{"id":4875,"date":"2010-12-15T23:22:29","date_gmt":"2010-12-15T23:22:29","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/010\/12\/15\/dicas-de-avaliacao-de-risco-para-pequenas-empresas\/"},"modified":"2022-07-17T15:43:47","modified_gmt":"2022-07-17T15:43:47","slug":"dicas-de-avaliacao-de-risco-para-pequenas-empresas","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2010\/12\/15\/dicas-de-avaliacao-de-risco-para-pequenas-empresas\/","title":{"rendered":"Dicas de avalia\u00e7\u00e3o de risco para pequenas empresas"},"content":{"rendered":"

J\u00e1 vi muitas pequenas empresas (com at\u00e9 50 funcion\u00e1rios) tentarem utilizar ferramentas de avalia\u00e7\u00e3o de riscos como parte de seu projeto de implementa\u00e7\u00e3o da norma ISO 27001<\/a>. O resultado \u00e9 que, normalmente, isso demanda muito tempo e dinheiro e traz poucos benef\u00edcios.<\/p>\n

Em primeiro lugar, o que realmente significa avalia\u00e7\u00e3o de riscos e qual seu objetivo? A avalia\u00e7\u00e3o de riscos \u00e9 um processo no qual uma empresa deve identificar riscos de seguran\u00e7a para suas informa\u00e7\u00f5es e determinar a probabilidade de ocorr\u00eancia e seu impacto. Basicamente, a empresa deve reconhecer todos os poss\u00edveis problemas que podem afetar suas informa\u00e7\u00f5es, com que probabilidade poderiam ocorrer e que consequ\u00eancias trariam. O objetivo da avalia\u00e7\u00e3o de riscos \u00e9 descobrir quais controles s\u00e3o necess\u00e1rios para diminuir o risco. A sele\u00e7\u00e3o de controles \u00e9 chamada de processo de tratamento de riscos; na ISO 27001, os controles s\u00e3o escolhidos com base no Anexo A, que especifica 133 controles.<\/p>\n

A avalia\u00e7\u00e3o de riscos \u00e9 realizada por meio da identifica\u00e7\u00e3o e da avalia\u00e7\u00e3o de ativos, vulnerabilidades e amea\u00e7as. Um ativo \u00e9 tudo aquilo que tem valor para a empresa \u2013 hardware, software, pessoal, infraestrutura, dados (em diferentes formas e m\u00eddias), fornecedores e parceiros etc. Uma vulnerabilidade \u00e9 um ponto fraco em um ativo, processo, controle etc., que poderia ser explorado por uma amea\u00e7a. Uma amea\u00e7a \u00e9 qualquer coisa que possa danificar um sistema ou uma organiza\u00e7\u00e3o. Um exemplo de vulnerabilidade \u00e9 a falta de um software de antiv\u00edrus; uma amea\u00e7a relacionada \u00e9 um v\u00edrus de computador.<\/p>\n

Sabendo de tudo isso, se sua organiza\u00e7\u00e3o \u00e9 pequena, voc\u00ea realmente n\u00e3o precisa de uma ferramenta sofisticada para fazer a avalia\u00e7\u00e3o de riscos. Tudo o que voc\u00ea precisa \u00e9 de uma planilha do Excel, uma rela\u00e7\u00e3o abrangente de vulnerabilidades e amea\u00e7as e uma boa metodologia de avalia\u00e7\u00e3o de riscos<\/a>. A principal tarefa, na verdade, \u00e9 avaliar a probabilidade e o impacto, e isso n\u00e3o pode ser feito por nenhuma ferramenta \u2013 \u00e9 algo que somente os propriet\u00e1rios dos ativos, com seu conhecimento sobre esses ativos, podem fazer.<\/p>\n

Ent\u00e3o, onde voc\u00ea poder\u00e1 obter essa rela\u00e7\u00e3o e a metodologia? Se voc\u00ea tiver contratado um consultor, ele poder\u00e1 fornecer esses documentos; caso contr\u00e1rio, existem modelos de rela\u00e7\u00f5es dispon\u00edveis na internet, basta fazer uma pesquisa no Google. A metodologia n\u00e3o est\u00e1 dispon\u00edvel gratuitamente, mas voc\u00ea pode usar a norma ISO 27005 (ela descreve a avalia\u00e7\u00e3o e o tratamento de riscos em detalhes), ou voc\u00ea pode usar outros sites que vendam a metodologia. Tudo isso deve custar menos tempo e dinheiro do que comprar uma ferramenta de avalia\u00e7\u00e3o de riscos e aprender a us\u00e1-la.<\/p>\n

Uma boa metodologia deve conter um m\u00e9todo para identifica\u00e7\u00e3o de ativos, amea\u00e7as e vulnerabilidades, tabelas para marcar a probabilidade e os impactos, al\u00e9m de um m\u00e9todo para calcular o risco e definir o n\u00edvel aceit\u00e1vel desse risco. As rela\u00e7\u00f5es devem conter pelo menos 30 vulnerabilidades e 30 amea\u00e7as. Algumas apresentam at\u00e9 algumas centenas de cada, mas provavelmente isso \u00e9 um exagero para uma empresa pequena.<\/p>\n

O processo n\u00e3o \u00e9 nada complicado, aqui est\u00e3o os passos b\u00e1sicos para avalia\u00e7\u00e3o e tratamento:<\/p>\n

    \n
  1. definir e documentar a metodologia (incluindo as rela\u00e7\u00f5es), distribu\u00ed-la a todos os propriet\u00e1rios de ativos na organiza\u00e7\u00e3o<\/li>\n
  2. organizar entrevistas com os propriet\u00e1rios de ativos durante a qual eles dever\u00e3o identificar seus ativos e vulnerabilidades e amea\u00e7as relacionadas; na segunda etapa, pe\u00e7a a eles para avaliar a probabilidade e o impacto, caso ocorram riscos espec\u00edficos<\/li>\n
  3. unir os dados em uma \u00fanica planilha, calcular os riscos e indicar quais riscos n\u00e3o s\u00e3o aceit\u00e1veis<\/li>\n
  4. para cada risco que n\u00e3o for aceit\u00e1vel, escolher um ou mais controles do Anexo A da norma ISO 27001 e calcular qual seria o novo n\u00edvel de risco ap\u00f3s esses controles serem implementados<\/li>\n<\/ol>\n

    Para concluir: avalia\u00e7\u00e3o e tratamento de riscos realmente s\u00e3o a base da seguran\u00e7a da informa\u00e7\u00e3o\/ISO 27001, mas isso n\u00e3o significa que precisam ser complicados. \u00c9 poss\u00edvel fazer isso de forma simples, e seu bom senso \u00e9 o que realmente importa.<\/p>\n

    Para saber mais, fa\u00e7a o download gratuito deste <\/em>Diagram of ISO 27001:2013 Risk Assessment and Treatment process<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

    J\u00e1 vi muitas pequenas empresas (com at\u00e9 50 funcion\u00e1rios) tentarem utilizar ferramentas de avalia\u00e7\u00e3o de riscos como parte de seu projeto de implementa\u00e7\u00e3o da norma ISO 27001. O resultado \u00e9 que, normalmente, isso demanda muito tempo e dinheiro e traz poucos benef\u00edcios. Em primeiro lugar, o que realmente significa avalia\u00e7\u00e3o de riscos e qual seu …<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[],"class_list":["post-4875","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4875","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4875"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4875\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4875"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4875"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4875"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}