{"id":4492,"date":"2014-09-10T18:53:53","date_gmt":"2014-09-10T18:53:53","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/09\/10\/apetite-ao-risco-e-sua-influencia-na-implementacao-da-iso-27001\/"},"modified":"2022-07-17T15:43:35","modified_gmt":"2022-07-17T15:43:35","slug":"apetite-ao-risco-e-sua-influencia-na-implementacao-da-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2014\/09\/10\/apetite-ao-risco-e-sua-influencia-na-implementacao-da-iso-27001\/","title":{"rendered":"Apetite ao risco e sua influ\u00eancia na implementa\u00e7\u00e3o da ISO 27001"},"content":{"rendered":"<p>A cl\u00e1usula 6.1.2 (a) (1) da <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001:2013<\/a> declara que uma organiza\u00e7\u00e3o deve estabelecer e manter crit\u00e9rios de risco de seguran\u00e7a da informa\u00e7\u00e3o, e estes devem incluir crit\u00e9rios para aceita\u00e7\u00e3o de risco. Uma vez que estes crit\u00e9rios tem uma influencia direta sobre como os riscos organizacionais s\u00e3o tratados, defini-los \u00e9 cr\u00edtico para fazer com que a ISO 27001 adicione valor ao neg\u00f3cio. Esta situa\u00e7\u00e3o nos tr\u00e1s duas quest\u00f5es:<\/p>\n<ul>\n<li>Como definir crit\u00e9rios que sejam relevantes para a organiza\u00e7\u00e3o?<\/li>\n<li>Como definir crit\u00e9rios para aceita\u00e7\u00e3o do risco?<\/li>\n<\/ul>\n<p>Enquanto a primeira quest\u00e3o pode ser respondida pelas cl\u00e1usulas 4.1 e 4.2 da ISO 27001 (entendendo a organiza\u00e7\u00e3o, seu contexto, e as necessidades e expectativas das partes interessadas), a segunda quest\u00e3o requer um conceito por vezes ignorado devido a natureza protetora da ISO 27001: o apetite ao risco. Mas antes de falarmos sobre este conceito, vamos rever nosso entendimento de crit\u00e9rio de risco e aceita\u00e7\u00e3o de risco.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Crit\u00e9rio de risco e aceita\u00e7\u00e3o de risco<\/h2>\n<p>A ISO 31000 define crit\u00e9rio de risco como termos de refer\u00eancia a serem usados para avaliar o significado ou import\u00e2ncia dos riscos de uma organiza\u00e7\u00e3o. Valores financeiros e de participa\u00e7\u00e3o de mercado (como n\u00fameros absolutos ou percentuais) s\u00e3o exemplos de crit\u00e9rios de risco.<\/p>\n<p>Para a ISO 27001 e ISO 27005, a aceita\u00e7\u00e3o de risco \u00e9 parte do processo de tomada de decis\u00e3o do tratamento de risco. A aceita\u00e7\u00e3o de risco declara a condi\u00e7\u00e3o que voc\u00ea utiliza para decidir se voc\u00ea pode conviver com um risco em particular. Para valores financeiros como crit\u00e9rios de risco, uma certa quantidade de d\u00f3lares (milhares ou milh\u00f5es) \u00e9 um exemplo de condi\u00e7\u00e3o de aceita\u00e7\u00e3o de risco.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Apetite ao risco<\/h2>\n<p>O apetite ao risco se refere a quanto de risco uma organiza\u00e7\u00e3o esta disposta a correr para atingir seus objetivos. Se valores financeiros s\u00e3o seu crit\u00e9rio de risco, a faixa de valores que voc\u00ea est\u00e1 disposto a perder em busca de um objetivo reflete o seu apetite ao risco. Na verdade, o setor financeiro \u00e9 o melhor exemplo de uso do conceito de apetite ao risco.<\/p>\n<p>Este conceito de aceitar riscos de boa vontade pode parecer estranho quando associado com a ISO 27001, e isto \u00e9 porque o conceito de risco mais associado com a ISO 27001 est\u00e1 relacionado a preven\u00e7\u00e3o de perda, enquanto o apetite ao risco tamb\u00e9m est\u00e1 relacionado a ganhos em potencial que a organiza\u00e7\u00e3o pode obter por aceitar um risco espec\u00edfico. Mas, quando consideramos que apenas riscos diretamente relacionados a requisitos legais (e.g., leis e regulamenta\u00e7\u00f5es) possuem limites obrigat\u00f3rios (m\u00e1ximos ou m\u00ednimos) que n\u00e3o podem ser excedidos pela organiza\u00e7\u00e3o, aceitar outros tipos de riscos est\u00e1 limitado apenas pelo que a organiza\u00e7\u00e3o define como aceit\u00e1vel.<\/p>\n<p>Um exemplo pr\u00e1tico, n\u00e3o relacionado diretamente a seguran\u00e7a da informa\u00e7\u00e3o, s\u00e3o op\u00e7\u00f5es de investimento para o seu dinheiro. Pessoas com baixo apetite ao risco talvez prefira op\u00e7\u00f5es com taxas menores mas que tem maior chance de atingir estas taxas. Por outro lado, pessoas com maior apetite ao risco aceitam op\u00e7\u00f5es de investimento que podem at\u00e9 mesmo resultar em perdas, mas que podem gerar resultados maiores em caso de sucesso. Este mesmo conceito pode ser aplicada a prote\u00e7\u00e3o da informa\u00e7\u00e3o em conformidade com a ISO 27001.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Como eu determino o apetite ao risco de uma organiza\u00e7\u00e3o?<\/h2>\n<p>O apetite ao risco \u00e9 \u00fanico para cada organiza\u00e7\u00e3o, mas ele pode ser identificado por alguns par\u00e2metros e fontes comuns. Podemos dizer que o apetite ao risco de uma organiza\u00e7\u00e3o pode ser descrito por:<\/p>\n<ul>\n<li>Aspectos associados a assuntos relevantes para a organiza\u00e7\u00e3o (e.g., normas, leis, pol\u00edticas, contratos, etc.);<\/li>\n<li>Os valores, pol\u00edticas, estrat\u00e9gias e objetivos da organiza\u00e7\u00e3o (e.g., comprometimento com o cliente, ser a mais inovadora, etc.);<\/li>\n<li>Assuntos de interesse de partes interessadas (e.g., lucro, participa\u00e7\u00e3o de mercado, etc.);<\/li>\n<li>O estilo da gest\u00e3o (n\u00e3o um estilo pessoal, mas o estilo da equipe de gest\u00e3o como um todo) (e.g., autocr\u00e1tico, consultivo, democr\u00e1tico, etc.).<\/li>\n<\/ul>\n<p>Pelos exemplos citados acima voc\u00ea pode ter percebido que o apetite ao risco \u00e9 algo que equilibra valores qualitativos e quantitativos, e isto \u00e9 porque o apetite ao risco \u00e9 mais um \u201cestado mental\u201d do que um modelo ou uma f\u00f3rmula. As recompensas envolvidas depender\u00e3o de fatores que podem variar para cada situa\u00e7\u00e3o, e alguns deles muito frequentemente n\u00e3o s\u00e3o documentados (e.g., interesses de partes interessadas e estilo de gest\u00e3o).<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Como aplicar o apetite ao risco a ISO 27001<\/h2>\n<p>Em geral, a implementa\u00e7\u00e3o da ISO 27001 usa o conceito de apetite ao risco implicitamente, atrav\u00e9s da matriz de avalia\u00e7\u00e3o de risco probabilidade vs. impacto, definindo riscos como aceit\u00e1veis (podemos aceitar estes riscos como eles s\u00e3o), gerenci\u00e1veis (a\u00e7\u00f5es de controle deveriam ser consideradas), e inaceit\u00e1veis (a\u00e7\u00f5es de controle devem ser implementadas). Mesmo que esta abordagem tenha benef\u00edcios relacionados a facilidade de uso, algumas considera\u00e7\u00f5es devem ser tomadas ao se aplicar o conceito de apetite ao risco:<\/p>\n<ul>\n<li>Com um apetite ao risco alto, mesmo um risco avaliado como alto pode parecer atraente se o ganho potencial \u00e9 alto o suficiente;<\/li>\n<li>Um maior apetite ao risco pode expor voc\u00ea a mais riscos, ao fazer com que voc\u00ea use controles menos restritos em busca de aproveitar uma oportunidade espec\u00edfica, ent\u00e3o verificar se os ganhos esperados pela aceita\u00e7\u00e3o do risco podem cobrir perdas intermedi\u00e1rias e ainda assim entregar recompensas consideradas desej\u00e1veis.<\/li>\n<\/ul>\n<p>Assim, como integrar ao seu SGSI estes riscos que possuem tratamentos que s\u00e3o diferentes da forma normal com que voc\u00ea trata riscos, sem comprometer a conformidade com a ISO 27001? Como usar o apetite ao risco no SGSI da sua organiza\u00e7\u00e3o? Para fazer isso voc\u00ea deveria considerar:<\/p>\n<ul>\n<li>Documenta\u00e7\u00e3o adequada das decis\u00f5es em an\u00e1lises cr\u00edticas [cl\u00e1usula 9.3 (e)] que apoiam as decis\u00f5es tomadas sobre a mudan\u00e7a no n\u00edvel de aceita\u00e7\u00e3o de risco e\/ou nos planos de tratamento normalmente usados para controlar riscos espec\u00edficos [cl\u00e1usula 6.1.3 (e)] (mudando ou excluindo controles, considerando os resultados esperados);<\/li>\n<li>Ajustes na Declara\u00e7\u00e3o de Aplicabilidade [cl\u00e1usula 6.1.3 (d)], identificando condi\u00e7\u00f5es espec\u00edficas para o uso de controles menos restritivos.<\/li>\n<\/ul>\n<p>Desta forma, com estes ajustes voc\u00ea pode adotar em seu SGSI o conceito de apetite ao risco, e fazer uso da seguran\u00e7a da informa\u00e7\u00e3o n\u00e3o apenas para prevenir perdas, mas tamb\u00e9m como uma ferramenta para usar informa\u00e7\u00f5es e riscos de maneira controlada para aproveitar oportunidades de neg\u00f3cio ou minimizar custos relacionados a ado\u00e7\u00e3o de controles, agregando mais valor ao neg\u00f3cio com a ISO 27001.<\/p>\n<p><em>Clique aqui para ver uma amostra gratuita da \u00a0<\/em><a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/documentation\/metodologia-de-avaliacao-e-tratamento-de-riscos\/\" target=\"_blank\" rel=\"noopener\">Metodologia de avalia\u00e7\u00e3o e tratamento de riscos<\/a><em>.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>A cl\u00e1usula 6.1.2 (a) (1) da ISO 27001:2013 declara que uma organiza\u00e7\u00e3o deve estabelecer e manter crit\u00e9rios de risco de seguran\u00e7a da informa\u00e7\u00e3o, e estes devem incluir crit\u00e9rios para aceita\u00e7\u00e3o de risco. Uma vez que estes crit\u00e9rios tem uma influencia direta sobre como os riscos organizacionais s\u00e3o tratados, defini-los \u00e9 cr\u00edtico para fazer com que &#8230;<\/p>\n","protected":false},"author":41,"featured_media":4493,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4492","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4492","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/41"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4492"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4492\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4493"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4492"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4492"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4492"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}