segunda-feira, 9 de agosto de 2010

SEGURANÇA E RISCO (Análise da NBR ISO/IEC 27005:2008)


Tempestad en el mar de Galilea, de Rembrandt.
Roubado na manhã de 18 de março de 1990, por ladrões disfarçados de policiais, do Museu Isabella Stewart Gardner, em Boston, Massachusets, EUA.


A NBR ISO/IEC 27005:2008 –Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação define as diretrizes para o processo de gestão de riscos de segurança da informação.
Esta Norma contém a descrição do processo de gestão de riscos de segurança da informação e das suas atividades.
No capítulo introdutório da NBR ISO/IEC 27002:2005, encontramos a seguinte assertiva: “Os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negócios gerados pelas potenciais falhas na segurança da informação. Os resultados da análise/avaliação de riscos ajudarão a direcionar e a determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação, e para a implementação dos controles selecionados para a proteção contra estes riscos”.
Uma dúvida que surge nos profissionais de segurança da informação é sobre a NBR ISO/IEC 27005:2008, a NBR ISO/IEC 27002:2005 e a NBR ISO/IEC 27001:2006. Não estariam elas regulando o mesmo assunto?
A NBR ISO/IEC 27001:2006 apresenta requisitos para que a organização possa estruturar um sistema de Gestão de Segurança da Informação e a NBR ISO/IEC 27002:2005 é um código de práticas, de boas práticas, um guia. A organização pode escolher utilizar essas práticas, ou não.
A Norma NBR ISO/IEC 27001:2006 incorpora um processo de escalonamento de risco e valorização de ativos. É muito interessante a estrutura da norma. Ela realmente orienta como nós podemos elaborar uma Matriz de Risco e implantar controles para minimizar estes riscos.
A NBR ISO/IEC 27002:2005 trata, no seu capítulo 4 sobre Análise/avaliação e tratamento de riscos. Sendo assim, a NBR ISO/IEC 27005:2008 detalha, desdobra o que já foi tratado no capítulo 4 no Código de Práticas, que é a NBR ISO/IEC 27002:2005. São, portanto complementares entre si.
Para a NBR ISO/IEC 27005:2008, riscos de segurança da informação é a possibilidade de uma determinada ameaça extrapolar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização.
Conforme Ehrlich (2008) risco é a possibilidade de ocorrência de um evento desfavorável no decorrer de certo período de tempo. Para Ehrlich (2008) são três os elementos que definem o risco:
a) o evento desfavorável, como por exemplo, perder um grande valor bem especificado;
b) a possibilidade de este evento ocorrer, onde esta possibilidade se mede em termos de probabilidade percebida;
c) o período de tempo, como por exemplo, no decorrer dos próximos cinco anos.
Trata-se da expressão da probabilidade e do impacto de um evento que pode influenciar a consecução dos objetivos de uma organização. Risco, portanto, é a probabilidade de que um evento negativo para a organização ocorra no futuro.
O risco reflete coisas futuras com as quais estamos preocupados, como nossa situação financeira, nossa saúde, nossos empregos, nossos filhos ou o meio ambiente. Decisões de risco podem ter efeito sobre as finanças, a saúde, o meio ambiente, os outros países, as leis, as regulações e os futuros políticos.
Todos nós lidamos rotineiramente com o risco em nossa vida pessoal e profissional. No entanto, a gestão de riscos exige mais que decisões intuitivas e implícitas em relação a eles; exige uma gestão ativa de riscos em bases sistemáticas, holísticas e integradas.
Há dois métodos gerais para se prever a probabilidade de eventos futuros:
• o uso de informações históricas para se gerarem previsões probabilísticas de eventos futuros; e
• a modelagem do futuro. (HILL, 2003).
A descrição do processo de gestão de riscos de segurança da informação e das suas atividades, apresentados pela NBR ISO/IEC 27005:2008 segue os seguintes passos:
a) Contextualização
Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para se identificar as necessidades da organização em relação aos requisitos de segurança da informação e para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz.
Convém que a gestão de riscos de segurança da informação seja um processo contínuo. Convém que a gestão de riscos analise os possíveis acontecimentos e suas conseqüências, antes de decidir o que será feito e quando será feito, a fim de reduzir os riscos a um nível aceitável. (ABNT, 2008)
Convém que a organização defina o escopo e os limites da gestão de riscos de segurança da informação.
Ao definir o escopo e os limites, convém que a organização considere as seguintes informações:
• Os objetivos estratégicos, políticas e estratégias da organização;
• Processos de negócio;
• As funções e a estrutura da organização;
• Requisitos legais, regulatórios e contratuais aplicáveis à organização;
• A política de segurança da informação da organização;
• A abordagem da organização à gestão de riscos;
• Ativos de informação;
• Localidades em que a organização se encontra e suas características geográficas;
• Restrições que afetam a organização;
• Expectativas das partes interessadas;
• Ambiente sociocultural;
• Interfaces (ou seja, a troca de informações com o ambiente).
b) Análise/avaliação de riscos de segurança da informação
Nesta etapa são identificados os eventos que possam causar uma perda potencial e deixar claro como, onde e por que a perda pode acontecer. Isto é, são identificadas as ameaças. Uma ameaça tem o potencial de comprometer ativos (tais como, informações, processos e sistemas) e, por isso, também as organizações. Ameaças podem ser de origem natural ou humana e podem ser acidentais ou intencionais.
Convém que tanto as fontes das ameaças acidentais, quanto as intencionais sejam identificadas. Uma ameaça pode surgir de dentro ou de fora da organização.
Logo após devemos identificar os controles existentes e a eficácia destes controles em evitar que uma ameaça explore uma vulnerabilidade. Com a informação das ameaças e da efetividade dos controles podemos estimar o nível de risco.
A organização, conhecendo o nível de risco, tem a oportunidade de decidir o que vai fazer em relação a cada risco: reduzir (novos controles), aceitar, evitar ou transferir. Após esta decisão ainda restará o risco residual sobre o qual a organização decidirá o que irá fazer.

CARVALHO DE ABREU, Ana Rosa. Segurança Física na visão de especialistas em Segurança da Informação da Administração Pública Brasileira.Monografia apresentada ao curso de especialização em Segurança da Informação da UnB. Brasília, 2010.

Nenhum comentário: