A revisão 2013 da ISO 27001 introduziu um novo conceito: o proprietário de risco. Uma vez que este conceito trouxe um tanto de confusão para os praticantes de segurança da informação, aqui está uma explicação sobre o que é o proprietário de risco, e se o conceito de proprietário de ativo da antiga versão de 2005 da ISO 27001 ainda é válida.
O que o proprietário de ativo, de acordo com a ISO 27001?
Ambas as versões 2005 e 2013 da ISO 27001 possuem o conceito de proprietário do ativo como um controle no Anexo A – isto é nada mais do que determinar quem é o responsável por cada ativo em sua organização. Em termos de segurança da informação, ativos não são apenas informações em forma eletrônica e em papel, mas também softwares, hardwares, serviços, pessoas, instalações e tudo o mais que agrega valor para uma organização.
Por que a propriedade de ativos é importante? Porque se ninguém é responsável por um ativo então ninguém irá tomar conta dele – apenas pela definição estrita de quem é responsável por cada documento, cada servidor, cada serviço externo, etc. você terá certeza de que cada um destes ativos está adequadamente protegido e gerenciado; não definir proprietários para ativos significaria anarquia.
Análise/Avaliação de riscos baseada em ativo
O ponto onde as versões 2005 e 2013 são diferentes é que na versão 2005 é requerida a identificação de proprietários de ativo tanto durante a avaliação de riscos quanto como um controle, o A.7.1.2 do Anexo A, enquanto que na versão 2013este requisito não existe no processo de análise/avaliação de riscos e apenas como o controle A.8.1.2 do Anexo A.
Adicionalmente, a versão 2013 não requer a chamada análise/avaliação de riscos baseada em ativo, a qual iria identificar os riscos baseados nos ativos, ameaças e vulnerabilidades – de acordo com a ISO27001:2013, sua organização pode identificar riscos utilizando algum outro método (menos complicado).
Contudo, minha opinião é de que a análise/avaliação de riscos baseada em ativos continuará a ser um método dominante para a análise/avaliação de riscos – especialmente se você escolher aplicar os controles A.8.1.1 (identificação de ativos) e A.8.1.2 (designando proprietários para estes ativos). Caso você liste estes ativos, então você já deve ter feito uma boa parte da análise/avaliação de riscos baseada em ativos; em tal caso, mesmo na revisão 2013 faz sentido listar ativos (e seus proprietários) durante o processo de análise/avaliação de riscos.
O que é o proprietário de risco de acordo com a ISO 27001?
Então, o que é o proprietário de risco? A ISO 27000:2014 define o proprietário de risco como uma “pessoa ou entidade com responsabilidade e autoridade para gerenciar um risco.” Basicamente, é uma pessoa que está tanto interessada em resolver um risco quanto posicionada hierarquicamente de forma a ser capaz de fazer algo a respeito.
Assim, por exemplo, um proprietário de ativo que seja um servidor pode ser o administrador de TI, e o proprietário de risco para os riscos relacionados a este servidor pode ser o seu chefe, o responsável pelo departamento de TI. O administrador de TI irá gerenciar o servidor nas operações diárias, enquanto que o responsável pelo departamento de TI irá tomar conta, por exemplo, dos investimentos para melhor proteger o servidor, melhorar a capacitação do administrador de TI, etc.
Em minha opinião, o conceito de propriedade do risco foi introduzido porque frequentemente os proprietários de ativo não possuíam autoridade suficiente para resolver riscos em potencial; além disso, este conceito também existe na ISO 31000, desta forma a ISO 27001:2013 tornou-se conforme com a ISO 31000.
Como escolher os proprietários de riscos
Ao escolher proprietários de riscos, você deveria ter em mente alguém que seja próximo aos processos e operações onde os riscos foram identificados – deve ser alguém que irá sentir a “dor” caso o risco se concretize – isto é, alguém que está muito interessado em prevenir que tais riscos aconteçam. Contudo, esta pessoa deve também estar posicionada hierarquicamente de forma que suas opiniões possam ser ouvidas por aqueles que tomam as decisões, porque se não obtiver os recursos esta tarefa será impossível. Assim, me parece que os gestores de nível médio são frequentemente os melhores candidatos para serem proprietários de riscos.
Mesmo que a norma permita que uma entidade seja dona de risco (e.g., um departamento ou unidade de negócio), eu não aconselharia usar esta abordagem – sempre é melhor ter um indivíduo encarregado de resolver um problema do que um grupo de pessoas. Por exemplo, se o chefe do departamento de TI é o responsável por resolver o risco, ele o fará muito mais rapidamente do que se você tivesse todo o departamento de TI responsável pelo mesmo risco.
Quando chega o momento de se designar os proprietários de risco, é melhor fazê-lo através do plano de tratamento de riscos, uma vez que este é um plano de ação sobre como resolver os riscos – você deveria simplesmente definir para cada risco quem é responsável por implementar os controles. Leia também Plano de Tratamento de Risco e processo de tratamento de risco – Qual é a diferença?
Para concluir, organizações deveriam determinar tanto os proprietários de risco quanto os proprietários de ativo ao implementar a ISO 27001 – a forma mais fácil seria determiná-los durante o processo de análise/avaliação de riscos. E, ao fazer isto adequadamente, a implementação e operação de sua segurança da informação será um trabalho muito mais fácil.
Clique aqui para se registrar para o webinar gratuito The basics of risk assessment and treatment according to ISO 27001.
Nós agradecemos a Rhand Leal pela tradução para o português.