Simplificar a avaliação de risco das PMEs

As pequenas e médias organizações nem sempre precisam de ferramentas sofisticadas para realizarem uma adequada avaliação de riscos. Tudo o que precisam é de um Excel, bons catálogos de vulnerabilidades e ameaças e uma boa metodologia de avaliação de risco que sobreleve a accountability.

O problema das soluções mais complexas é que, geralmente, exigem muito mais tempo, esforço e dinheiro. É preciso que esse adicional seja compensador.

Compreenda-se que simplificar não é diminuir. A avaliação de risco e a gestão do risco são a base quer da proteção de dados quer da segurança da informação / ISO 27001, mas isso não significa que a gestão do risco tenha que ser complexa e complicada. Nem sempre a utilização de uma aplicação de gestão de risco é a melhor solução. Em alguns casos, pode realizar-se uma avaliação do risco de forma simples, com a vantagem adicional de facilitar a compreensão e, por essa via, contribuir para uma maior adesão das pessoas envolvidas.

Não esquecer o objetivo

O propósito da avaliação de risco é identificar o risco e descobrir que controles são necessários para mitigar o risco. O processo de tratamento de risco consiste na seleção dos controles. Na ISO 27001 os controlos são escolhidos a partir do Anexo A que especifica 114 controles. Para a Proteção de Dados podemos recorrer aos controlos resultantes da BS 10012:2017.

Entenda-se que uma vulnerabilidade é uma debilidade num ativo, processo, controle, etc., que pode ser explorada por uma ameaça. Uma ameaça é qualquer ação que possa causar danos a um sistema ou organização. Um exemplo de vulnerabilidade é a não utilização de software antivírus; a respetiva ameaça consiste na existência de vírus.

A imagem em baixo (aqui) ilustra uma pratica orientada pela avaliação de risco, tal como recomendada pelo RGPD.

O processo é simples

Sigam-se os seguintes passos:

  1. Definir e documentar a metodologia (incluindo os catálogos), distribuí-la a todos os responsáveis pelos ativos da organização
  2. Organizar uma primeira ronda de entrevistas com todos os responsáveis de ativos durante os quais eles devem identificar os seus ativos, as vulnerabilidades e as ameaças; numa segunda ronda de entrevistas, é-lhes pedido que avaliem a probabilidade e o impacto, para os riscos que foram identificados
  3. Consolidar os dados num Excel, calculando os riscos, através de um RPN (Risk Priority Number) resultante da multiplicação da probabilidade pelo impacto. Identificar os riscos que excedem o RPN máximo aceite pela organização.
  4. Para cada risco que não seja aceitável, escolher as medidas de mitigação ou controles do Anexo A da ISO 27001 ou da BS 10012 e calcular qual seria o novo nível de risco após a implementação desses controles.

O trabalho verdadeiramente difícil consiste em identificar os riscos, as vulnerabilidades, as ameaças, avaliar a probabilidade e o impacto. Para este trabalho não há software que resolva o problema. É um trabalho que só os responsáveis pelos ativos, através do seu conhecimento, experiência e pesquisa podem realizar. O diálogo com responsáveis de ativos de outras organizações ou o recurso a um consultor ou conselho consultivo podem ser uma preciosa ajuda. É fundamental que este trabalho seja realizado de forma rigorosa, bem informada e com método que assegure que as conclusões são racionais.

Há que ter o cuidado de fugir à subjetividade, procurando, tal como referido no considerando 76 do RGPD que os riscos sejam aferidos com base numa avaliação objetiva.

Metodologia e catálogos

O primeiro passo deste sistema simplificado é a definição e documentação da metodologia e dos catálogos.

Uma boa metodologia deve conter um método para identificar ativos, ameaças e vulnerabilidades, tabelas para marcar a probabilidade e os impactos, um método para calcular o risco e definir o nível aceitável de risco. Os catálogos devem conter pelo menos 30 vulnerabilidades e 30 ameaças. alguns contêm até algumas centenas de cada um, mas isso provavelmente, é demasiado para uma PME.

Um bom ponto de partida para a construção da metodologia será a ISO 31000 Gestão do Risco, Princípios e linhas de orientação. 

Por considerar que a accountability é a pedra de toque de qualquer sistema de gestão destaco, na norma da ISO 31000, o ponto 4.3.3 Responsabilização, que diz o seguinte:

“A organização deverá assegurar que existe responsabilização, autoridade e competência apropriada para gerir o risco, incluindo implementar e manter o processo de gestão do risco e assegurar a adequação, a eficácia e a eficiência de quaisquer controlos. Isto, poderá ser facilitado:

  • Identificando os donos do risco que têm a responsabilização e a autoridade para gerir riscos;
  • Identificando quem é responsabilizável pela definição, implementação e manutenção da estrutura para gerir o risco;
  • Identificando outras responsabilidades de pessoas a todos os níveis da organização no processo da gestão do risco;
  • Estabelecendo a medição do desempenho e processos de reporte interno e/ou externo e de transmissão a nível superior;
  • Assegurando níveis de reconhecimento apropriados.”

Quanto ao catálogo de ameaças e vulnerabilidades poderá encontrar-se na Internet (gratuitos ou por compra) ou usar o Anexo B da ISO 29134:2017 – Guidelines for privacy impact assessment. A metodologia deverá definir a forma e responsabilidades associadas ao processo de definição e atualização do catálogo de ameaças e vulnerabilidades.

A metodologia também deve especificar a forma como é realizado o planeamento do tratamento dos riscos, bem como a documentação desse processo.

Em baixo, um exemplo de sistematização do tratamento dos riscos.

Tudo isso deve levar consideravelmente menos tempo e dinheiro do que comprar uma ferramenta de avaliação de risco, aprender a usá-la, implementá-la e mantê-la.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)