Rhand Leal
setembro 10, 2014
A cláusula 6.1.2 (a) (1) da ISO 27001:2013 declara que uma organização deve estabelecer e manter critérios de risco de segurança da informação, e estes devem incluir critérios para aceitação de risco. Uma vez que estes critérios tem uma influencia direta sobre como os riscos organizacionais são tratados, defini-los é crítico para fazer com que a ISO 27001 adicione valor ao negócio. Esta situação nos trás duas questões:
Enquanto a primeira questão pode ser respondida pelas cláusulas 4.1 e 4.2 da ISO 27001 (entendendo a organização, seu contexto, e as necessidades e expectativas das partes interessadas), a segunda questão requer um conceito por vezes ignorado devido a natureza protetora da ISO 27001: o apetite ao risco. Mas antes de falarmos sobre este conceito, vamos rever nosso entendimento de critério de risco e aceitação de risco.
A ISO 31000 define critério de risco como termos de referência a serem usados para avaliar o significado ou importância dos riscos de uma organização. Valores financeiros e de participação de mercado (como números absolutos ou percentuais) são exemplos de critérios de risco.
Para a ISO 27001 e ISO 27005, a aceitação de risco é parte do processo de tomada de decisão do tratamento de risco. A aceitação de risco declara a condição que você utiliza para decidir se você pode conviver com um risco em particular. Para valores financeiros como critérios de risco, uma certa quantidade de dólares (milhares ou milhões) é um exemplo de condição de aceitação de risco.
O apetite ao risco se refere a quanto de risco uma organização esta disposta a correr para atingir seus objetivos. Se valores financeiros são seu critério de risco, a faixa de valores que você está disposto a perder em busca de um objetivo reflete o seu apetite ao risco. Na verdade, o setor financeiro é o melhor exemplo de uso do conceito de apetite ao risco.
Este conceito de aceitar riscos de boa vontade pode parecer estranho quando associado com a ISO 27001, e isto é porque o conceito de risco mais associado com a ISO 27001 está relacionado a prevenção de perda, enquanto o apetite ao risco também está relacionado a ganhos em potencial que a organização pode obter por aceitar um risco específico. Mas, quando consideramos que apenas riscos diretamente relacionados a requisitos legais (e.g., leis e regulamentações) possuem limites obrigatórios (máximos ou mínimos) que não podem ser excedidos pela organização, aceitar outros tipos de riscos está limitado apenas pelo que a organização define como aceitável.
Um exemplo prático, não relacionado diretamente a segurança da informação, são opções de investimento para o seu dinheiro. Pessoas com baixo apetite ao risco talvez prefira opções com taxas menores mas que tem maior chance de atingir estas taxas. Por outro lado, pessoas com maior apetite ao risco aceitam opções de investimento que podem até mesmo resultar em perdas, mas que podem gerar resultados maiores em caso de sucesso. Este mesmo conceito pode ser aplicada a proteção da informação em conformidade com a ISO 27001.
O apetite ao risco é único para cada organização, mas ele pode ser identificado por alguns parâmetros e fontes comuns. Podemos dizer que o apetite ao risco de uma organização pode ser descrito por:
Pelos exemplos citados acima você pode ter percebido que o apetite ao risco é algo que equilibra valores qualitativos e quantitativos, e isto é porque o apetite ao risco é mais um “estado mental” do que um modelo ou uma fórmula. As recompensas envolvidas dependerão de fatores que podem variar para cada situação, e alguns deles muito frequentemente não são documentados (e.g., interesses de partes interessadas e estilo de gestão).
Em geral, a implementação da ISO 27001 usa o conceito de apetite ao risco implicitamente, através da matriz de avaliação de risco probabilidade vs. impacto, definindo riscos como aceitáveis (podemos aceitar estes riscos como eles são), gerenciáveis (ações de controle deveriam ser consideradas), e inaceitáveis (ações de controle devem ser implementadas). Mesmo que esta abordagem tenha benefícios relacionados a facilidade de uso, algumas considerações devem ser tomadas ao se aplicar o conceito de apetite ao risco:
Assim, como integrar ao seu SGSI estes riscos que possuem tratamentos que são diferentes da forma normal com que você trata riscos, sem comprometer a conformidade com a ISO 27001? Como usar o apetite ao risco no SGSI da sua organização? Para fazer isso você deveria considerar:
Desta forma, com estes ajustes você pode adotar em seu SGSI o conceito de apetite ao risco, e fazer uso da segurança da informação não apenas para prevenir perdas, mas também como uma ferramenta para usar informações e riscos de maneira controlada para aproveitar oportunidades de negócio ou minimizar custos relacionados a adoção de controles, agregando mais valor ao negócio com a ISO 27001.
Clique aqui para ver uma amostra gratuita da Metodologia de avaliação e tratamento de riscos.