Vamos retomar a nossa série especial de temas sobre Segurança da Informação. Neste artigo, você verá um resumo direto “e reto” sobre a NBR ISO/IEC 27005:2023. Prepare-se!
A norma brasileira (adaptada da internacional) sofreu uma atualização em 2023. Vamos apresentar alguns pontos importantes da norma, traduzidos da versão em inglês, a fim de deixá-lo preparado para as provas. Veja o nosso roteiro então:
Preparamos um artigo objetivo, para que você consiga ter acesso ao conteúdo em poucos minutos. Não deixe de ler caso esteja estudando para concursos da área de Tecnologia da Informação (TI) ou outros que cobrem a disciplina de Segurança da Informação. Tenha uma ótima leitura e vamos começar.
Tempo de leitura aproximada: 5 a 10 minutos
A NBR ISO/IEC 27005:2023 visa traçar ações para lidar com os riscos de Segurança da Informação, além de realizar atividades de gerenciamento na área, especificamente avaliação e tratamento de riscos. Ela pode se aplicar a todas as organizações, independente de tipo, tamanho ou setor.
Momento Curiosidade: As siglas ISO e IEC são internacionais, indicando que a norma é um padrão mundial. ISO significa International Organization for Standardization, enquanto IEC significa International Electrotechnical Commission.
Mais Curiosidade: NBR é abreviação de norma brasileira. Ou seja, a NBR ISO/IEC 27005:2023 é a norma internacional ISO/IEC 27005:2022 adaptada para o Brasil.
Primeiramente, o processo de gerenciamento de riscos de Segurança da Informação funciona de maneira iterativa. Guarde a figura abaixo, pois ela é clássica. Além disso, ela é um resumo do que veremos no artigo.
Primeiramente, estabelecemos um contexto interno e externo para o gerenciamento de riscos. Posteriormente, os riscos passam por uma macro etapa de avaliação, que consiste em sua identificação, análise e avaliação propriamente dita.
O risco pode seguir para o tratamento, dependendo se a avaliação foi satisfatória ou não (se não for, o fluxo vai se repetir). Ao término do tratamento, se for aceito, ele passa a ser monitorado e revisto. Caso não seja, o fluxo retorna.
Veja que a comunicação e consulta, além de informações documentadas, estão presentes em vários momentos do fluxo.
O contexto do gerenciamento de riscos envolve algumas questões, incluindo o ambiente em que a organização está inserida. Antes de mais nada, a organização precisa conhecer o seu apetite ao risco.
Você Sabia? Apetite ao risco é a quantidade de risco que uma organização está disposta a assumir ou aceitar. O alto escalão deve defini-lo e revê-lo regularmente.
Além disso, documentos de referência que definem regras e controles de segurança e que se aplicam no âmbito da avaliação de riscos de Segurança da Informação precisam de identificação.
A organização também precisa estabelecer e manter critérios de riscos de Segurança da Informação. Para isso, ela deve considerar a natureza e o tipo de incertezas que afetam os resultados e objetivos, previsão e medição de consequências e probabilidades, fatores temporais, nível de risco etc.
A avaliação de riscos da NBR ISO/IEC 27005:2023 permite que os proprietários priorizem os riscos alinhados com a perspectiva do tratamento, com base nas suas consequências e probabilidade ou outros critérios.
Você Sabia? O proprietário do risco possui autoridade e responsabilidade para gerir os riscos atribuídos a ele. Em organizações sérias, um proprietário costuma fazer a gestão de mais de um risco, mas nunca todos. Normalmente, esse papel se divide entre pessoas diferentes.
O contexto da avaliação de riscos deve ser determinado, incluindo uma descrição do escopo e da finalidade, bem como das questões internas e externas que afetam a avaliação de riscos. O macroprocesso consiste nas seguintes atividades:
Você Sabia? As técnicas de análise de riscos podem ser qualitativas (adotam escala de atributos de qualificação, tais como baixo, alto etc.), quantitativas (adotam escala com valores numéricos (custo, probabilidade) ou semiquantitativas (adotam escala qualitativa com valores definidos).
| Nível do Risco | Avaliação do Risco | Descrição |
|---|---|---|
| Baixo | Aceitável | O risco pode ser aceito sem nenhuma ação adicional. |
| Moderado | Tolerável sob controle | Deverá ser realizado um acompanhamento em termos de gestão de riscos e definidas ações no âmbito da melhoria contínua a médio e longo prazo. |
| Alto | Inaceitável | As medidas para reduzir o risco devem ser tomadas a curto prazo. Caso contrário, toda ou parte da atividade deverá ser recusada. |
O tratamento dos riscos de segurança da informação baseia-se nos resultados do processo de avaliação de riscos, conforme vimos anteriormente. Esses resultados apresentam um conjunto priorizado de riscos para tratamento.
O conjunto de riscos será tratado no Plano de Tratamento de Riscos. Parece fácil de tão intuitivo, mas é isso mesmo. A ideia do plano é decidir qual ação tomar sobre cada risco, de tal forma que atenda aos critérios desejados pela organização.
As ações para tratamento de risco denominam-se Respostas ao Risco. A NBR ISO/IEC 27005:2023 destaca as seguintes opções abaixo. Procure decorar essa tabela também, pois isso despenca em prova:
| Resposta ao Risco | Descrição |
|---|---|
| Mitigar / Modificar | Consiste em alterar a probabilidade de ocorrência de um evento ou alterar a gravidade da consequência. O risco fica mais difícil de ocorrer ou menos impactante. |
| Aceitar / Reter | Consiste em reconhecer o risco e não tomar nenhuma ação. É uma estratégia muito adotada quando o custo para atuar sobre o risco ultrapassa a consequência que ele traria. |
| Transferir / Compartilhar | Consiste em dividir responsabilidades com outras partes, interna ou externamente. O exemplo clássico é contratar um seguro. |
| Evitar | Consiste em decidir não iniciar ou continuar com a atividade que dá origem ao risco. |
Mnemônico: MATE O RISCO!!
Os riscos residuais são aqueles que permanecem mesmo após o tratamento. Os proprietários dos riscos devem decidir sobre sua aceitação ou não, de acordo com critérios definidos. Caso não aceitem, novas ações podem ser aplicadas.
Uma vez tratado, não é prudente que o risco seja esquecido. A organização deve revisitá-lo constantemente, por meio do Monitoramento e Revisão, a fim de garantir que houve efetividade nas ações e evitar que outros riscos decorrentes surjam.
As informações sobre os riscos, suas causas, consequências, sua probabilidade e os controles realizados para tratá-los devem ser comunicadas ou obtidas das partes interessadas externas e internas. Essa é a base da Comunicação e Consulta.
Por fim, toda a gestão dos riscos sustenta-se por meio da documentação. Volte na Figura 1 e veja que a fase de Informações Documentadas permeia todo o processo.
Hoje falamos sobre a nova versão da NBR ISO/IEC 27005:2023, de uma maneira objetiva. Fique atento, porque as provas de TI que exigem a disciplina de Segurança da Informação cobram muito essa norma.
Sugerimos também que você aprofunde o conteúdo de Segurança da Informação por meio dos materiais da plataforma. O Estratégia oferece diversos cursos em pdf, videoaulas e áudios para você ouvir onde quiser. Descubra tudo no link http://www.estrategiaconcursos.com.br/cursos/.
Por fim, é importante que você faça muitas questões. Alunos aprovados realizam centenas ou até milhares de exercícios para atingir seu objetivo. O acesso ao Sistema de Questões do Estratégia é feito pelo link: https://concursos.estrategia.com/.
Bons estudos e até a próxima!
Cristiane Selem Ferreira Neves é Bacharel em Ciência da Computação e Mestre em Sistemas de Informação pela Universidade Federal do Rio de Janeiro (UFRJ), além de possuir a certificação Project Management Professional pelo Project Management Institute (PMI). Já foi aprovada nos seguintes concursos: ITERJ (2012), DATAPREV (2012), VALEC (2012), Rioprevidência (2012/2013), TJ-RJ (2022), TCE-RJ (2022) e CGE-SC (2022/2023). Atualmente exerce o cargo efetivo de Auditora de Controle Externo – Tecnologia da Informação e integra o corpo docente da Escola de Contas de Gestão do TCE-RJ, além de ser produtora de conteúdo dos Blogs do Estratégia Concursos, OAB e Carreiras Jurídicas.
Quem estuda para concursos públicos sabe que, com a correria do dia a dia, às…
Você que vai participar do concurso Polícia Penal RJ (Secretaria de Administração Penitenciária do Estado…
A Prefeitura de Carangola, em Minas Gerais, está com concurso público na praça, organizado pela…
Está oficialmente finalizado o concurso público da Secretaria Municipal de Fazenda de Belo Horizonte (ISS BH). Com a…
Atenção, corujas! Os candidatos com situação alterada no Concurso Nacional Unificado (CNU) poderão verificar atualizações…
Inscrições em breve e provas em fevereiro de 2025. Confira neste artigo as principais datas…