Gerenciamento de Riscos: ConheƧa 5 processos da ISO 27001
- rsalvadori5
- 2 de dez. de 2020
- 3 min de leitura
O gerenciamento de riscos certamente Ć© a parte mais complexa da implementaĆ§Ć£o da ISO 27001. Sem essa etapa vocĆŖ nĆ£o saberia onde concentrar seus esforƧos de seguranƧa da informaĆ§Ć£o, o que significa que perderia algo importante.
Felizmente, este processo pode ser simplificado. Se vocĆŖ nĆ£o o complicar com elementos desnecessĆ”rios, ele pode ser concluĆdo em um tempo aceitĆ”vel e com um esforƧo razoĆ”vel. AlĆ©m do mais, vocĆŖ ficarĆ” bastante surpreso com o que aprendeu sobre sua empresa neste processo.
Continue a leitura do artigo e conheƧa os processos para o Gerenciamento de Riscos com base na ISO 27001 ideal para pequenas e mƩdias empresas.
Gerenciamento de Riscos
As empresas devem identificar os riscos e oportunidades que precisam ser priorizadas. Esta Ć© a Ćŗnica forma de evitar a ocorrĆŖncia de incidentes e, ao mesmo tempo, atingir outros objetivos do SGSI (Sistema de GestĆ£o de SeguranƧa da InformaĆ§Ć£o) definidos pela ISO 27001.
Os riscos referem-se a eventos indesejados que podem ter impacto negativo na seguranƧa da informaĆ§Ć£o e, portanto, na empresa, como uma inundaĆ§Ć£o que pode destruir informaƧƵes em papel. Oportunidades referem-se Ć s aƧƵes que a empresa poderia realizar para melhorar a seguranƧa da informaĆ§Ć£o, como a contrataĆ§Ć£o de uma equipe especializada que faria um trabalho melhor do que alguĆ©m sem habilidades.
As oportunidades tambĆ©m podem significar um crescimento dos riscos, se isso fizer sentido para os negĆ³cios. Por exemplo, hĆ” uma dĆ©cada, a maioria dos bancos introduziu o Internet Banking, embora isso significasse aumentar os riscos de seguranƧa.
Processos de Gerenciamento de Riscos
A avaliaĆ§Ć£o e o tratamento de riscos (juntos sĆ£o chamados de gerenciamento de riscos) sĆ£o as etapas mais importantes no inĆcio de seu projeto de seguranƧa da informaĆ§Ć£o, eles definem a base para a seguranƧa da informaĆ§Ć£o em sua empresa.
A questĆ£o Ć©: por que eles sĆ£o tĆ£o importantes? A resposta Ć© bastante simples, embora nĆ£o compreendida por muitas pessoas, a filosofia principal da ISO 27001 Ć© descobrir quais incidentes podem ocorrer (ou seja, avaliar os riscos) e, em seguida, encontrar as formas mais adequadas para evitar tais incidentes (ou seja, tratar os riscos). AlĆ©m disso, vocĆŖ tambĆ©m deve avaliar a importĆ¢ncia de cada risco para que possa se concentrar nos mais importantes para o seu negĆ³cio.
Embora o gerenciamento de riscos seja um trabalho complexo, muitas vezes Ć© desnecessariamente abstraĆdo. Estas cinco etapas bĆ”sicas irĆ£o esclarecer o que vocĆŖ deve fazer para iniciar o gerenciamento de riscos em sua empresa.
Metodologia de AvaliaĆ§Ć£o de Risco
Esta Ć© a primeira etapa do seu projeto de gerenciamento de riscos. VocĆŖ precisa definir regras sobre como vai realizar a avaliaĆ§Ć£o e o tratamento de riscos. Um dos maiores desafios com o gerenciamento de riscos acontece quando diferentes partes da organizaĆ§Ć£o o executam de maneira diferente. Portanto, vocĆŖ precisa definir quais escalas vocĆŖ usarĆ” para avaliaĆ§Ć£o qualitativa, qual serĆ” o nĆvel de risco aceitĆ”vel e entre outros detalhes.
ImplementaĆ§Ć£o da AvaliaĆ§Ć£o de Risco
Depois de definir as regras, vocĆŖ pode comeƧar a descobrir quais potenciais problemas podem acontecer com o seu negĆ³cio. Normalmente vocĆŖ irĆ” listar todos os seus ativos, ameaƧas e vulnerabilidades relacionadas a esses ativos, avaliar o impacto e a probabilidade de cada combinaĆ§Ć£o de ativos / ameaƧas / vulnerabilidades, e, finalmente, calcular o nĆvel de risco.
ImplementaĆ§Ć£o do Tratamento de Risco
Claro, nem todos os riscos sĆ£o iguais. VocĆŖ deve se concentrar nos mais importantes, os chamados āriscos inaceitĆ”veisā. Existem quatro opƧƵes que vocĆŖ pode escolher para mitigar cada risco inaceitĆ”vel: aplicar controles de seguranƧa, transferir o risco, evitar o risco ou aceitar o risco.
DeclaraĆ§Ć£o de Aplicabilidade
Este documento realmente mostra o perfil de seguranƧa de sua empresa. Com base nos resultados do tratamento de risco, vocĆŖ precisa listar todos os controles que implementou, por que os implementou e como.
Plano de AĆ§Ć£o
O objetivo deste documento Ʃ definir exatamente quem vai implementar cada controle, em que prazo, com qual orƧamento e outros detalhes.
ConsideraƧƵes Finais
Ć muito importante compreender que essas cinco etapas precisam ser executadas sequencialmente. Por trĆ”s de qualquer projeto ou empreendimento de sucesso existe um bom planejamento. Um planejamento Ć© considerado coeso quando os processos de negĆ³cios da sua empresa sĆ£o alinhados de acordo com os requisitos da ISO 27001. Para tal, Ć© necessĆ”rio muito conhecimento sobre o seu prĆ³prio negĆ³cio e ser capaz de relacionar com os requisitos da norma.
AlĆ©m disso, o gerenciamento de riscos deve ser encarado como um programa contĆnuo de evoluĆ§Ć£o e nĆ£o apenas como um projeto desenvolvido de forma isolada. Assim, Ć© necessĆ”rio dedicaĆ§Ć£o e flexibilidade da sua empresa para a conformidade completa.
Em geral, as empresas devem dedicar cerca de um ano para se tornarem compatĆveis e certificadas com os requisitos da ISO 27001. A jornada de conformidade envolve vĆ”rias etapas. A RS Data Security Ć© especialista na jornada de conformidade com a ISO 27001 e LGPD. Nossos consultores possuem certificaƧƵes reconhecidas internacionalmente e possuem a experiĆŖncia necessĆ”ria para encurtar a jornada em busca da conformidade.
Entre em contato com um dos nossos consultores e comece hoje mesmo seu projeto de conformidade com a ISO 27001 e LGPD.