos da empresa que poderiam permitir o ataque
ou a alteração dos mesmos, como falta de atualizações orientadas por
fabricantes, conservação inadequada de equipamentos, etc.
d) Vulnerabilidades de softwares – Os pontos fracos dos aplicativos permitem
que ocorram acessos indevidos aos sistemas de computador, inclusive sem o
conhecimento de um usuário ou administrador de rede, como ausência de
atualizações, configurações e instalações inadequadas, programação
insegura, etc.
e) Vulnerabilidades dos meios de armazenamento – Os meios de
armazenamento podem ser afetados por pontos fracos que podem danificá-
los ou deixá-los indisponíveis, como uso incorreto, locais de armazenamento
incorretos, prazo de validade vencido, etc.
f) Vulnerabilidades de comunicação – Esse tipo de vulnerabilidade abrange
todo o tráfego de informações, como falta de criptografia, escolha de sistemas
inapropriados para a natureza da informação, etc.
g) Vulnerabilidades humanas – Relacionam-se aos danos que as pessoas
podem causar às informações e ao ambiente tecnológico que lhes oferece
suporte, como falta de treinamento, senhas fracas, compartilhamento de
credenciais de acesso, etc.
Impactos
Resultado da ação bem sucedida de uma ameaça ao explorar as vulnerabilidades
de um ativo, atingindo assim um ou mais princípios da segurança da informação,
causando danos a um ou mais processos do negócio da organização.
Riscos
O risco pode ser encarado através de duas óticas antagônicas: como uma
oportunidade ou como uma ameaça.
De acordo com D’ANDREA citado por Oliveira (2006, p.23) “o risco como
oportunidade está centrado no investimento e tem base em iniciativas estratégicas.
Quanto maior for o risco, maior o potencial de retorno, e, paralelamente, maior pode
9
ser o potencial de perda”. Esta visão define o risco como elemento decisivo nos
resultados a serem obtidos, numa equação proporcionalmente equivalente dos
ganhos a serem obtidos.
Na visão do risco como ameaça, segundo a definição de Sêmola (2003, p. 55) “risco
é a probabilidade de que agentes, que são as ameaças, explorem vulnerabilidades,
expondo os ativos a perdas de confidencialidade, integridade e disponibilidade,
causando impacto nos negócios.”
A perda de um ou mais destes fatores de segurança leva “à ocorrência de efeitos
negativos como perda financeira, fraude, roubo, comprometimento da imagem e
reputação, infração legal, falhas tecnológicas, dentre outros.” Oliveira (2006, p.23).
Na perspectiva de uma ameaça, o risco deve sempre ser tratado de maneira
preventiva, buscando minimizar o impacto causado caso venha a se materializar.
A gestão de riscos pode ser esboçada pela equação apresenta na Figura 1 abaixo.
Sendo assim, o risco a qual um ativo estará exposto encontra-se na
combinação dessas variáveis, sendo o objetivo principal da segurança da
informação a redução dos riscos, através da eliminação das vulnerabilidades dos
ativos, evitando que as ameaças as explorem e gerem impactos para as
organizações. Como não existe segurança total, a organização, dentro de seus
objetivos, deve manter o risco o mais próximo a zero possível.
ABNT NBR ISO/IEC 31000
A NBR ISO/IEC 31000, lançada em 2009, foi desenvolvida por um comitê especial
composto por delegações de 35 países que se uniram para criar um grupo de
Figura 1 – Diagrama da Equação do Risco de Segurança da Informação Fonte: Sêmola, 2003
10
trabalho multidisciplinar composto por profissionais de diferentes áreas, tais como
financeira, saúde, defesa, tecnologia, seguros, projetos, etc.
De acordo com a sua própria definição, é uma norma que descreve um processo
sistemático e lógico, de forma detalhada, para o gerenciamento do risco através da
identificação, análise e posteriormente avaliação se risco deverá ser modificado via
seu tratamento com o objetivo de atender os critérios de risco definidos pela
organização. O processo ainda define a comunicação e consulta às partes
interessadas, além do monitoramento e análise crítica do risco e os controles
implementados para sua modificação, a fim de garantir que nenhum novo tratamento
adicional seja requerido.
A decisão de se criar uma norma específica para a gestão de riscos internacional, de
acordo com Alberto Bastos citado por Fernandez (2009, p.39) surgiu porque “a ISO
avaliou e descobriu que existiam mais de sessenta comitês técnicos ou grupos de
trabalhos que desenvolviam normas em vários setores que, de alguma forma, diziam
a respeito à gestão de riscos”. Com base nesta constatação, percebeu-se a
necessidade de se criar um padrão para todos esses documentos e práticas,
desenvolvido por um organismo de normalização, uma vez que cada um desses
grupos ou normas existentes utilizava conceitos e terminologias diferentes, segundo
Fernandez (2009, p.39) citando Alberto Bastos.
Assim, a norma tem como objetivo ser uma norma genérica que possa ser utilizada
por organizações de qualquer segmento, independente de seu tamanho, em todas
as suas áreas e níveis, incluindo funções, atividades e projetos específicos, através
de uma abordagem genérica que fornece os princípios e diretrizes para gerenciar
qualquer forma de risco de maneira sistemática, transparente e confiável.
Escopo
A ISO 31000 pode ser utilizada por qualquer empresa pública, privada ou
comunitária, associação, grupo ou indivíduo, não sendo específica para qualquer
indústria ou setor. Pode ser aplicada ao longo da vida de uma organização, em
diferentes tipos de atividades, tais como estratégias, decisões, operações,
processos, funções, projetos, serviços e ativos. Seu propósito é ser aplicada a
qualquer tipo de risco, independente de sua natureza e conseqüências, sejam elas
positivas ou negativas.
11
Segundo a ABNT NBR ISO/IEC 31000, a norma não pretende promover a
uniformidade da gestão de riscos entre organizações, uma vez que para a
concepção e a implementação de planos e estruturas para gestão de riscos é
preciso levar em consideração as necessidades variadas de uma organização
específica, seus objetivos, contexto, estrutura, operações, processos, funções,
projetos, produtos, serviços ou ativos e práticas específicas empregadas.
Estrutura
Nesta seção, a ABNT NBR ISO/IEC 31000 descreve quais são os componentes
necessários da estrutura para gerenciar riscos e a forma como eles se inter-
relacionam de maneira iterativa. Esta estrutura, apresentada na Figura 2, segue o
modelo PDCA (Plan – planejar, Do – implementar, Check – analisar, Act – monitorar)
utilizado nos modelos de gestão de qualidade, numa divisão clara de etapas e
atividades a serem adaptadas pelas organizações de acordo com suas
necessidades específicas.
Figura 2 – Relacionamento entre os componentes da estrutura para gerenciar riscos Fonte: ABNT NBR ISO/IEC 31000, 2009
Mandato e comprometimento (4.2)
Concepção da estrutura para gerenciar riscos (4.3)
Entendimento da organização e seu contexto (4.3.1) Estabelecimento da política de gestão de riscos (4.3.2) Responsabilização (4.3.3) Integração nos processos organizacionais (4.3.4) Recursos (4.3.5) Estabelecimento de mecanismos de comunicação e reporte internos (4.3.6) Estabelecimento de mecanismos de comunicação e reporte externos (4.3.7)
Impleme ntação da gestão de riscos (4.4)
Implementação da estrutura para gerenciar riscos (4.4.1) Implementação do processo de gestão de riscos (4.4.2)
Melhoria contínua da estrutura (4.6)
Monitoramento e análise crítica da estrutura (4.5)
12
Processo
O processo estruturado proposto pela ABNT NBR ISO/IEC 31000 sugere, como
princípios importantes para sua adoção, que seja parte integrante da gestão da
organização, incorporado na sua cultura e práticas, e adaptado aos seus processos
de negócio. É composto por sete fases, sendo que as fases de comunicação e
consulta e monitoração e análise crítica abrangem e se relacionam com todas as
demais, conforme exibido na Figura 3.
Comunicação e consulta
Esta fase sugere que tanto a comunicação interna quanto a externa, aconteça
durante todas as fases do processo, de forma a assegurar que os responsáveis e
partes interessadas compreendam os fundamentos sobre os quais as decisões são
tomadas e as respectivas razões (ABNT NBR ISO/IEC 31000, 2009).
Processo de avaliação de riscos (5.4)
Comunicação e consulta (5.2)
Monitoramento e análise crítica
(5.6)
Identificação de riscos (5.4.2)
Análise de riscos (5.4.3)
Avaliação de riscos (5.4.4)
Tratamento de riscos (5.5)
Estabelecimento do contexto (5.3)
Figura 3 – Processo de gestão de riscos Fonte: ABNT NBR ISO/IEC 31000, 2009
13
Estabelecimento do contexto
A fase de estabelecimento do contexto propõe que a organização articule seus
objetivos e defina quais serão os fatores externos e internos que serão levados em
consideração no gerenciamento de riscos, estabelecendo assim seu escopo e
critérios de risco.
Para isso, busca-se entender, no contexto externo, os ambientes nos quais a
organização encontra-se inserida, fatores-chave e tendências que possam impactar
seus objetivos e as relações com as partes interessadas externas.
Já no contexto interno, aquele no qual a organização busca atingir seus objetivos,
busca-se a compreensão da estrutura organizacional, funções, responsabilidades,
políticas, objetivos, estratégias, capacidades, normas e modelos adotados.
No estabelecimento do contexto faz-se a definição dos objetivos, estratégias, o
escopo e os parâmetros das atividades da organização, além das responsabilidades
pelo processo.
Importante frisar que deve ser considerado um nível maior de detalhamento com
relação aos parâmetros que serão avaliados para a definição do contexto, uma vez
que muitos deles serão similares aos utilizados na concepção da estrutura da gestão
de risco.
Identificação de riscos
A fase da identificação de riscos, dentro do processo de avaliação de riscos, é
aquela na qual a organização identifica as fontes de riscos, seus impactos e suas
causas. Deve ser gerada uma listagem dos riscos baseada nos eventos, tanto
daqueles cuja fonte esteja sob o controle da organização ou não. A identificação
deve ser abrangente, sendo considerada crítica, uma vez que um risco não
identificado nesta fase não será incluído em análises posteriores.
Análise de riscos
Na fase de análise de riscos busca-se desenvolver a compreensão dos riscos. Ela
fornece uma entrada para as decisões sobre o tratamento dos riscos, incluindo quais
as estratégias e métodos mais adequados de tratamento de riscos.
É nessa fase em que são estimadas as probabilidades e conseqüências dos riscos
na organização, devendo-se levar em consideração os controles existentes e sua
eficácia e eficiência.
14
A análise de riscos pode ser realizada em diferentes graus de detalhamento,
dependendo do risco, da finalidade da análise e das informações, dados e recursos
disponíveis. Ela pode ser qualitativa, semiquantitativa ou quantitativa, ou uma
combinação destas (ABNT NBR ISO/IEC 31000, 2009).
Avaliação de riscos
A fase da avaliação de riscos tem como objetivo auxiliar, com base nos resultados
da análise de riscos, quais riscos serão tratados e qual a prioridade será dada à
implementação desse tratamento.
Para isso, deve-se fazer uma comparação do nível de risco encontrado na análise
de riscos com critérios previamente estabelecidos.
De acordo com a norma, em algumas circunstâncias a análise de riscos pode levar à
decisão de se efetuar uma análise mais aprofundada, ou, em outros casos, de não
se tratar o risco de forma diferente da que vem sendo executada com os controles
existentes.
Tratamento de riscos
Na fase de Tratamento de Riscos faz-se a seleção de uma ou mais opções para
modificar os riscos, além da implementação dessas opções.
O tratamento de riscos é um processo cíclico composto por (ABNT NBR ISO/IEC
31000, 2009):
• avaliação do tratamento já realizado;
• decisão se os níveis de risco residual são toleráveis;
• se não forem toleráveis, a definição e implementação de um novo
tratamento;
• avaliação e eficácia desse tratamento.
As opções de tratamento a serem utilizadas não se excluem, podendo ser
empregadas individualmente ou combinadas. Além disso, deve-se considerar se são
adequadas às circunstâncias em que serão empregadas (ABNT NBR ISO/IEC
31000, 2009):
15
• ação de evitar o risco;
• tomada ou aumento do risco – se o risco for positivo;
• remoção da fonte de risco;
• alteração da probabilidade;
• alteração das conseqüências;
• compartilhamento do risco com outras partes;
• retenção do risco por uma decisão consistente e bem embasada.
É importante que na decisão de qual opção de tratamento será empregada a
organização considere os custos e esforços de implementação de um lado, e os
benefícios a serem alcançados do outro.
Monitoramento e análise crítica
A fase de monitoramento e análise crítica é a última do processo de gestão de riscos
e envolve a checagem ou vigilância regulares. Podem ocorrer em períodos regulares
ou como resposta a um evento específico. A responsabilidade de quem irá realizar o
monitoramento e análise crítica devem ser definidas de forma clara.
As atividades executadas nessa fase devem abranger todos os aspectos da gestão
de riscos, visando garantir que os controles empregados sejam eficazes e eficientes,
que forneçam informações para melhorar a avaliação dos riscos, analisar os
eventos, sucessos e fracassos e aprender com eles, e também identificar riscos
emergentes (ABNT NBR ISO/IEC 31000, 2009).
Avaliação da ABNT NBR ISO/IEC 31000
A ABNT NBR ISO/IEC 31000 pode ser considerada a norma cujos principais
desafios são o estabelecimento de uma linguagem comum no processo de gestão
de riscos e uma padronização das melhores práticas e abordagens para sua
implementação, utilizando informações de normas, padrões, metodologias e
referências de gestão de riscos corporativos.
Assim como outras normas ISO, ela pode ser aplicada em qualquer organização,
independente do tipo, tamanho ou área de atuação.
16
A proposta da norma é a integração de todo o processo de gestão de riscos de uma
organização, através da recomendação de que todas as áreas interajam com o
mesmo objetivo, ao invés de atuarem de forma independente.
Além da aplicabilidade em diversos tipos de riscos, a norma também insere em seu
contexto as oportunidades para o negócio, e recomenda ainda que os fatores
humanos sempre sejam considerados.
Todo o processo é contínuo, com o objetivo de que melhorias sejam identificadas e
implementadas, mantendo-se o gerenciamento de riscos alinhado com as mudanças
naturais e inevitáveis que a organização venha a enfrentar.
ABNT NBR ISO/IEC 27005
A NBR ISO/IEC 27005, lançada em 2008, é uma norma internacional que fornece
diretrizes para o processo de Gestão de Riscos de Segurança da Informação de
uma organização, atendendo aos requisitos de um Sistema de Gerenciamento de
Segurança da Informação (SGSI) de acordo com a ABNT NBR ISO/IEC 27001
(ABNT NBR ISO/IEC 27005, 2008). Surgiu a partir dos padrões ISO/IEC TR 13335-
3: 1998 e ISO/IEC TR 13335-4: 2000, que foram revisados e transformaram-se
então no padrão internacional NBR ISO/IEC 27005. Como tal, é parte integrante do
conjunto de normas NBR ISO/IEC 27000 para a gestão da segurança da
informação.
A não abordagem em profundidade do processo de Gestão de Riscos nas normas
ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 foi intencional, uma vez
que o propósito foi o de se criar uma norma específica para isso, dada a importância
desse processo para um Sistema de Gerenciamento de Segurança da Informação.
A ABNT NBR ISO/IEC 27005 adota como referências as normas ABNT NBR
ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, que são consideradas indispensáveis
à sua aplicação.
A norma não se propõe a instituir uma metodologia específica para a gestão de
riscos de segurança da informação, uma vez que reserva à organização a definição
de qual será a abordagem a ser adotada na gestão de riscos, de acordo com suas
características próprias. Várias são as metodologias que poderão ser utilizadas em
conformidade com a estrutura descrita pela norma para se implementar os requisitos
de um SGSI.
17
A Gestão de Riscos de Segurança da Informação é parte integrante da Gestão de
Riscos Corporativos, devendo estar alinhada e em conformidade com a mesma.
É indispensável ainda que seja um processo contínuo, com o objetivo de se manter
os riscos sobre controle e dentro dos níveis aceitáveis para a organização.
Escopo
Assim como a ABNT NBR ISO/IEC 31000, a norma ABNT NBR ISO/IEC 27005 pode
ser aplicada a todos os tipos de organização, tais como empresas públicas,
privadas, comunitárias, associação ou grupo, não sendo específica para qualquer
indústria ou setor.
Seu objetivo é facilitar uma implementação satisfatória da segurança da informação
tendo como base a gestão de riscos, e tem como preceito o conhecimento dos
conceitos, modelos, processos e terminologia que são descritos nas normas ABNT
NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 (ABNT NBR ISO/IEC 27005).
Estrutura
A ABNT NBR ISO/IEC 27005, em sua seção 4, descreve como a norma está
organizada e a estrutura das atividades da gestão de riscos que são apresentadas
no processo proposto.
De forma geral, todas as atividades são compostas por:
• Entrada : que identifica as informações necessárias para a execução
da atividade;
• Ação : que descreve a atividade;
• Diretrizes : que fornece as diretrizes para a implementação das ações;
• Saída: que identifica as informações resultantes da atividade.
Nesta mesma seção são citados ainda os anexos que apresentam informações
adicionais, tais como detalhamento para a definição do contexto, a identificação e
valoração dos ativos, a avaliação do impacto, além de exemplos de ativos, ameaças
e vulnerabilidades comuns (ABNT NBR ISO/IEC 27005).
18
Processo
A norma ABNT NBR ISO/IEC 27005 apresenta o processo de gestão de riscos de
segurança da informação composto por seis atividades principais, sendo que as
atividades de análise/avaliação de riscos e/ou tratamento do risco podem ser
realizadas mais de uma vez (ABNT NBR ISO/IEC 27005), como mostra a Figura 4.
Figura 4 – Processo de gestão de riscos de segurança da informação Fonte: ABNT NBR ISO/IEC 27005, 2008
ANÁLISE/AVALIAÇÃO DE RISCOS
ANÁLISE DE RISCOS
DEFINIÇÃO DO CONTEXTO
IDENTIFICAÇÃO DE RISCOS
ESTIMATIVA DE RISCOS
AVALIAÇÃO DE RISCOS
TRATAMENTO DO RISCO
MO
NIT
OR
AM
EN
TO
E A
NÁ
LIS
E C
RÍT
ICA
DE
RIS
CO
S
CO
MU
NIC
AÇ
ÃO
DO
RIS
CO
PONTO DE DECISÃO 2 Tratamento satisfatório
PONTO DE DECISÃO 1 Avaliação satisfatória
ACEITAÇÃO DO RISCO
Sim
Sim
Não
Não
FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES
19
Utilizando uma abordagem iterativa na análise/avaliação de riscos, é possível
detalhar a avaliação em cada repetição, que irá minimizar o tempo e o esforço a
serem gastos na identificação dos controles a serem empregados.
A norma ABNT NBR ISO/IEC 27005 alinha as atividades do processo de gestão de
riscos de segurança da informação com as quatro fases do processo do Sistema de
Gerenciamento de Segurança da Informação, que segue, por sua vez, o modelo
PDCA, também adotado na ABNT NBR ISO/IEC 31000,
A aplicação do processo pode ser implementada através de vários métodos
existentes, cabendo à organização a definição do mais adequado as suas
circunstâncias e características.
Definição do contexto
Esta fase consiste na definição de qual será o contexto para a gestão de riscos de
segurança da informação, ou seja, a definição dos critérios básicos para a gestão de
riscos, a definição do escopo e seus limites e o estabelecimento de uma organização
adequada para a operação da gestão de riscos (ABNT NBR ISO/IEC 27005).
Para isso, todas as informações importantes sobre a organização são utilizadas
como entrada, e resultará como saída nas especificações das atividades de
definições citadas anteriormente.
Para cada uma dessas atividades, a norma apresenta recomendações que
demonstram, de maneira mais detalhada, quais os objetivos a serem buscados
durante suas execuções, destacando pontos críticos que deverão ser observados.
Como diretrizes para sua implementação, deve-se buscar determinar qual o
propósito da gestão de riscos de segurança da informação, uma vez que ele irá
afetar tanto o processo como um todo, quanto a própria definição do contexto. A
norma cita alguns exemplos como propósitos para a gestão de riscos de segurança
da informação, como preparação de um plano de continuidade de negócios,
conformidade legal, suporte a um SGSI, entre outros.
Análise/avaliação de riscos de segurança da informa ção
A fase de análise/avaliação de riscos tem como objetivo a identificação,
quantificação ou descrição qualitativa e priorização dos riscos que possam afetar
uma organização.
20
As saídas produzidas na fase anterior, de definição do contexto, serão utilizadas
aqui como entrada.
As diretrizes para sua implementação é o conjunto de uma série de atividades,
divididas entre a análise e a avaliação de riscos. A análise de riscos, por sua vez, é
composta por duas etapas: identificação de riscos e estimativa de riscos. A
distribuição das atividades entre essas etapas é a seguinte:
• Identificação de riscos:
o identificação dos ativos;
o identificação das ameaças;
o identificação dos controles existentes;
o identificação das vulnerabilidades;
o identificação das conseqüências.
• Estimativa de riscos:
o metodologias para a estimativa de riscos;
o avaliação das conseqüências;
o avaliação da probabilidade dos incidentes;
o estimativa do nível de risco.
Todas essas atividades seguem a estrutura padrão do processo, ou seja, possuem
uma entrada, um conjunto de ações, diretrizes para implementação, e uma saída,
que normalmente será o subsídio a ser utilizado como entrada pela atividade
seguinte.
Cabe destacar que, nessa fase do processo proposto pela ABNT NBR ISO/IEC
27005, ocorre um nível bem maior de detalhamento das atividades a serem
executadas do que na ABNT NBR ISO/IEC 31000, levando-se em consideração
questões como vulnerabilidades, conseqüências, metodologias de estimativas entre
outros.
Tratamento do risco de segurança da informação
O tratamento do risco de segurança da informação é a fase em que, a partir da lista
dos riscos ordenados por prioridades resultante da avaliação de riscos, são
implementados controles para reduzir, reter, evitar ou transferir os riscos
identificados, de acordo com o plano de tratamento definido pela organização,
21
dentro dos custos previstos para sua implementação e dos benefícios esperados.
Essa atividade é mostrada na Figura 5.
Assim como na ABNT NBR ISO/IEC 31000, as opções de tratamento do risco não
são excludentes entre si. É aceitável a combinação de opções, uma vez que o
resultado a ser alcançado será mais benéfico à organização.
As opções de tratamento do risco, descritas na ABNT NBR ISO/IEC 27005 como
atividades, e que possuem individualmente ações e diretrizes para sua
implementação são:
OPÇÕES DE TRATAMENTO DO RISCO
REDUÇÃO
DO RISCO
RETENÇÃO
DO RISCO
AÇÃO DE
EVITAR O
RISCO
TRANSFERÊNCIA
DO RISCO
RISCOS
RESIDUAIS
RESULTADO DA
AVALIAÇÃO DE
RISCOS
TRATAMENTO
SATISFATÓRIO Ponto de Decisão 2
Ponto de Decisão 1
Tratamento do risco
AVALIAÇÃO
SATISFATÓRIA
Figura 5 – A atividade de tratamento do risco Fonte: ABNT NBR ISO/IEC 27005, 2008
22
• redução do risco;
• retenção do risco;
• ação de evitar o risco;
• transferência do risco.
A saída produzida nesta fase será um plano de tratamento do risco e os riscos
residuais, que estarão sujeitos de aceitação pelos gestores da organização (ABNT
NBR ISO/IEC 27005).
Aceitação do risco de segurança da informação
Na fase de aceitação do risco, o plano de tratamento do risco e a análise do risco
residual são utilizados como entrada e apresentados formalmente aos gestores da
organização, que terão a responsabilidade pela decisão de sua aprovação.
Como diretriz para sua implementação, a norma sugere que todas as decisões
tomadas sejam registradas, incluindo justificativas para a aceitação de riscos que
não satisfaçam aos critérios normais estabelecidos para o seu aceite. Situações em
que os custos da redução do risco são demasiadamente elevados são exemplos de
circunstâncias em que essa justificativa é aceitável.
Como resultado das atividades dessa fase, a saída será uma lista de riscos aceitos,
incluindo as justificativas para aqueles que não satisfaçam os critérios normais de
aceitação (ABNT NBR ISO/IEC 27005).
Comunicação do risco de segurança da informação
A fase de comunicação do risco de segurança da informação é uma fase de
interação direta com todas as demais fases do processo de gerenciamento do risco
com destacada importância, cujo objetivo é alcançar um consenso entre partes
interessadas e os tomadores de decisão sobre como os riscos devem ser
gerenciados.
Serão utilizadas, como entrada para essa fase, todas as informações sobre os riscos
que tenham sido obtidas através das atividades do processo de gerenciamento de
riscos.
Sua ação principal é a troca e/ou partilha das informações, e como diretrizes a
serem adotadas, a norma sugere que seja uma comunicação bidirecional, que
planos de comunicação sejam desenvolvidos e que seja realizada continuamente.
23
A saída esperada dessa atividade é um entendimento contínuo do processo de
gestão de riscos de segurança da informação e os resultados a serem obtidos
(ABNT NBR ISO/IEC 27005).
Monitoramento e análise crítica de riscos de segura nça da informação
Na fase de monitoramento e análise crítica de riscos de segurança da informação os
riscos e seus fatores relacionados, como valoração dos ativos, impactos, ameaças,
vulnerabilidades e probabilidades sejam monitorados e analisados de forma crítica,
com o objetivo de identificação, da forma mais rápida possível, de eventuais
mudanças na organização que modifiquem o contexto no qual as atividades do
processo de gerenciamento de riscos tenham sido executadas, garantindo uma
visão geral dos riscos condizente com a realidade atual da organização.
Nessa fase também serão utilizadas todas as informações sobre os riscos que
tenham sido obtidas através das atividades do processo de gerenciamento de riscos.
A recomendação da norma como diretrizes para sua implementação é
essencialmente o monitoramento contínuo de (ABNT NBR ISO/IEC 27005):
• novos ativos incluídos no escopo;
• modificações dos valores dos ativos;
• novas ameaças que possam afetar os ativos;
• possíveis novas vulnerabilidades ou ampliação das existentes;
• as conseqüências de ameaças, vulnerabilidades e riscos avaliados em
conjunto;
• incidentes relacionados à segurança da informação.
O alinhamento contínuo da gestão de riscos com os objetivos de negócios da
organização e os critérios de aceitação do risco é a saída esperada para as
atividades dessa fase.
Avaliação da ABNT NBR ISO/IEC 27005
A ABNT NBR ISO/IEC 27005 é a norma desenvolvida especificamente para o
gerenciamento de riscos de segurança da informação, desenvolvida para ser parte
integrante da família de normas ISO 27000 e com foco no atendimento aos
24
requisitos de um Sistema de Gerenciamento de Segurança da Informação (SGSI)
proposto pela ABNT NBR ISO/IEC 27001.
Tem como desafio o estabelecimento de um processo de gerenciamento de riscos
de segurança da informação numa organização, sem impor uma metodologia
específica. Deixa a cargo da organização que a esteja implementando a definição de
qual será a abordagem a ser utilizada na gestão de riscos, uma vez que questões
como o escopo do SGSI, o contexto da gestão de riscos, área de atuação da
organização, deverão ser consideradas nessa decisão.
Tal como a ABNT NBR ISO/IEC 31000 e outras normas ISO, também pode ser
aplicada em qualquer organização, independente do tipo, tamanho ou área de
atuação.
Propõe ainda que o processo de gerenciamento de riscos de segurança da
informação seja contínuo, uma vez que os ambientes interno e externo em que
tenha sido implementado pela primeira vez é tipicamente dinâmico, com mudanças
que ocorrem com freqüência e que devem ser consideradas em novas iterações,
incluindo aí o objetivo de identificar e implementar melhorias em sua execução.
ANÁLISE COMPARATIVA
Após o estudo do conteúdo das normas ABNT NBR ISO/IEC 27005 e ABNT NBR
ISO/IEC 31000, é possível avaliar quais são suas semelhanças e diferenças, e
ainda, o quanto a norma ABNT NBR ISO/IEC 27005 é aderente e encontra-se em
conformidade com as definições da ABNT NBR ISO/IEC 31000.
Considerada como a norma “guarda-chuva”, a ABNT NBR ISO/IEC 31000 é uma
norma genérica de gerenciamento de riscos, que fornece os princípios, o framework
e o processo geral de Gestão de Riscos (Cicco, 2011).
Comparação do Escopo
Sendo aplicável em qualquer setor da organização em diferentes atividades, a ABNT
NBR ISO/IEC 31000 apresenta a primeira diferença em relação à ABNT NBR
ISO/IEC 27005, que é uma norma voltada especificamente para a segurança da
informação. Uma semelhança entre ambas as normas é que são aplicáveis em
qualquer tipo de organização, independente do tamanho e ramo de atividade.
25
Comparação da Estrutura
A avaliação da estrutura das duas normas mostra uma diferença de abordagem,
onde a ABNT NBR ISO/IEC 31000 apresenta uma visão de alto nível dos
componentes necessários no gerenciamento de riscos, e o relacionamento entre os
mesmos.
Já a ABNT NBR ISO/IEC 27005 apresenta uma descrição da estrutura das
atividades existentes no processo, com elementos que estarão presentes em cada
uma delas.
Comparação do Processo
Tanto a ABNT NBR ISO/IEC 27005 quanto a ABNT NBR ISO/IEC 31000 apresentam
como proposta para a gestão de riscos um processo dividido em atividades
principais, bastante semelhantes entre si. A ABNT NBR ISO/IEC 31000 define sete
atividades, enquanto a ABNT NBR ISO/IEC 27005 define seis, embora neste caso
as atividades de análise e avaliação de riscos tenham sido agrupadas em um só
conjunto.
Outra semelhança importante refere-se à descrição da fase de comunicação, que
em ambas as normas se relacionam com todas as demais atividades do processo.
Quanto à execução do processo, a ABNT NBR ISO/IEC 27005 sugere que as
atividades de análise/avaliação de riscos e tratamento do risco poderão ser
executadas de forma iterativa, com um aprofundamento e detalhamento maior em
cada iteração, o que não ocorre na ABNT NBR ISO/IEC 31000.
Considerando que o processo de Gestão de Riscos deva estar integrado às
estratégias da organização, ambas as normas propões que seja um processo
contínuo, a ser executado repetidas vezes, de acordo com o modelo PDCA. Essa
abordagem visa garantir que os riscos estão sendo identificados, avaliados, tratados
e monitorados, acompanhando as mudanças que ocorrem tanto nos ambientes
internos quanto externos da organização.
Quanto à sua utilização, mais uma vez as duas normas apresentam a mesma
abordagem, a saber: o processo de gerenciamento de riscos a ser empregado deve
levar em consideração a realidade da organização, os cenários em que se encontra
inserida (internos e externos), seus processos, assim como outras variáveis que
possam exigir adaptações a serem feitas para que a gestão de riscos a ser
26
implementada seja eficaz e eficiente, a fim de fornecer os benefícios e resultados
esperados.
Como características próprias de cada uma das normas, a ABNT NBR ISO/IEC
31000 apresenta como principal ponto a ser observado seu propósito de evitar que a
gestão de riscos seja tratada de forma isolada dentro da organização e a sua não
concorrência com outros padrões já existentes, mas sim o seu alinhamento.
Já a ABNT NBR ISO/IEC 27005 deixa claro que seu principal objetivo é atender aos
requisitos exigidos para um Sistema de Gerenciamento de Segurança da Informação
(SGSI), conforme proposto pela ABNT NBR ISO/IEC 27001, apresentando assim um
forte alinhamento com a família de normas ABNT NBR ISO/IEC 27000, que tratam
especificamente da Segurança da Informação.
CONCLUSÃO
As incertezas de que serão capazes de alcançar seus objetivos, provocadas pelas
influências internas e externas, faz com que as organizações estejam cada vez mais
preocupadas em manter os riscos sobre controle, preferencialmente sob a tutela de
um processo formal, institucionalizado e que tenha credibilidade e validade
reconhecida para garantir o sucesso de suas atividades de gerenciamento de riscos.
Neste contexto, as duas normas internacionais avaliadas, a ABNT NBR ISO/IEC
27005 e a ABNT NBR ISO/IEC 31000 apresentam-se com destaque como
referências no assunto. Ambas as normas apresentam um processo bem definido,
sistematizado, com descrição detalhada das atividades a serem executadas em
cada uma de suas etapas, tornando o gerenciamento de riscos um processo
consistente, eficaz, e alinhado com as estratégias da organização. Uma vez que tal
processo esteja sendo executado com sucesso, vários são os benefícios esperados
de serem alcançados por uma organização: maiores chances de atingir seus
objetivos, atendimento de normas e requisitos legais, maior nível de confiança dos
“stakeholders”, maior prevenção contra perdas, melhor utilização dos recursos
alocados para o tratamento de riscos, dentre outros.
Neste estudo, busca-se uma comparação entre as duas citadas normas, a fim de
identificar o nível de alinhamento existente entre a norma ABNT NBR ISO/IEC
27005, definida como o padrão recomendado para gerenciamento específico de
riscos de segurança da informação, com a norma ABNT NBR ISO/IEC 31000, tida
27
como a norma criada para unificar o modelo de gestão de riscos, sem conflitar com
os demais padrões já estabelecidos.
O estudo mostra que existe um alinhamento muito estreito entre as duas normas,
podendo-se considerar que a base da metodologia é a mesma em ambos os
processos.
As diferenças identificadas entre as duas normas são pouco significativas, sendo
consideradas mínimas nesta avaliação comparativa. A conclusão é que a norma
ABNT NBR ISO/IEC 27005 encontra-se aderente e alinhada à proposta apresentada
pela ABNT NBR ISO/IEC 31000, sendo a utilização das duas normas em uma
mesma organização aceitável, com a aplicação da ABNT NBR ISO/IEC 27005
recomendada para o gerenciamento dos riscos específicos de segurança da
informação e a ABNT NBR ISO/IEC 31000 indicada para as demais áreas da
organização, tais como financeira, projetos, saúde, manufatura, etc.
REFERÊNCIAS BIBLIOGRÁFICAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27005: Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação. Rio de Janeiro, 2008.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 31000: Gestão de riscos – Princípios e diretrizes. Rio de Janeiro, 2009.
CICCO, Francesco De. Gestão de Riscos de Segurança da Informação: convergência de modelos . Disponível em: < http://www.iso31000qsp.org/2009/08/gestao-de-riscos-de-seguranca-da.html>. Acesso em: 04 dez. 2011.
FERNANDEZ, Mariana, O advento das ISOs da Gestão de Riscos. Revista Gestão de Riscos , São Paulo, ed. 49/50, p. 38-41, nov.-dez. 2009.
FERREIRA, Geraldo. Comparison between ISO 31000 and ISO 27005 risk management processes . Disponível em: <http://www.modulo.com/risk-management-iso31000-iso27005>. Acesso em: 10 dez. 2011.
28
GUALBERTO, Éder Souza. Um estudo de caso sobre a gestão da segurança da informação em uma organização pública. 2010. 124f. Monografia (Bacharelado em Ciência da Computação) – Universidade de Brasília, Brasília.
MICROSOFT TECHNET. Introdução à Segurança da Informação . 2006. Disponível em: <http://www.technetbrasil.com.br/academia2007/seguranca/Secure/mod1_1.aspx> Acesso em: 13 jul. 2011.
OLIVEIRA, Viviane Luciana de. Uma análise comparativa das metodologias de gerenciamento de risco FIRM, NIST SP 800-30 e OCTAV E. 2006. 180f. Dissertação (Mestrado em Computação) – Universidade Estadual de Campinas, Campinas.
SÊMOLA, Marcos. Gestão da Segurança da Informação . 10ª reimpressão. Rio de Janeiro: Elsevier, 2003.
