Your SlideShare is downloading. ×
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para gestão de risco
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para gestão de risco

2,041
views

Published on

O trabalho apresenta os conceitos de duas normas internacionais que tratam do gerenciamento de riscos, e uma análise comparativa para verificar o nível de aderência da norma específica para …

O trabalho apresenta os conceitos de duas normas internacionais que tratam do gerenciamento de riscos, e uma análise comparativa para verificar o nível de aderência da norma específica para gerenciamento de riscos de segurança da informação com a norma genérica de gerenciamento de riscos.

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,041
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
79
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. UNIVERSIDADE FUMEC FACULDADE DE CIÊNCIAS EMPRESARIAIS - FACE MARCELO DE ALENCAR VELOSO ISO 31000 X ISO 27005: Comparação entre as normas para gestão de risco Belo Horizonte 2012
  • 2. MARCELO DE ALENCAR VELOSO ISO 31000 X ISO 27005: Comparação entre as normas para gestão de risco Artigo Científico apresentado à UNIVERSIDADE FUMEC como requisito parcial para obtenção do certificado de MBA em Gestão de Segurança da Informação. Orientador: Prof. MSc. Francisco Paulo Temponi Belo Horizonte 2012
  • 3. “É perdoável ser derrotado, mas nunca surpreendido.” Frederico, O Grande
  • 4. RESUMO Crises do sistema financeiro nos mercados mundiais, disputas cada vez mais acirradas pelos mercados consumidores, ameaças constantes de ataques terroristas, possíveis conflitos armados envolvendo grandes potências militares, catástrofes naturais cada vez mais intensas, ameaças crescentes à segurança das informações. Esses são apenas alguns dos cenários de incertezas que rodam as organizações diariamente nos dias atuais. Isso, sem considerar a ocorrência do improvável, que não pode ser confundido com o impossível. São, entre outros, fatores que trazem a necessidade de um gerenciamento de riscos que busque minimizar impactos negativos nas operações das organizações. Neste trabalho serão apresentados os conceitos de duas normas internacionais que tratam do gerenciamento de riscos, e uma análise comparativa para verificar o nível de aderência da norma específica para gerenciamento de riscos de segurança da informação com a norma genérica de gerenciamento de riscos. Palavras-chave:Segurança da informação, Gerenciamento de risco, Modelo de gestão de risco, normas, análise comparativa. ABSTRACT Crisis of the financial system in global markets, increasingly bitter dispute by consumer markets, constant threats of terrorist attacks, armed conflicts involving major military powers, natural disasters becoming more intense, increasing threats to information security. These are just some of the scenarios of uncertainty that run daily in organizations today. This, without considering the occurrence of the improbable, that cannot be confused with the impossible. They are, among others, factors that bring the need for risk management that seeks to minimize negative impacts on an organization's operations. In this paper we present concepts of two international standards dealing with risk management, and a comparative analysis to determine the level of adhesion of the specific standard for risk management information security with the standard generic risk management. Key-words: Information security, Risk management, Risk management model, standards, comparative analysis.
  • 5. 4 INTRODUÇÃO A cada vez mais frequente utilização da tecnologia da informação nas organizações, indiferente de seu porte e ramos de atuação, tem despertado uma preocupação justificável com relação à segurança das informações dessas organizações. Preocupações em saber até onde estão protegidas, quais são as ameaças que as rondam, quais são os riscos a que estão expostas, geram dúvidas que fazem parte do cotidiano de muitas organizações. Estas e outras dúvidas levam a questionamentos onde as respostas muitas vezes são difíceis de serem dadas. Isto porque a grande maioria das organizações não possui nenhuma metodologia comprovadamente eficaz para a identificação, tratamento e monitoramento dos riscos para a informação. Muitas vezes, o que se identifica são iniciativas isoladas, que não conseguem apresentar a real situação da organização, pois deixam de considerar todos os aspectos necessários neste tipo de avaliação. Este trabalho apresenta uma comparação entre duas metodologias de gestão de riscos amplamente adotadas, apresentando a abordagem que cada uma delas tem em relação ao tema, e caso existam, seus pontos negativos e positivos. Além disso, busca identificar o nível de aderência e alinhamento existente entre a norma ABNT NBR ISO/IEC 27005, voltada especificamente para o gerenciamento de riscos de segurança da informação, com a norma ABNT NBR ISO/IEC 31000, criada para ser a norma padrão para gestão de riscos. Primeiramente é apresentado o referencial teórico sobre o tema segurança da informação, apresentando os principais conceitos relacionados. Após, é feito uma avaliação da norma ABNT NBR ISO/IEC 31000 e da norma ABNT NBR ISO/IEC 27005. Em seguida, faz-se uma análise comparativa entre as duas normas e finalizando, as conclusões acerca do trabalho desenvolvido. Segurança da Informação Segundo definição da Norma NBR ISO/IEC 27002:2005 para informação: "Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegido.”
  • 6. 5 Sendo assim, a informação é cada vez um elemento chave para o desenvolvimento e sucesso de uma organização, independente de seu tamanho e área de atuação. De acordo com a definição de Gualberto, segurança da informação: Diz respeito à proteção da informação em suas propriedades (confidencialidade, integridade e disponibilidade) e em seus aspectos (autenticidade, legalidade, etc.), evitando que as vulnerabilidades dos ativos relacionados sejam exploradas por ameaças e possam trazer conseqüências para os negócios de uma organização. (GUALBERTO, 2010, p. 12) Pode-se afirmar assim que a Segurança da Informação é composta dos processos e medidas empregadas para assegurar as informações de uma organização contra uma extensa variedade de ameaças, garantindo o sucesso e o funcionamento das atividades dessa organização, tendo como base para sua aplicação os princípios de confidencialidade, integridade e disponibilidade. Princípios básicos A segurança da informação tem como objetivo proteger os ativos de uma organização contra a concretização de ameaças que possam afetar a informação, seja corrompendo-a, eliminando-a, permitindo acessos indevidos ou sua indisponibilidade. A proteção contra essas ameaças baseia-se em três princípios básicos, que norteiam todas as atividades desenvolvidas. Segundo Sêmola (2003), estes princípios podem ser definidos como: • Confidencialidade – Toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando a limitação de seu acesso e uso apenas às pessoas para quem elas são destinadas. • Integridade – Toda informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais. • Disponibilidade – Toda informação gerada ou adquirida por um indivíduo ou instituição deve estar disponível aos seus usuários no momento em que os mesmos delas necessitem para qualquer finalidade.
  • 7. 6 Ativos Ativo é “todo elemento que manipula a informação, inclusive ela mesma, passando pelo seu emissor, o meio pelo qual ela é transmitida ou armazenada, até chegar a seu receptor.” (SÊMOLA, 2003, p.45). Os ativos são elementos a serem protegidos de forma adequada, devido ao valor que possuem para uma organização, para que suas operações não sejam prejudicadas pelos variados tipos de danos que estão sujeitos, causados por ameaças que explorem vulnerabilidades. Segundo a Microsoft (2006), são compostos por três elementos: • As informações, armazenadas em meio eletrônico ou físico; • Os equipamentos e sistemas que oferecem suporte a elas, incluindo hardware, software, e organização, formada pela estrutura física e organizacional da organização; • Os indivíduos que utilizam a estrutura tecnológica e de comunicação da empresa e que lidam com a informação. Ameaças De acordo com a Microsoft (2006), as ameaças são a causa potencial de um incidente indesejado através da exploração de vulnerabilidades existentes, que caso se concretize pode resultar em perdas e danos aos ativos de uma organização, afetando os seus negócios. Os ativos estão constantemente sob ameaças que podem colocar em risco a integridade, a confidencialidade e a disponibilidade das informações. Essas ameaças sempre existirão e estão relacionadas a causas que representam riscos, as quais podem ser: • causas naturais ou não-naturais; • causas internas ou externas (Microsoft, 2006). As ameaças são constantes e podem ocorrer a qualquer momento. Essa relação de frequência-tempo se baseia no conceito de risco, o qual representa a probabilidade de que uma ameaça se concretize por meio de uma vulnerabilidade ou ponto fraco.
  • 8. 7 Segundo Oliveira (2006), as ameaças podem ser classificadas em três grupos: 1. Humanas – estão diretamente relacionadas às ações de indivíduos, e podem sofrer uma nova segregação, sendo intencional as decorrentes de ações deliberadas como sabotagens, invasões, fraudes, entre outros, e não intencional as resultantes de erros e acidentes causados por funcionários. 2. Ambientais – compreendidas por hardware, software, dispositivos tecnológicos, “bugs”, falhas elétricas, etc. 3. Naturais – decorrentes de condições da natureza e a intempéries, tais como incêndio, furacão, inundação, terremotos. Vulnerabilidades De acordo com Sêmola (2003, p.48), vulnerabilidade é: Fragilidade presente ou associada a ativos que manipulam e/ou processam informações que, as ser explorada por ameaças, permite a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: confidencialidade, integridade e disponibilidade. A existência de uma vulnerabilidade não implica necessariamente na ocorrência de um incidente. Elas são os pontos que poderão ser utilizados pelas ameaças para causar danos aos ativos da organização. A sua identificação é de fundamental importância para que se possa dimensionar os riscos aos quais os ativos encontram-se expostos, definindo medidas que visem a sua correção para diminuir a possibilidade de exploração por parte das ameaças. Segundo a Microsoft (2006, p. 48-53), as vulnerabilidades podem ser divididas nas seguintes categorias: a) Vulnerabilidades físicas – São aquelas presentes nos ambientes em que estão sendo armazenadas ou gerenciadas as informações, como falta de extintores, disposição desorganizada de cabos de energia e rede, etc. b) Vulnerabilidades naturais – São aquelas relacionadas às condições da natureza que podem colocar em risco as informações, como locais próximos a
  • 9. 8 rios propensos a inundações, incapacidade de resistência a manifestações da natureza como terremotos, furacões, tempestades, etc. c) Vulnerabilidades de hardware – Os possíveis defeitos de fabricação ou configuração dos equipamentos da empresa que poderiam permitir o ataque ou a alteração dos mesmos, como falta de atualizações orientadas por fabricantes, conservação inadequada de equipamentos, etc. d) Vulnerabilidades de softwares – Os pontos fracos dos aplicativos permitem que ocorram acessos indevidos aos sistemas de computador, inclusive sem o conhecimento de um usuário ou administrador de rede, como ausência de atualizações, configurações e instalações inadequadas, programação insegura, etc. e) Vulnerabilidades dos meios de armazenamento – Os meios de armazenamento podem ser afetados por pontos fracos que podem danificá- los ou deixá-los indisponíveis, como uso incorreto, locais de armazenamento incorretos, prazo de validade vencido, etc. f) Vulnerabilidades de comunicação – Esse tipo de vulnerabilidade abrange todo o tráfego de informações, como falta de criptografia, escolha de sistemas inapropriados para a natureza da informação, etc. g) Vulnerabilidades humanas – Relacionam-se aos danos que as pessoas podem causar às informações e ao ambiente tecnológico que lhes oferece suporte, como falta de treinamento, senhas fracas, compartilhamento de credenciais de acesso, etc. Impactos Resultado da ação bem sucedida de uma ameaça ao explorar as vulnerabilidades de um ativo, atingindo assim um ou mais princípios da segurança da informação, causando danos a um ou mais processos do negócio da organização. Riscos O risco pode ser encarado através de duas óticas antagônicas: como uma oportunidade ou como uma ameaça. De acordo com D’ANDREA citado por Oliveira (2006, p.23) “o risco como oportunidade está centrado no investimento e tem base em iniciativas estratégicas. Quanto maior for o risco, maior o potencial de retorno, e, paralelamente, maior pode
  • 10. 9 ser o potencial de perda”. Esta visão define o risco como elemento decisivo nos resultados a serem obtidos, numa equação proporcionalmente equivalente dos ganhos a serem obtidos. Na visão do risco como ameaça, segundo a definição de Sêmola (2003, p. 55) “risco é a probabilidade de que agentes, que são as ameaças, explorem vulnerabilidades, expondo os ativos a perdas de confidencialidade, integridade e disponibilidade, causando impacto nos negócios.” A perda de um ou mais destes fatores de segurança leva “à ocorrência de efeitos negativos como perda financeira, fraude, roubo, comprometimento da imagem e reputação, infração legal, falhas tecnológicas, dentre outros.” Oliveira (2006, p.23). Na perspectiva de uma ameaça, o risco deve sempre ser tratado de maneira preventiva, buscando minimizar o impacto causado caso venha a se materializar. A gestão de riscos pode ser esboçada pela equação apresenta na Figura 1 abaixo. Sendo assim, o risco a qual um ativo estará exposto encontra-se na combinação dessas variáveis, sendo o objetivo principal da segurança da informação a redução dos riscos, através da eliminação das vulnerabilidades dos ativos, evitando que as ameaças as explorem e gerem impactos para as organizações. Como não existe segurança total, a organização, dentro de seus objetivos, deve manter o risco o mais próximo a zero possível. ABNT NBR ISO/IEC 31000 A NBR ISO/IEC 31000, lançada em 2009, foi desenvolvida por um comitê especial composto por delegações de 35 países que se uniram para criar um grupo de Figura 1 – Diagrama da Equação do Risco de Segurança da Informação Fonte: Sêmola, 2003
  • 11. 10 trabalho multidisciplinar composto por profissionais de diferentes áreas, tais como financeira, saúde, defesa, tecnologia, seguros, projetos, etc. De acordo com a sua própria definição, é uma norma que descreve um processo sistemático e lógico, de forma detalhada, para o gerenciamento do risco através da identificação, análise e posteriormente avaliação se risco deverá ser modificado via seu tratamento com o objetivo de atender os critérios de risco definidos pela organização. O processo ainda define a comunicação e consulta às partes interessadas, além do monitoramento e análise crítica do risco e os controles implementados para sua modificação, a fim de garantir que nenhum novo tratamento adicional seja requerido. A decisão de se criar uma norma específica para a gestão de riscos internacional, de acordo com Alberto Bastos citado por Fernandez (2009, p.39) surgiu porque “a ISO avaliou e descobriu que existiam mais de sessenta comitês técnicos ou grupos de trabalhos que desenvolviam normas em vários setores que, de alguma forma, diziam a respeito à gestão de riscos”. Com base nesta constatação, percebeu-se a necessidade de se criar um padrão para todos esses documentos e práticas, desenvolvido por um organismo de normalização, uma vez que cada um desses grupos ou normas existentes utilizava conceitos e terminologias diferentes, segundo Fernandez (2009, p.39) citando Alberto Bastos. Assim, a norma tem como objetivo ser uma norma genérica que possa ser utilizada por organizações de qualquer segmento, independente de seu tamanho, em todas as suas áreas e níveis, incluindo funções, atividades e projetos específicos, através de uma abordagem genérica que fornece os princípios e diretrizes para gerenciar qualquer forma de risco de maneira sistemática, transparente e confiável. Escopo A ISO 31000 pode ser utilizada por qualquer empresa pública, privada ou comunitária, associação, grupo ou indivíduo, não sendo específica para qualquer indústria ou setor. Pode ser aplicada ao longo da vida de uma organização, em diferentes tipos de atividades, tais como estratégias, decisões, operações, processos, funções, projetos, serviços e ativos. Seu propósito é ser aplicada a qualquer tipo de risco, independente de sua natureza e conseqüências, sejam elas positivas ou negativas.
  • 12. 11 Segundo a ABNT NBR ISO/IEC 31000, a norma não pretende promover a uniformidade da gestão de riscos entre organizações, uma vez que para a concepção e a implementação de planos e estruturas para gestão de riscos é preciso levar em consideração as necessidades variadas de uma organização específica, seus objetivos, contexto, estrutura, operações, processos, funções, projetos, produtos, serviços ou ativos e práticas específicas empregadas. Estrutura Nesta seção, a ABNT NBR ISO/IEC 31000 descreve quais são os componentes necessários da estrutura para gerenciar riscos e a forma como eles se inter- relacionam de maneira iterativa. Esta estrutura, apresentada na Figura 2, segue o modelo PDCA (Plan – planejar, Do – implementar, Check – analisar, Act – monitorar) utilizado nos modelos de gestão de qualidade, numa divisão clara de etapas e atividades a serem adaptadas pelas organizações de acordo com suas necessidades específicas. Figura 2 – Relacionamento entre os componentes da estrutura para gerenciar riscos Fonte: ABNT NBR ISO/IEC 31000, 2009 Mandato e comprometimento (4.2) Concepção da estrutura para gerenciar riscos (4.3) Entendimento da organização e seu contexto (4.3.1) Estabelecimento da política de gestão de riscos (4.3.2) Responsabilização (4.3.3) Integração nos processos organizacionais (4.3.4) Recursos (4.3.5) Estabelecimento de mecanismos de comunicação e reporte internos (4.3.6) Estabelecimento de mecanismos de comunicação e reporte externos (4.3.7) Implementação da gestão de riscos (4.4) Implementação da estrutura para gerenciar riscos (4.4.1) Implementação do processo de gestão de riscos (4.4.2) Melhoria contínua da estrutura (4.6) Monitoramento e análise crítica da estrutura (4.5)
  • 13. 12 Processo O processo estruturado proposto pela ABNT NBR ISO/IEC 31000 sugere, como princípios importantes para sua adoção, que seja parte integrante da gestão da organização, incorporado na sua cultura e práticas, e adaptado aos seus processos de negócio. É composto por sete fases, sendo que as fases de comunicação e consulta e monitoração e análise crítica abrangem e se relacionam com todas as demais, conforme exibido na Figura 3. Comunicação e consulta Esta fase sugere que tanto a comunicação interna quanto a externa, aconteça durante todas as fases do processo, de forma a assegurar que os responsáveis e partes interessadas compreendam os fundamentos sobre os quais as decisões são tomadas e as respectivas razões (ABNT NBR ISO/IEC 31000, 2009). Processo de avaliação de riscos (5.4) Comunicação e consulta (5.2) Monitoramento e análise crítica (5.6) Identificação de riscos (5.4.2) Análise de riscos (5.4.3) Avaliação de riscos (5.4.4) Tratamento de riscos (5.5) Estabelecimento do contexto (5.3) Figura 3 – Processo de gestão de riscos Fonte: ABNT NBR ISO/IEC 31000, 2009
  • 14. 13 Estabelecimento do contexto A fase de estabelecimento do contexto propõe que a organização articule seus objetivos e defina quais serão os fatores externos e internos que serão levados em consideração no gerenciamento de riscos, estabelecendo assim seu escopo e critérios de risco. Para isso, busca-se entender, no contexto externo, os ambientes nos quais a organização encontra-se inserida, fatores-chave e tendências que possam impactar seus objetivos e as relações com as partes interessadas externas. Já no contexto interno, aquele no qual a organização busca atingir seus objetivos, busca-se a compreensão da estrutura organizacional, funções, responsabilidades, políticas, objetivos, estratégias, capacidades, normas e modelos adotados. No estabelecimento do contexto faz-se a definição dos objetivos, estratégias, o escopo e os parâmetros das atividades da organização, além das responsabilidades pelo processo. Importante frisar que deve ser considerado um nível maior de detalhamento com relação aos parâmetros que serão avaliados para a definição do contexto, uma vez que muitos deles serão similares aos utilizados na concepção da estrutura da gestão de risco. Identificação de riscos A fase da identificação de riscos, dentro do processo de avaliação de riscos, é aquela na qual a organização identifica as fontes de riscos, seus impactos e suas causas. Deve ser gerada uma listagem dos riscos baseada nos eventos, tanto daqueles cuja fonte esteja sob o controle da organização ou não. A identificação deve ser abrangente, sendo considerada crítica, uma vez que um risco não identificado nesta fase não será incluído em análises posteriores. Análise de riscos Na fase de análise de riscos busca-se desenvolver a compreensão dos riscos. Ela fornece uma entrada para as decisões sobre o tratamento dos riscos, incluindo quais as estratégias e métodos mais adequados de tratamento de riscos. É nessa fase em que são estimadas as probabilidades e conseqüências dos riscos na organização, devendo-se levar em consideração os controles existentes e sua eficácia e eficiência.
  • 15. 14 A análise de riscos pode ser realizada em diferentes graus de detalhamento, dependendo do risco, da finalidade da análise e das informações, dados e recursos disponíveis. Ela pode ser qualitativa, semiquantitativa ou quantitativa, ou uma combinação destas (ABNT NBR ISO/IEC 31000, 2009). Avaliação de riscos A fase da avaliação de riscos tem como objetivo auxiliar, com base nos resultados da análise de riscos, quais riscos serão tratados e qual a prioridade será dada à implementação desse tratamento. Para isso, deve-se fazer uma comparação do nível de risco encontrado na análise de riscos com critérios previamente estabelecidos. De acordo com a norma, em algumas circunstâncias a análise de riscos pode levar à decisão de se efetuar uma análise mais aprofundada, ou, em outros casos, de não se tratar o risco de forma diferente da que vem sendo executada com os controles existentes. Tratamento de riscos Na fase de Tratamento de Riscos faz-se a seleção de uma ou mais opções para modificar os riscos, além da implementação dessas opções. O tratamento de riscos é um processo cíclico composto por (ABNT NBR ISO/IEC 31000, 2009): • avaliação do tratamento já realizado; • decisão se os níveis de risco residual são toleráveis; • se não forem toleráveis, a definição e implementação de um novo tratamento; • avaliação e eficácia desse tratamento. As opções de tratamento a serem utilizadas não se excluem, podendo ser empregadas individualmente ou combinadas. Além disso, deve-se considerar se são adequadas às circunstâncias em que serão empregadas (ABNT NBR ISO/IEC 31000, 2009):
  • 16. 15 • ação de evitar o risco; • tomada ou aumento do risco – se o risco for positivo; • remoção da fonte de risco; • alteração da probabilidade; • alteração das conseqüências; • compartilhamento do risco com outras partes; • retenção do risco por uma decisão consistente e bem embasada. É importante que na decisão de qual opção de tratamento será empregada a organização considere os custos e esforços de implementação de um lado, e os benefícios a serem alcançados do outro. Monitoramento e análise crítica A fase de monitoramento e análise crítica é a última do processo de gestão de riscos e envolve a checagem ou vigilância regulares. Podem ocorrer em períodos regulares ou como resposta a um evento específico. A responsabilidade de quem irá realizar o monitoramento e análise crítica devem ser definidas de forma clara. As atividades executadas nessa fase devem abranger todos os aspectos da gestão de riscos, visando garantir que os controles empregados sejam eficazes e eficientes, que forneçam informações para melhorar a avaliação dos riscos, analisar os eventos, sucessos e fracassos e aprender com eles, e também identificar riscos emergentes (ABNT NBR ISO/IEC 31000, 2009). Avaliação da ABNT NBR ISO/IEC 31000 A ABNT NBR ISO/IEC 31000 pode ser considerada a norma cujos principais desafios são o estabelecimento de uma linguagem comum no processo de gestão de riscos e uma padronização das melhores práticas e abordagens para sua implementação, utilizando informações de normas, padrões, metodologias e referências de gestão de riscos corporativos. Assim como outras normas ISO, ela pode ser aplicada em qualquer organização, independente do tipo, tamanho ou área de atuação.
  • 17. 16 A proposta da norma é a integração de todo o processo de gestão de riscos de uma organização, através da recomendação de que todas as áreas interajam com o mesmo objetivo, ao invés de atuarem de forma independente. Além da aplicabilidade em diversos tipos de riscos, a norma também insere em seu contexto as oportunidades para o negócio, e recomenda ainda que os fatores humanos sempre sejam considerados. Todo o processo é contínuo, com o objetivo de que melhorias sejam identificadas e implementadas, mantendo-se o gerenciamento de riscos alinhado com as mudanças naturais e inevitáveis que a organização venha a enfrentar. ABNT NBR ISO/IEC 27005 A NBR ISO/IEC 27005, lançada em 2008, é uma norma internacional que fornece diretrizes para o processo de Gestão de Riscos de Segurança da Informação de uma organização, atendendo aos requisitos de um Sistema de Gerenciamento de Segurança da Informação (SGSI) de acordo com a ABNT NBR ISO/IEC 27001 (ABNT NBR ISO/IEC 27005, 2008). Surgiu a partir dos padrões ISO/IEC TR 13335- 3: 1998 e ISO/IEC TR 13335-4: 2000, que foram revisados e transformaram-se então no padrão internacional NBR ISO/IEC 27005. Como tal, é parte integrante do conjunto de normas NBR ISO/IEC 27000 para a gestão da segurança da informação. A não abordagem em profundidade do processo de Gestão de Riscos nas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 foi intencional, uma vez que o propósito foi o de se criar uma norma específica para isso, dada a importância desse processo para um Sistema de Gerenciamento de Segurança da Informação. A ABNT NBR ISO/IEC 27005 adota como referências as normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, que são consideradas indispensáveis à sua aplicação. A norma não se propõe a instituir uma metodologia específica para a gestão de riscos de segurança da informação, uma vez que reserva à organização a definição de qual será a abordagem a ser adotada na gestão de riscos, de acordo com suas características próprias. Várias são as metodologias que poderão ser utilizadas em conformidade com a estrutura descrita pela norma para se implementar os requisitos de um SGSI.
  • 18. 17 A Gestão de Riscos de Segurança da Informação é parte integrante da Gestão de Riscos Corporativos, devendo estar alinhada e em conformidade com a mesma. É indispensável ainda que seja um processo contínuo, com o objetivo de se manter os riscos sobre controle e dentro dos níveis aceitáveis para a organização. Escopo Assim como a ABNT NBR ISO/IEC 31000, a norma ABNT NBR ISO/IEC 27005 pode ser aplicada a todos os tipos de organização, tais como empresas públicas, privadas, comunitárias, associação ou grupo, não sendo específica para qualquer indústria ou setor. Seu objetivo é facilitar uma implementação satisfatória da segurança da informação tendo como base a gestão de riscos, e tem como preceito o conhecimento dos conceitos, modelos, processos e terminologia que são descritos nas normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 (ABNT NBR ISO/IEC 27005). Estrutura A ABNT NBR ISO/IEC 27005, em sua seção 4, descreve como a norma está organizada e a estrutura das atividades da gestão de riscos que são apresentadas no processo proposto. De forma geral, todas as atividades são compostas por: • Entrada: que identifica as informações necessárias para a execução da atividade; • Ação: que descreve a atividade; • Diretrizes: que fornece as diretrizes para a implementação das ações; • Saída: que identifica as informações resultantes da atividade. Nesta mesma seção são citados ainda os anexos que apresentam informações adicionais, tais como detalhamento para a definição do contexto, a identificação e valoração dos ativos, a avaliação do impacto, além de exemplos de ativos, ameaças e vulnerabilidades comuns (ABNT NBR ISO/IEC 27005).
  • 19. 18 Processo A norma ABNT NBR ISO/IEC 27005 apresenta o processo de gestão de riscos de segurança da informação composto por seis atividades principais, sendo que as atividades de análise/avaliação de riscos e/ou tratamento do risco podem ser realizadas mais de uma vez (ABNT NBR ISO/IEC 27005), como mostra a Figura 4. Figura 4 – Processo de gestão de riscos de segurança da informação Fonte: ABNT NBR ISO/IEC 27005, 2008 ANÁLISE/AVALIAÇÃO DE RISCOS ANÁLISE DE RISCOS DEFINIÇÃO DO CONTEXTO IDENTIFICAÇÃO DE RISCOS ESTIMATIVA DE RISCOS AVALIAÇÃO DE RISCOS TRATAMENTO DO RISCO MONITORAMENTOEANÁLISECRÍTICADERISCOS COMUNICAÇÃODORISCO PONTO DE DECISÃO 2 Tratamento satisfatório PONTO DE DECISÃO 1 Avaliação satisfatória ACEITAÇÃO DO RISCO Sim Sim Não Não FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES
  • 20. 19 Utilizando uma abordagem iterativa na análise/avaliação de riscos, é possível detalhar a avaliação em cada repetição, que irá minimizar o tempo e o esforço a serem gastos na identificação dos controles a serem empregados. A norma ABNT NBR ISO/IEC 27005 alinha as atividades do processo de gestão de riscos de segurança da informação com as quatro fases do processo do Sistema de Gerenciamento de Segurança da Informação, que segue, por sua vez, o modelo PDCA, também adotado na ABNT NBR ISO/IEC 31000, A aplicação do processo pode ser implementada através de vários métodos existentes, cabendo à organização a definição do mais adequado as suas circunstâncias e características. Definição do contexto Esta fase consiste na definição de qual será o contexto para a gestão de riscos de segurança da informação, ou seja, a definição dos critérios básicos para a gestão de riscos, a definição do escopo e seus limites e o estabelecimento de uma organização adequada para a operação da gestão de riscos (ABNT NBR ISO/IEC 27005). Para isso, todas as informações importantes sobre a organização são utilizadas como entrada, e resultará como saída nas especificações das atividades de definições citadas anteriormente. Para cada uma dessas atividades, a norma apresenta recomendações que demonstram, de maneira mais detalhada, quais os objetivos a serem buscados durante suas execuções, destacando pontos críticos que deverão ser observados. Como diretrizes para sua implementação, deve-se buscar determinar qual o propósito da gestão de riscos de segurança da informação, uma vez que ele irá afetar tanto o processo como um todo, quanto a própria definição do contexto. A norma cita alguns exemplos como propósitos para a gestão de riscos de segurança da informação, como preparação de um plano de continuidade de negócios, conformidade legal, suporte a um SGSI, entre outros. Análise/avaliação de riscos de segurança da informação A fase de análise/avaliação de riscos tem como objetivo a identificação, quantificação ou descrição qualitativa e priorização dos riscos que possam afetar uma organização.
  • 21. 20 As saídas produzidas na fase anterior, de definição do contexto, serão utilizadas aqui como entrada. As diretrizes para sua implementação é o conjunto de uma série de atividades, divididas entre a análise e a avaliação de riscos. A análise de riscos, por sua vez, é composta por duas etapas: identificação de riscos e estimativa de riscos. A distribuição das atividades entre essas etapas é a seguinte: • Identificação de riscos: o identificação dos ativos; o identificação das ameaças; o identificação dos controles existentes; o identificação das vulnerabilidades; o identificação das conseqüências. • Estimativa de riscos: o metodologias para a estimativa de riscos; o avaliação das conseqüências; o avaliação da probabilidade dos incidentes; o estimativa do nível de risco. Todas essas atividades seguem a estrutura padrão do processo, ou seja, possuem uma entrada, um conjunto de ações, diretrizes para implementação, e uma saída, que normalmente será o subsídio a ser utilizado como entrada pela atividade seguinte. Cabe destacar que, nessa fase do processo proposto pela ABNT NBR ISO/IEC 27005, ocorre um nível bem maior de detalhamento das atividades a serem executadas do que na ABNT NBR ISO/IEC 31000, levando-se em consideração questões como vulnerabilidades, conseqüências, metodologias de estimativas entre outros. Tratamento do risco de segurança da informação O tratamento do risco de segurança da informação é a fase em que, a partir da lista dos riscos ordenados por prioridades resultante da avaliação de riscos, são implementados controles para reduzir, reter, evitar ou transferir os riscos identificados, de acordo com o plano de tratamento definido pela organização,
  • 22. 21 dentro dos custos previstos para sua implementação e dos benefícios esperados. Essa atividade é mostrada na Figura 5. Assim como na ABNT NBR ISO/IEC 31000, as opções de tratamento do risco não são excludentes entre si. É aceitável a combinação de opções, uma vez que o resultado a ser alcançado será mais benéfico à organização. As opções de tratamento do risco, descritas na ABNT NBR ISO/IEC 27005 como atividades, e que possuem individualmente ações e diretrizes para sua implementação são: OPÇÕES DE TRATAMENTO DO RISCO REDUÇÃO DO RISCO RETENÇÃO DO RISCO AÇÃO DE EVITAR O RISCO TRANSFERÊNCIA DO RISCO RISCOS RESIDUAIS RESULTADO DA AVALIAÇÃO DE RISCOS TRATAMENTO SATISFATÓRIO Ponto de Decisão 2 Ponto de Decisão 1 Tratamento do risco AVALIAÇÃO SATISFATÓRIA Figura 5 – A atividade de tratamento do risco Fonte: ABNT NBR ISO/IEC 27005, 2008
  • 23. 22 • redução do risco; • retenção do risco; • ação de evitar o risco; • transferência do risco. A saída produzida nesta fase será um plano de tratamento do risco e os riscos residuais, que estarão sujeitos de aceitação pelos gestores da organização (ABNT NBR ISO/IEC 27005). Aceitação do risco de segurança da informação Na fase de aceitação do risco, o plano de tratamento do risco e a análise do risco residual são utilizados como entrada e apresentados formalmente aos gestores da organização, que terão a responsabilidade pela decisão de sua aprovação. Como diretriz para sua implementação, a norma sugere que todas as decisões tomadas sejam registradas, incluindo justificativas para a aceitação de riscos que não satisfaçam aos critérios normais estabelecidos para o seu aceite. Situações em que os custos da redução do risco são demasiadamente elevados são exemplos de circunstâncias em que essa justificativa é aceitável. Como resultado das atividades dessa fase, a saída será uma lista de riscos aceitos, incluindo as justificativas para aqueles que não satisfaçam os critérios normais de aceitação (ABNT NBR ISO/IEC 27005). Comunicação do risco de segurança da informação A fase de comunicação do risco de segurança da informação é uma fase de interação direta com todas as demais fases do processo de gerenciamento do risco com destacada importância, cujo objetivo é alcançar um consenso entre partes interessadas e os tomadores de decisão sobre como os riscos devem ser gerenciados. Serão utilizadas, como entrada para essa fase, todas as informações sobre os riscos que tenham sido obtidas através das atividades do processo de gerenciamento de riscos. Sua ação principal é a troca e/ou partilha das informações, e como diretrizes a serem adotadas, a norma sugere que seja uma comunicação bidirecional, que planos de comunicação sejam desenvolvidos e que seja realizada continuamente.
  • 24. 23 A saída esperada dessa atividade é um entendimento contínuo do processo de gestão de riscos de segurança da informação e os resultados a serem obtidos (ABNT NBR ISO/IEC 27005). Monitoramento e análise crítica de riscos de segurança da informação Na fase de monitoramento e análise crítica de riscos de segurança da informação os riscos e seus fatores relacionados, como valoração dos ativos, impactos, ameaças, vulnerabilidades e probabilidades sejam monitorados e analisados de forma crítica, com o objetivo de identificação, da forma mais rápida possível, de eventuais mudanças na organização que modifiquem o contexto no qual as atividades do processo de gerenciamento de riscos tenham sido executadas, garantindo uma visão geral dos riscos condizente com a realidade atual da organização. Nessa fase também serão utilizadas todas as informações sobre os riscos que tenham sido obtidas através das atividades do processo de gerenciamento de riscos. A recomendação da norma como diretrizes para sua implementação é essencialmente o monitoramento contínuo de (ABNT NBR ISO/IEC 27005): • novos ativos incluídos no escopo; • modificações dos valores dos ativos; • novas ameaças que possam afetar os ativos; • possíveis novas vulnerabilidades ou ampliação das existentes; • as conseqüências de ameaças, vulnerabilidades e riscos avaliados em conjunto; • incidentes relacionados à segurança da informação. O alinhamento contínuo da gestão de riscos com os objetivos de negócios da organização e os critérios de aceitação do risco é a saída esperada para as atividades dessa fase. Avaliação da ABNT NBR ISO/IEC 27005 A ABNT NBR ISO/IEC 27005 é a norma desenvolvida especificamente para o gerenciamento de riscos de segurança da informação, desenvolvida para ser parte integrante da família de normas ISO 27000 e com foco no atendimento aos
  • 25. 24 requisitos de um Sistema de Gerenciamento de Segurança da Informação (SGSI) proposto pela ABNT NBR ISO/IEC 27001. Tem como desafio o estabelecimento de um processo de gerenciamento de riscos de segurança da informação numa organização, sem impor uma metodologia específica. Deixa a cargo da organização que a esteja implementando a definição de qual será a abordagem a ser utilizada na gestão de riscos, uma vez que questões como o escopo do SGSI, o contexto da gestão de riscos, área de atuação da organização, deverão ser consideradas nessa decisão. Tal como a ABNT NBR ISO/IEC 31000 e outras normas ISO, também pode ser aplicada em qualquer organização, independente do tipo, tamanho ou área de atuação. Propõe ainda que o processo de gerenciamento de riscos de segurança da informação seja contínuo, uma vez que os ambientes interno e externo em que tenha sido implementado pela primeira vez é tipicamente dinâmico, com mudanças que ocorrem com freqüência e que devem ser consideradas em novas iterações, incluindo aí o objetivo de identificar e implementar melhorias em sua execução. ANÁLISE COMPARATIVA Após o estudo do conteúdo das normas ABNT NBR ISO/IEC 27005 e ABNT NBR ISO/IEC 31000, é possível avaliar quais são suas semelhanças e diferenças, e ainda, o quanto a norma ABNT NBR ISO/IEC 27005 é aderente e encontra-se em conformidade com as definições da ABNT NBR ISO/IEC 31000. Considerada como a norma “guarda-chuva”, a ABNT NBR ISO/IEC 31000 é uma norma genérica de gerenciamento de riscos, que fornece os princípios, o framework e o processo geral de Gestão de Riscos (Cicco, 2011). Comparação do Escopo Sendo aplicável em qualquer setor da organização em diferentes atividades, a ABNT NBR ISO/IEC 31000 apresenta a primeira diferença em relação à ABNT NBR ISO/IEC 27005, que é uma norma voltada especificamente para a segurança da informação. Uma semelhança entre ambas as normas é que são aplicáveis em qualquer tipo de organização, independente do tamanho e ramo de atividade.
  • 26. 25 Comparação da Estrutura A avaliação da estrutura das duas normas mostra uma diferença de abordagem, onde a ABNT NBR ISO/IEC 31000 apresenta uma visão de alto nível dos componentes necessários no gerenciamento de riscos, e o relacionamento entre os mesmos. Já a ABNT NBR ISO/IEC 27005 apresenta uma descrição da estrutura das atividades existentes no processo, com elementos que estarão presentes em cada uma delas. Comparação do Processo Tanto a ABNT NBR ISO/IEC 27005 quanto a ABNT NBR ISO/IEC 31000 apresentam como proposta para a gestão de riscos um processo dividido em atividades principais, bastante semelhantes entre si. A ABNT NBR ISO/IEC 31000 define sete atividades, enquanto a ABNT NBR ISO/IEC 27005 define seis, embora neste caso as atividades de análise e avaliação de riscos tenham sido agrupadas em um só conjunto. Outra semelhança importante refere-se à descrição da fase de comunicação, que em ambas as normas se relacionam com todas as demais atividades do processo. Quanto à execução do processo, a ABNT NBR ISO/IEC 27005 sugere que as atividades de análise/avaliação de riscos e tratamento do risco poderão ser executadas de forma iterativa, com um aprofundamento e detalhamento maior em cada iteração, o que não ocorre na ABNT NBR ISO/IEC 31000. Considerando que o processo de Gestão de Riscos deva estar integrado às estratégias da organização, ambas as normas propões que seja um processo contínuo, a ser executado repetidas vezes, de acordo com o modelo PDCA. Essa abordagem visa garantir que os riscos estão sendo identificados, avaliados, tratados e monitorados, acompanhando as mudanças que ocorrem tanto nos ambientes internos quanto externos da organização. Quanto à sua utilização, mais uma vez as duas normas apresentam a mesma abordagem, a saber: o processo de gerenciamento de riscos a ser empregado deve levar em consideração a realidade da organização, os cenários em que se encontra inserida (internos e externos), seus processos, assim como outras variáveis que possam exigir adaptações a serem feitas para que a gestão de riscos a ser
  • 27. 26 implementada seja eficaz e eficiente, a fim de fornecer os benefícios e resultados esperados. Como características próprias de cada uma das normas, a ABNT NBR ISO/IEC 31000 apresenta como principal ponto a ser observado seu propósito de evitar que a gestão de riscos seja tratada de forma isolada dentro da organização e a sua não concorrência com outros padrões já existentes, mas sim o seu alinhamento. Já a ABNT NBR ISO/IEC 27005 deixa claro que seu principal objetivo é atender aos requisitos exigidos para um Sistema de Gerenciamento de Segurança da Informação (SGSI), conforme proposto pela ABNT NBR ISO/IEC 27001, apresentando assim um forte alinhamento com a família de normas ABNT NBR ISO/IEC 27000, que tratam especificamente da Segurança da Informação. CONCLUSÃO As incertezas de que serão capazes de alcançar seus objetivos, provocadas pelas influências internas e externas, faz com que as organizações estejam cada vez mais preocupadas em manter os riscos sobre controle, preferencialmente sob a tutela de um processo formal, institucionalizado e que tenha credibilidade e validade reconhecida para garantir o sucesso de suas atividades de gerenciamento de riscos. Neste contexto, as duas normas internacionais avaliadas, a ABNT NBR ISO/IEC 27005 e a ABNT NBR ISO/IEC 31000 apresentam-se com destaque como referências no assunto. Ambas as normas apresentam um processo bem definido, sistematizado, com descrição detalhada das atividades a serem executadas em cada uma de suas etapas, tornando o gerenciamento de riscos um processo consistente, eficaz, e alinhado com as estratégias da organização. Uma vez que tal processo esteja sendo executado com sucesso, vários são os benefícios esperados de serem alcançados por uma organização: maiores chances de atingir seus objetivos, atendimento de normas e requisitos legais, maior nível de confiança dos “stakeholders”, maior prevenção contra perdas, melhor utilização dos recursos alocados para o tratamento de riscos, dentre outros. Neste estudo, busca-se uma comparação entre as duas citadas normas, a fim de identificar o nível de alinhamento existente entre a norma ABNT NBR ISO/IEC 27005, definida como o padrão recomendado para gerenciamento específico de riscos de segurança da informação, com a norma ABNT NBR ISO/IEC 31000, tida
  • 28. 27 como a norma criada para unificar o modelo de gestão de riscos, sem conflitar com os demais padrões já estabelecidos. O estudo mostra que existe um alinhamento muito estreito entre as duas normas, podendo-se considerar que a base da metodologia é a mesma em ambos os processos. As diferenças identificadas entre as duas normas são pouco significativas, sendo consideradas mínimas nesta avaliação comparativa. A conclusão é que a norma ABNT NBR ISO/IEC 27005 encontra-se aderente e alinhada à proposta apresentada pela ABNT NBR ISO/IEC 31000, sendo a utilização das duas normas em uma mesma organização aceitável, com a aplicação da ABNT NBR ISO/IEC 27005 recomendada para o gerenciamento dos riscos específicos de segurança da informação e a ABNT NBR ISO/IEC 31000 indicada para as demais áreas da organização, tais como financeira, projetos, saúde, manufatura, etc. REFERÊNCIAS BIBLIOGRÁFICAS ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro, 2005. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27005: Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação. Rio de Janeiro, 2008. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 31000: Gestão de riscos – Princípios e diretrizes. Rio de Janeiro, 2009. CICCO, Francesco De. Gestão de Riscos de Segurança da Informação: convergência de modelos. Disponível em: < http://www.iso31000qsp.org/2009/08/gestao-de-riscos-de-seguranca-da.html>. Acesso em: 04 dez. 2011. FERNANDEZ, Mariana, O advento das ISOs da Gestão de Riscos. Revista Gestão de Riscos, São Paulo, ed. 49/50, p. 38-41, nov.-dez. 2009. FERREIRA, Geraldo. Comparison between ISO 31000 and ISO 27005 risk management processes. Disponível em: <http://www.modulo.com/risk- management-iso31000-iso27005>. Acesso em: 10 dez. 2011.
  • 29. 28 GUALBERTO, Éder Souza. Um estudo de caso sobre a gestão da segurança da informação em uma organização pública. 2010. 124f. Monografia (Bacharelado em Ciência da Computação) – Universidade de Brasília, Brasília. MICROSOFT TECHNET. Introdução à Segurança da Informação. 2006. Disponível em: <http://www.technetbrasil.com.br/academia2007/seguranca/Secure/mod1_1.aspx> Acesso em: 13 jul. 2011. OLIVEIRA, Viviane Luciana de. Uma análise comparativa das metodologias de gerenciamento de risco FIRM, NIST SP 800-30 e OCTAVE. 2006. 180f. Dissertação (Mestrado em Computação) – Universidade Estadual de Campinas, Campinas. SÊMOLA, Marcos. Gestão da Segurança da Informação. 10ª reimpressão. Rio de Janeiro: Elsevier, 2003.