{"id":9120,"date":"2016-05-19T08:43:19","date_gmt":"2016-05-19T08:43:19","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=9120"},"modified":"2022-12-29T07:49:24","modified_gmt":"2022-12-29T07:49:24","slug":"4-opcoes-de-mitigacao-no-tratamento-de-riscos-de-acordo-com-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2016\/05\/19\/4-opcoes-de-mitigacao-no-tratamento-de-riscos-de-acordo-com-iso-27001\/","title":{"rendered":"4 op\u00e7\u00f5es de mitiga\u00e7\u00e3o no tratamento de riscos de acordo com a ISO 27001"},"content":{"rendered":"<p>Muitas pessoas pensam que a avalia\u00e7\u00e3o de riscos \u00e9 a parte mais dif\u00edcil da implementa\u00e7\u00e3o da <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>\u00a0\u2013 verdade, a avalia\u00e7\u00e3o de riscos \u00e9 provavelmente a mais complexa, mas o tratamento de riscos \u00e9 definitivamente a mais estrat\u00e9gica e mais onerosa.<\/p>\n<p>O prop\u00f3sito do tratamento de riscos parece bastante simples: controlar os riscos identificados durante a avalia\u00e7\u00e3o de riscos; em muitos casos isto significaria diminuir o risco pela redu\u00e7\u00e3o da probabilidade de um incidente (e.g., pelo uso de materiais de constru\u00e7\u00e3o n\u00e3o inflam\u00e1veis), e\/ou reduzir o impacto em ativos (e.g., pelo uso de sistemas autom\u00e1ticos de supress\u00e3o de inc\u00eandio). Durante o tratamento de risco as organiza\u00e7\u00f5es deveriam focar naqueles riscos que n\u00e3o s\u00e3o aceit\u00e1veis; de outra forma, seria dif\u00edcil definir prioridade e financiar a mitiga\u00e7\u00e3o de todos os riscos identificados.<\/p>\n<p>Veja tamb\u00e9m: <a href=\"\/27001academy\/pt-br\/knowledgebase\/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas\/\">Avalia\u00e7\u00e3o e tratamento de riscos segundo a ISO 27001 \u2013 6 etapas b\u00e1sicas<\/a>.<\/p>\n<h2><strong>As 4 op\u00e7\u00f5es de tratamento mais comuns<\/strong><\/h2>\n<p>Uma vez que voc\u00ea tenha uma lista de riscos inaceit\u00e1veis, voc\u00ea tem que ir de um por um e decidir como trata-los \u2013 geralmente, estas op\u00e7\u00f5es s\u00e3o aplicadas:<\/p>\n<ul>\n<li><strong>Diminuir o risco<\/strong> \u2013 esta op\u00e7\u00e3o \u00e9 a mais comum, e ela inclui a implementa\u00e7\u00e3o de salvaguardas (controles) \u2013 como sistemas de supress\u00e3o de inc\u00eandio, etc.<\/li>\n<li><strong>Evitar o risco<\/strong> \u2013 parar de realizar certas tarefas ou processos se eles incorrem em riscos que s\u00e3o simplesmente muito grandes para mitigar com quaisquer outras op\u00e7\u00f5es \u2013 e.g., voc\u00ea pode decidir banir o uso de laptops fora das instala\u00e7\u00f5es da empresa se o risco de acesso n\u00e3o autorizado para estes laptops \u00e9 muito alto (porque, e.g., tais comprometimentos poderiam paralisar completamente a infraestrutura de TI que voc\u00ea est\u00e1 usando).<\/li>\n<li><strong>Compartilhar o risco<\/strong> \u2013 isto significa voc\u00ea transferir o risco para outra parte \u2013 e.g., voc\u00ea compra uma ap\u00f3lice de seguro para o seu pr\u00e9dio contra inc\u00eandio, e assim voc\u00ea transfere parte do seu risco financeiro para uma companhia de seguro. Infelizmente, esta op\u00e7\u00e3o n\u00e3o tem qualquer influ\u00eancia no incidente em si, ent\u00e3o a melhor estrat\u00e9gia \u00e9 usar esta op\u00e7\u00e3o em conjunto com op\u00e7\u00f5es 1) e 2).<\/li>\n<li><strong>Reter o risco<\/strong> \u2013 esta \u00e9 a op\u00e7\u00e3o menos desejada, e significa que sua organiza\u00e7\u00e3o aceita o risco sem fazer nada a respeito. Esta op\u00e7\u00e3o deveria ser usada apenas se os custos de mitiga\u00e7\u00e3o forem maiores do que o dano que um incidente poderia causar.<\/li>\n<\/ul>\n<p>Diminuir os riscos \u00e9 a op\u00e7\u00e3o mais comum para o tratamento de riscos, e para este prop\u00f3sito os controles do Anexo A da ISO 27001 s\u00e3o usados (e quaisquer outros controles que uma organiza\u00e7\u00e3o entende como apropriado). Veja aqui como os controles s\u00e3o organizados:\u00a0<a href=\"\/27001academy\/pt-br\/blog\/2016\/05\/19\/4-opcoes-de-mitigacao-no-tratamento-de-riscos-de-acordo-com-iso-27001\/\">Vis\u00e3o geral do Anexo A da ISO 27001:2013<\/a>.<\/p>\n<h2><strong>Antes de voc\u00ea iniciar o tratamento de riscos<\/strong><\/h2>\n<p>Antes de iniciar o processo de <a href=\"\/27001academy\/pt-br\/documentation\/anexo-3-relatorio-de-avaliacao-de-riscos\/\" target=\"_blank\" rel=\"noopener\">tratamento de risco<\/a>, voc\u00ea deveria estar ciente das principais entradas: estas s\u00e3o a Metodologia de Gest\u00e3o de Riscos\u00a0e riscos inaceit\u00e1veis da avalia\u00e7\u00e3o de riscos; contudo, uma entrada adicional tamb\u00e9m deveria ser o or\u00e7amento dispon\u00edvel para o ano corrente, porque muito frequentemente a mitiga\u00e7\u00e3o ir\u00e1 requerer um investimento.<\/p>\n<p>Quando da sele\u00e7\u00e3o de novos controles, basicamente existem tr\u00eas tipos de controles:<\/p>\n<ol>\n<li><strong>Definir novas regras: <\/strong>regras s\u00e3o documentadas atrav\u00e9s de planos, pol\u00edticas, procedimentos, instru\u00e7\u00f5es, etc., embora voc\u00ea n\u00e3o tenha que documentar alguns processos menos complexos.<\/li>\n<li><strong>Implementar novas tecnologias: <\/strong>por exemplo, sistemas de backup, locais de recupera\u00e7\u00e3o de desastre para data centers alternativos, etc.<\/li>\n<li><strong>Mudar a estrutura organizacional:<\/strong> em alguns casos, voc\u00ea precisar\u00e1 introduzir uma nova fun\u00e7\u00e3o de trabalho, ou mudar as responsabilidades de uma posi\u00e7\u00e3o existente.<\/li>\n<\/ol>\n<h2><strong>Decidindo quais controles selecionar<\/strong><\/h2>\n<p>O tratamento de riscos \u00e9 uma etapa onde voc\u00ea normalmente n\u00e3o incluiria um grupo muito grande de pessoas \u2013 voc\u00ea ter\u00e1 que fazer sess\u00f5es de brainstorming sobre cada op\u00e7\u00e3o de tratamento com especialistas de sua organiza\u00e7\u00e3o como foco em certas \u00e1reas. Por exemplo, se o tratamento tem a ver com TI, voc\u00ea falar\u00e1 como a equipe de TI; se \u00e9 sobre novos treinamentos,\u00a0voc\u00ea falar\u00e1 como os recursos humanos, etc.<\/p>\n<p>Claro, a decis\u00e3o final sobre alguma nova op\u00e7\u00e3o de tratamento ir\u00e1 requerer uma decis\u00e3o do n\u00edvel de gest\u00e3o apropriado \u2013 algumas vezes o CISO ser\u00e1 capaz de tomar tais decis\u00f5es, algumas vezes ser\u00e1 sua equipe de projeto, algumas vezes voc\u00ea ter\u00e1 que ir para o chefe do departamento encarregado de uma \u00e1rea em particular (e.g., chefe do departamento legal se voc\u00ea quer solicitar cl\u00e1usulas adicionais nos contratos com seus parceiros), ou talvez o n\u00edvel executivo para investimentos maiores. Se voc\u00ea tem d\u00favidas com rela\u00e7\u00e3o a quem pode decidir sobre o qu\u00ea, consulte o patrocinador do seu projeto.<\/p>\n<p>O processo de tratamento de riscos \u00e9 muito frequentemente documentado de forma similar ao processo de <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/documentation\/metodologia-de-avaliacao-e-tratamento-de-riscos\/\" target=\"_blank\" rel=\"noopener\">avalia\u00e7\u00e3o de riscos<\/a>\u00a0\u2013 atrav\u00e9s de planilhas Excel\u00a0ou uma ferramenta, e finalmente, no Relat\u00f3rio de Tratamento de Riscos. Um exemplo de uma tabela de tratamento de riscos pode se parecer com algo igual a isto:<\/p>\n<table class=\"table\" cellspacing=\"2\" cellpadding=\"2\">\n<thead>\n<tr>\n<td style=\"width: 10%; text-align: center;\"><strong>Ativo<\/strong><\/td>\n<td style=\"width: 10%; text-align: center;\"><strong>Amea\u00e7a<\/strong><\/td>\n<td style=\"width: 20%; text-align: center;\"><strong>Vulnerabilidade<\/strong><\/td>\n<td style=\"width: 10%; text-align: center;\"><strong>Op\u00e7\u00e3o de tratamento<\/strong><\/td>\n<td style=\"width: 50%; text-align: center;\"><strong>Meios de implementa\u00e7\u00e3o<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Servidor<\/td>\n<td style=\"text-align: left;\">Inc\u00eandio<\/td>\n<td style=\"width: 25%;\">Aus\u00eancia de extintor de inc\u00eandio<\/td>\n<td style=\"width: 25%; text-align: left;\">1) Diminuir o risco + 2) Compartilhar o risco<\/td>\n<td style=\"width: 25%; text-align: left;\">Comprar extintor de inc\u00eandio + comprar ap\u00f3lice de seguro contra inc\u00eandio<\/td>\n<\/tr>\n<tr>\n<td>Laptop<\/td>\n<td style=\"text-align: left;\">Acesso por pessoas n\u00e3o autorizadas<\/td>\n<td style=\"width: 25%;\">Senha inadequada<\/td>\n<td style=\"width: 25%; text-align: left;\">1) Diminuir o risco<\/td>\n<td style=\"width: 25%; text-align: left;\">Elaborar Pol\u00edtica de Senha<\/td>\n<\/tr>\n<tr>\n<td>Administrador de sistema<\/td>\n<td style=\"text-align: left;\">Deixar a organiza\u00e7\u00e3o<\/td>\n<td style=\"width: 25%;\">Sem substituto<\/td>\n<td style=\"width: 25%; text-align: left;\">1) Diminuir o risco<\/td>\n<td style=\"width: 25%; text-align: left;\">Contratar segundo administrador de sistema que aprender\u00e1 tudo que o primeiro faz<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Se voc\u00ea escolher medir os <a href=\"\/27001academy\/pt-br\/documentation\/declaracao-de-aplicabilidade\/\" target=\"_blank\" rel=\"noopener\">riscos<\/a> residuais, isso deveria ser feito em conjunto com as pessoas respons\u00e1veis nos departamentos \u2013 voc\u00ea tem que mostrar a elas quais op\u00e7\u00f5es de tratamento voc\u00ea tem planejadas, e baseado nesta informa\u00e7\u00e3o, e usando as mesas escalas,\u00a0voc\u00ea tem que avaliar o risco residual para cada risco inaceit\u00e1vel identificado durante a avalia\u00e7\u00e3o de riscos. Assim, por exemplo, se voc\u00ea identificou uma consequ\u00eancia de n\u00edvel 4 e probabilidade de n\u00edvel 5 durante sua avalia\u00e7\u00e3o de riscos (o que significaria um risco de valor 9 pelo m\u00e9todo da adi\u00e7\u00e3o), seu risco residual pode ser 5 se voc\u00ea avaliou que a consequ\u00eancia baixaria para 3 e a probabilidade para 2 devido a, e.g., salvaguardas que voc\u00ea planejou implementar.<\/p>\n<h2><strong>Seja criativo!<\/strong><\/h2>\n<p>Ao considerar estas op\u00e7\u00f5es, e particularmente salvaguardas que envolvem um investimento em tecnologia, por favor tenha cuidado com o seguinte: muito frequentemente a primeira ideia que vem \u00e0 mente ser\u00e1 a mais onerosa \u2013 assim, pense bastante antes de comprar algum novo sistema caro. Algumas vezes existir\u00e3o alternativas que ser\u00e3o igualmente eficazes, mas com um custo menor. Da mesma forma, esteja ciente de que muitos dos riscos existem por conta do comportamento humano, n\u00e3o por causa das m\u00e1quinas \u2013 assim, \u00e9 question\u00e1vel se uma m\u00e1quina \u00e9 a solu\u00e7\u00e3o para tal tipo de problema.<\/p>\n<p>Em outras palavras, aqui \u00e9 onde voc\u00ea precisa ser criativo \u2013 voc\u00ea precisa imaginar como diminuir os riscos com o m\u00ednimo de investimento. Seria mais f\u00e1cil se o seu or\u00e7amento fosse ilimitado, mas isso nunca vai acontecer. E, infelizmente tenho que lhe contar isso, sua gest\u00e3o est\u00e1 certa \u2013 \u00e9 poss\u00edvel atingir os mesmos resultados com menos dinheiro \u2013 voc\u00ea apenas precisa ser esperto o suficiente para encontrar uma solu\u00e7\u00e3o.<\/p>\n<p><em>Este artigo \u00e9 um trecho do novo livro<\/em>\u00a0\u00a0<strong>Secure &amp; Simple:<\/strong> <strong>A Small-Business Guide to Implementing ISO 27001 On Your Own<\/strong>.\u00a0<span id=\"hs-cta-wrapper-93545c06-4e4f-456b-81bf-42b4639a38aa\" class=\"hs-cta-wrapper\"><span id=\"hs-cta-93545c06-4e4f-456b-81bf-42b4639a38aa\" class=\"hs-cta-node hs-cta-93545c06-4e4f-456b-81bf-42b4639a38aa\"><a href=\"https:\/\/cta-redirect.hubspot.com\/cta\/redirect\/1983423\/93545c06-4e4f-456b-81bf-42b4639a38aa\" target=\"_blank\" rel=\"noopener\">Clique aqui para ver quais outros t\u00f3picos s\u00e3o abordados\u2026<\/a><\/span><\/span><br \/>\n<!-- end HubSpot Call-to-Action Code --><\/p>\n<p>N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Muitas pessoas pensam que a avalia\u00e7\u00e3o de riscos \u00e9 a parte mais dif\u00edcil da implementa\u00e7\u00e3o da ISO 27001\u00a0\u2013 verdade, a avalia\u00e7\u00e3o de riscos \u00e9 provavelmente a mais complexa, mas o tratamento de riscos \u00e9 definitivamente a mais estrat\u00e9gica e mais onerosa. O prop\u00f3sito do tratamento de riscos parece bastante simples: controlar os riscos identificados durante &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[],"class_list":["post-9120","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/9120","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=9120"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/9120\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=9120"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=9120"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=9120"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}