Artigo

Universo Segurança da Informação: NBR ISO/IEC 27005:2023.

Vamos retomar a nossa série especial de temas sobre Segurança da Informação.  Neste artigo, você verá um resumo direto “e reto” sobre a NBR ISO/IEC 27005:2023. Prepare-se!

A norma brasileira (adaptada da internacional) sofreu uma atualização em 2023. Vamos apresentar alguns pontos importantes da norma, traduzidos da versão em inglês, a fim de deixá-lo preparado para as provas. Veja o nosso roteiro então:

  • Escopo da NBR ISO/IEC 27005:2023
  • Gerenciamento de Riscos de Segurança da Informação
  • Estabelecimento do Contexto na NBR ISO/IEC 27005:2023
  • Processo de Avaliação de Riscos de Segurança da Informação
  • Processo de Tratamento de Riscos de Segurança da Informação
  • Etapas Periféricas da NBR ISO/IEC 27005:2023

Preparamos um artigo objetivo, para que você consiga ter acesso ao conteúdo em poucos minutos. Não deixe de ler caso esteja estudando para concursos da área de Tecnologia da Informação (TI) ou outros que cobrem a disciplina de Segurança da Informação. Tenha uma ótima leitura e vamos começar.

Tempo de leitura aproximada: 5 a 10 minutos

A NBR ISO/IEC 27005:2023 visa traçar ações para lidar com os riscos de Segurança da Informação, além de realizar atividades de gerenciamento na área, especificamente avaliação e tratamento de riscos. Ela pode se aplicar a todas as organizações, independente de tipo, tamanho ou setor.  

Momento Curiosidade: As siglas ISO e IEC são internacionais, indicando que a norma é um padrão mundial. ISO significa International Organization for Standardization, enquanto IEC significa International Electrotechnical Commission.

Mais Curiosidade: NBR é abreviação de norma brasileira. Ou seja, a NBR ISO/IEC 27005:2023 é a norma internacional ISO/IEC 27005:2022 adaptada para o Brasil.

Primeiramente, o processo de gerenciamento de riscos de Segurança da Informação funciona de maneira iterativa. Guarde a figura abaixo, pois ela é clássica. Além disso, ela é um resumo do que veremos no artigo.

Figura 1 – Processo de Gerenciamento de Riscos de Segurança da Informação da NBR ISO/IEC 27005:2023.
Figura 1 – Processo de Gerenciamento de Riscos de Segurança da Informação da NBR ISO/IEC 27005:2023.

Primeiramente, estabelecemos um contexto interno e externo para o gerenciamento de riscos. Posteriormente, os riscos passam por uma macro etapa de avaliação, que consiste em sua identificação, análise e avaliação propriamente dita.

O risco pode seguir para o tratamento, dependendo se a avaliação foi satisfatória ou não (se não for, o fluxo vai se repetir). Ao término do tratamento, se for aceito, ele passa a ser monitorado e revisto. Caso não seja, o fluxo retorna.

Veja que a comunicação e consulta, além de informações documentadas,  estão presentes em vários momentos do fluxo.

O contexto do gerenciamento de riscos envolve algumas questões, incluindo o ambiente em que a organização está inserida. Antes de mais nada, a organização precisa conhecer o seu apetite ao risco.

Você Sabia? Apetite ao risco é a quantidade de risco que uma organização está disposta a assumir ou aceitar. O alto escalão deve defini-lo e revê-lo regularmente.

Além disso, documentos de referência que definem regras e controles de segurança e que se aplicam no âmbito da avaliação de riscos de Segurança da Informação precisam de identificação.

A organização também precisa estabelecer e manter critérios de riscos de Segurança da Informação. Para isso, ela deve considerar a natureza e o tipo de incertezas que afetam os resultados e objetivos, previsão e medição de consequências e probabilidades, fatores temporais, nível de risco etc.

A avaliação de riscos da NBR ISO/IEC 27005:2023 permite que os proprietários priorizem os riscos alinhados com a perspectiva do tratamento, com base nas suas consequências e probabilidade ou outros critérios.

Você Sabia? O proprietário do risco possui autoridade e responsabilidade para gerir os riscos atribuídos a ele. Em organizações sérias, um proprietário costuma fazer a gestão de mais de um risco, mas nunca todos. Normalmente, esse papel se divide entre pessoas diferentes.

O contexto da avaliação de riscos deve ser determinado, incluindo uma descrição do escopo e da finalidade, bem como das questões internas e externas que afetam a avaliação de riscos. O macroprocesso consiste nas seguintes atividades:

  • Identificação de Riscos: processo de encontrar, reconhecer e descrever riscos. A saída deste processo é uma Lista de Riscos Identificados.
  • Análise de Riscos: processo de compreender os tipos de risco elencados na lista e determinar seus níveis, mediante alguns critérios.

Você Sabia? As técnicas de análise de riscos podem ser qualitativas (adotam escala de atributos de qualificação, tais como baixo, alto etc.), quantitativas (adotam escala com valores numéricos (custo, probabilidade) ou semiquantitativas (adotam escala qualitativa com valores definidos).

Figura 2 – Exemplo de Matriz para Análise de Risco Qualitativa.
Figura 2 – Exemplo de Matriz para Análise de Risco Qualitativa (Fonte: RSData. Disponível em: https://www.rsdata.com.br/matriz-de-risco-o-impasse/. Acesso em: 13 jun. 2024).

  • Avaliação de Riscos: processo de comparar os resultados da análise com critérios para determinar se o risco e/ou sua importância é aceitável, além de priorizá-lo ​​para tratamento.

Nível do RiscoAvaliação do RiscoDescrição
BaixoAceitávelO risco pode ser aceito sem nenhuma ação adicional.
ModeradoTolerável sob controleDeverá ser realizado um acompanhamento em termos de gestão de riscos e definidas ações no âmbito da melhoria contínua a médio e longo prazo.
AltoInaceitávelAs medidas para reduzir o risco devem ser tomadas a curto prazo. Caso contrário, toda ou parte da atividade deverá ser recusada.
Tabela 1 – Exemplo de Escala para Avaliação do Risco de Segurança da Informação.

O tratamento dos riscos de segurança da informação baseia-se nos resultados do processo de avaliação de riscos, conforme vimos anteriormente. Esses resultados apresentam um conjunto priorizado de riscos para tratamento.

O conjunto de riscos será tratado no Plano de Tratamento de Riscos. Parece fácil de tão intuitivo, mas é isso mesmo. A ideia do plano é decidir qual ação tomar sobre cada risco, de tal forma que atenda aos critérios desejados pela organização.

Figura 3 – Exemplo de Plano de Tratamento de Riscos.
Figura 3 – Exemplo de Plano de Tratamento de Riscos (Fonte: TRT-13ª. Região. Disponível em: https://www.trt13.jus.br/age/gestao-de-risco. Acesso em: 13 jun. 2024).

As ações para tratamento de risco denominam-se Respostas ao Risco. A NBR ISO/IEC 27005:2023 destaca as seguintes opções abaixo. Procure decorar essa tabela também, pois isso despenca em prova:

Resposta ao RiscoDescrição
Mitigar / ModificarConsiste em alterar a probabilidade de ocorrência de um evento ou alterar a gravidade da consequência. O risco fica mais difícil de ocorrer ou menos impactante.  
Aceitar / ReterConsiste em reconhecer o risco e não tomar nenhuma ação. É uma estratégia muito adotada quando o custo para atuar sobre o risco ultrapassa a consequência que ele traria.
Transferir / CompartilharConsiste em dividir responsabilidades com outras partes, interna ou externamente. O exemplo clássico é contratar um seguro.
EvitarConsiste em decidir não iniciar ou continuar com a atividade que dá origem ao risco.
Tabela 2 – Respostas ao Risco da NBR ISO/IEC 27005:2023.

Mnemônico: MATE O RISCO!!

Os riscos residuais são aqueles que permanecem mesmo após o tratamento. Os proprietários dos riscos devem decidir sobre sua aceitação ou não, de acordo com critérios definidos. Caso não aceitem, novas ações podem ser aplicadas.

Uma vez tratado, não é prudente que o risco seja esquecido. A organização deve revisitá-lo constantemente, por meio do Monitoramento e Revisão, a fim de garantir que houve efetividade nas ações e evitar que outros riscos decorrentes surjam.

As informações sobre os riscos, suas causas, consequências, sua probabilidade e os controles realizados para tratá-los devem ser comunicadas ou obtidas das partes interessadas externas e internas. Essa é a base da Comunicação e Consulta.

Por fim, toda a gestão dos riscos sustenta-se por meio da documentação. Volte na Figura 1 e veja que a fase de Informações Documentadas permeia todo o processo.

Hoje falamos sobre a nova versão da NBR ISO/IEC 27005:2023, de uma maneira objetiva. Fique atento, porque as provas de TI que exigem a disciplina de Segurança da Informação cobram muito essa norma.

Sugerimos também que você aprofunde o conteúdo de Segurança da Informação por meio dos materiais da plataforma. O Estratégia oferece diversos cursos em pdf, videoaulas e áudios para você ouvir onde quiser. Descubra tudo no link http://www.estrategiaconcursos.com.br/cursos/.

Por fim, é importante que você faça muitas questões. Alunos aprovados realizam centenas ou até milhares de exercícios para atingir seu objetivo. O acesso ao Sistema de Questões do Estratégia é feito pelo link: https://concursos.estrategia.com/.

Bons estudos e até a próxima!

Cristiane Selem Ferreira Neves é Bacharel em Ciência da Computação e Mestre em Sistemas de Informação pela Universidade Federal do Rio de Janeiro (UFRJ), além de possuir a certificação Project Management Professional pelo Project Management Institute (PMI). Já foi aprovada nos seguintes concursos: ITERJ (2012), DATAPREV (2012), VALEC (2012), Rioprevidência (2012/2013), TJ-RJ (2022), TCE-RJ (2022) e CGE-SC (2022/2023). Atualmente exerce o cargo efetivo de Auditora de Controle Externo – Tecnologia da Informação e integra o corpo docente da Escola de Contas de Gestão do TCE-RJ, além de ser produtora de conteúdo dos Blogs do Estratégia Concursos, OAB e Carreiras Jurídicas.

Concursos Abertos

Quer Saber Tudo de Concursos Previstos?

Confira Nossos Artigos

Concursos 2024

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Veja os comentários
  • Nenhum comentário enviado.