Começo o meu post de hoje com a frase de Sun Tzu no livro a Arte da Guerra: “Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas…”. A norma ISO 27005:2008 – Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação, apresenta o seguinte esquema para a implementação dos processos de gestão de riscos:
O ponto de partida da implementação da Gestão dos Riscos em Segurança da Informação é a definição do contexto, ou o conhecimento de si mesmo. A norma ISO 27005 estabelece que: “todas as informações sobre a organização relevantes para a definição do contexto da gestão de riscos de segurança da informação” sejam utilizadas como entrada deste processo. Nesta etapa do “conhecer a si mesmo” o contexto de ativos de informação, escopo de sistema e demais informações relevantes devem ser consideradas. É na definição do contexto que são desenvolvidos os critérios para a avaliação dos riscos.
Critérios estes que, segundo a norma ISO 27005, devem considerar: o valor estratégico do processo que trata as informações do negócio; a criticidade dos ativos de informação envolvidos; requisitos legais e regulatórios, bem como obrigações contratuais; a importâncvia do ponto de vista operacional e dos negócios, da disponibilidade, integridade e confidencialidade das informações e as espectativas e percepções das partes interessadas. Ainda dentro da definição do contexto são estabelecidos os critérios de impacto, aceitação do risco e escopo da gestão de riscos.
A partir da definição do contexto, é realizada a análise/avaliação de riscos de segurança da informação. Nesta etapa são identificadas as ameaças, controles existentes, as vulnerabilidades e principalmente as consequências de dano que a potencialização de ocorrência de uma ameaça traga consigo. Todos estes elementos são avaliados de acordo com o contexto, interno e externo, levando em conta os objetivos da organização para finalmente chegar-se as opções de tratamento de riscos conforme esquema a seguir apresentado.
Todo o Sistema de Gestão da Segurança da Informação vai ser estruturado a partir da Gestão de Riscos e o resultado das batalhas pela preservação da segurança será positivo;
