Pular para o conteúdo principal

ISO 27005:2023

A ISO/IEC 27005 serve como guia para o gerenciamento de riscos de segurança da informação.

Ela não define requisitos, mas oferece orientações práticas para implementar um processo eficaz de identificação, análise, avaliação, tratamento, monitoramento e comunicação de riscos no contexto de segurança da informação.

Download do documento

Escopo

Fornece orientações para ajudar as organizações a:

— Cumprir os requisitos da ABNT NBR ISO/IEC 27001 em relação às ações para abordar riscos de segurança da informação.
— Realizar atividades de gestão de riscos de segurança da informação, especificamente avaliação e tratamento de riscos de segurança da informação.

Conceitos

Risco é definido como o efeito da incerteza sobre os objetivos relacionados à segurança da informação, segurança cibernética e proteção de dados pessoais.

Cenário de risco é definido como uma sequência ou combinação de eventos que levam da causa inicial à consequência indesejada.

Fonte de Risco (Risk Source) é o elemento que, sozinho ou combinado com outros, tem o potencial de causar um risco.

Exemplos:

  • Um hacker (fonte de risco humana),
  • Uma falha de hardware,
  • Uma catástrofe natural,
  • Uma vulnerabilidade não corrigida em um sistema.

💡 Dica:

A fonte de risco é a origem do problema, mas não é o risco em si.

Se a questão disser que "a falta de controle de acesso pode causar um acesso indevido a dados confidenciais", a fonte de risco é a falta de controle de acesso.

Critérios de Risco (Risk Criteria) são termos de referência contra os quais a significância de um risco é avaliada.

São as regras da empresa para dizer se um risco é aceitável, tolerável ou inaceitável.

Podem envolver:

  • Grau de impacto tolerado,
  • Nível de probabilidade aceitável,
  • Legislação aplicável,
  • Expectativas das partes interessadas.

Exemplo:

Uma empresa define que riscos com impacto financeiro acima de R$ 1 milhão e probabilidade alta são inaceitáveis. Isso é um critério de risco.

TermoO que éDica rápida
Fonte de riscoOrigem potencial de um riscoQuem ou o que pode causar dano
Critérios de riscoRegras para avaliar o riscoLimites e condições do risco

Apetite pelo risco

Quantidade e tipo de riscos que uma organização está preparada para buscar ou reter.

Ameaça

Causa potencial de um incidente de segurança da informação que pode resultar em danos a um sistema ou prejuízos a uma organização.

Risco residual

Risco que permanece após o tratamento do risco.

Exemplo: A galera do SETIC implementa o WAF para barrar ataques ao site do https://www.tjpa.jus.br/PortalExterno, mas mesmo assim ainda tem risco de um ataque passar, esse é o risco residual!