Os riscos de segurança da informação representam uma verdadeira e considerável ameaça para as empresas devido à possibilidade de perdas ou danos financeiros, perda
Página | 30 de serviços de rede essenciais e/ou perda de reputação. A gestão de riscos é um dos principais elementos-chave na prevenção de fraudes online, roubos de identidade, perda de dados pessoais e muitos outros incidentes. Desta forma, as organizações, sem uma sólida estrutura de gestão de riscos, expõem-se a muitos tipos de ameaças cibernéticas.
A norma ISO/IEC 27005 – Tecnologia de Informação – Técnicas de Segurança – Gestão de Risco de Segurança da Informação, como o próprio nome indica, fornece as diretrizes para a gestão de riscos de segurança da informação. A norma suporta os conceitos gerais especificados na ISO/IEC 27001 e auxilia a implementação satisfatória da segurança da informação, baseada numa abordagem de gestão de risco. Para além de poder ser utilizada por todo o tipo de empresas, organizações e ou instituições (por exemplo, entidades governamentais, empresas comerciais, instituições universitárias, etc…), que tenham por objetivo gerir riscos que possam comprometer a sua segurança da informação, é fundamental ter o conhecimento dos conceitos, modelos, processos e terminologias descritos na ISO/IEC 27001 e ISO/IEC 27002, para uma compreensão completa da ISO/IEC 27005.
Este tipo de gestão de risco consiste essencialmente num processo contínuo de observação do contexto, de identificação, de avaliação e de tratamento dos riscos. Quanto à estrutura da norma, esta encontra-se dividida em 12 secções, onde contêm as informações do processo e das atividades necessárias para a sua execução, e em anexos, onde contêm informações adicionais e alguns exemplos de aplicação e/ou implementação. Da primeira à quarta secção encontram-se as referências e a estrutura da norma, a quinta e a sexta secções apresentam a visão geral do processo de gestão de riscos e as restantes secções tratam especificamente do processo de gestão de riscos. A estrutura da norma é a seguinte:
0. Introdução – Explica o propósito da norma e a sua compatibilidade com outras
normas de gestão;
1. Objetivo – Explica que a norma é aplicável a qualquer tipo de organização;
2. Referência Normativa – Refere-se à ISO 27000 como uma norma onde são dados os
termos e definições;
3. Termos e Definições – Refere-se à ISO 27000 e onde constam os termos e definições
referentes à norma;
4. Estrutura da Norma – Indica que a norma contém a descrição do processo de gestão
de riscos de segurança da informação e das suas atividades, que contém da 7ª secção à 12ª, todas as atividades de gestão de risco e que nos anexos encontram-se as informações adicionais para essas mesmas atividades de gestão de risco.
5. Contextualização – Indicam quais os contributos do cumprimento dos processos para
Página | 31
6. Visão geral do processo de gestão de riscos de segurança da informação – Indica a
visão geral de alto nível do processo de gestão de riscos, onde apresenta esquemas de forma a demonstrar como a norma se aplica ao processo de gestão de riscos.
7. Definição do contexto – Fornece as considerações gerais, os critérios básicos, os
objetivos e limites e também os papéis e responsabilidades que a organização tem que ter em conta para a definição do contexto.
8. Processo de avaliação de riscos de segurança da informação – Faz numa primeira
fase a descrição geral do processo e posteriormente apresenta e descreve as atividades do processo de avaliação de riscos (identificação dos riscos; análise de riscos; avaliação de riscos).
9. Tratamento do risco de segurança da informação – Faz numa primeira fase a
descrição geral do processo, apresentando a atividade de tratamento do risco e depois especifica cada opção de tratamento do risco (modificação do risco; retenção do risco; ação de evitar o risco; partilha do risco;)
10. Aceitação do risco de segurança da informação – Fornece as diretrizes para a
implementação da aceitação do risco.
11. Comunicação e consulta do risco de segurança da informação – Fornece as várias
razões bem como os benefícios da perceção do risco.
12. Monitorização e análise crítica de riscos de segurança da informação – Refere a
importância da monitorização contínua de forma a detetar as várias mudanças que ocorrem nas diversas fases de vida das organizações e indica quais os elementos que devem ser monitorizados continuamente.
Anexos (A, B, C, D, E, F e G) Definição do âmbito e dos limites do processo de gestão de risco de segurança da informação, Identificação e valorização dos ativos e avaliação do impacto, Exemplos de ameaças comuns, Vulnerabilidades e métodos de avaliação de vulnerabilidades, Abordagens para o processo de avaliação de riscos de segurança da informação, Restrições para a modificação do risco e Restrições para a modificação do risco – Resumidamente, ambos os anexos fornecem vários exemplos e os vários
passos para completar as atividades.
O processo de gestão de riscos de segurança da informação, da norma ISO/IEC 27005:2011, como mostra a Figura 10, consiste, essencialmente, em:
Estabelecimento do contexto (secção 7): descrição de como definir o contexto da organização e como estabelecer os critérios de aceitação do risco residual; Identificação de riscos (secção 8): determinar quais são os acontecimentos que
possam causar perda de confidencialidade, integridade e disponibilidade; Análise de riscos (secção 8): descreve as metodologias de forma a dar a escolher
ao gestor qual a melhor opção para efetuar a análise segundo a probabilidade e o impacto;
Página | 32 Avaliação de risco (secção 8): indica os níveis de risco a que uma organização
está exposta, através de escalas e permite definir a prioridade de intervenção e o prazo adequado para a realização da intervenção;
Tratamento de riscos (secção 9): estabelece quatro opções para o tratamento do risco (modificar, aceitar, evitar e partilhar o risco) e permite a elaboração de um plano de tratamento do risco.
Figura 10 - Processo de Gestão do Risco da norma ISO/IEC 27005:2011 [8].
No entanto, a norma não fornece nenhuma metodologia específica, mas sim uma abordagem genérica. Cabe a cada empresa, organização ou instituição definir a sua abordagem, dependendo, por exemplo, do âmbito do SGSI, com base no contexto da gestão de riscos ou do sector industrial.