Ameaças podem ser intencionais ou acidentais e podem se relacionar tanto ao uso e aplicação de sistemas de TI como aos seus aspectos físicos e ambientais. Essas ameaças podem assumir diversas formas desde furto de mídia, documentos e equipamentos, forjamento de direitos, espionagem a distância, escuta não-autorizada, até fenômenos climáticos e sísmicos, incêndio, inundação e radiação eletromagnética.

As conseqüências dessas ameaças podem ser traduzidas por vários impactos nos negócios das organizações como, por exemplo, perdas financeiras, paralisacão de serviços essenciais, perda de confiança dos clientes, pane no fornecimento de energia e falhas de telecomunicações.

Um risco, no contexto da nova ISO 27005:2008, é a combinação das conseqüências que se seguirão à ocorrência de um evento indesejado e da probabilidade de ocorrência desse evento. A avaliação de riscos quantifica ou descreve qualitativamente um risco e permite aos gestores priorizar os riscos de acordo com a sua severidade ou com outros critérios estabelecidos pela organização.

A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de segurança da informação (SI) e dá sustentação aos conceitos especificados na ISO 27001:2005, a norma de requisitos de sistemas de gestão da SI, além de auxiliar sobremaneira na implementação e certificação de tais sistemas de gestão.

De acordo com a nova norma, o processo de gestão de riscos de SI é composto pelas seguintes atividades:

Os especialistas do QSP/NGR - Núcleo de Gestão de Riscos desenvolveram uma metodologia própria para a implementação nas organizações da ISO 27005, totalmente flexível e adaptável, por exemplo, ao escopo do sistema de gestão da segurança da informação (SGSI) da empresa ou ao seu contexto interno e externo.

A ISO 27001, a exemplo de outras normas de sistemas de gestão, também adota o modelo PDCA (Plan, Do, Check, Act), o qual é aplicado para estruturar todos os processos do SGSI. Agora cabe a pergunta: como tais processos do SGSI se alinham ao processo de gestão de riscos recomendado pela ISO 27005? A tabela a seguir responde rapidamente a essa questão...

A série de normas ISO 27000 foi reservada pela ISO - Organização Internacional de Normalização - exclusivamente para assuntos de segurança da informação. Isso se relaciona, naturalmente, a diversas outras áreas, como as séries ISO 9000 (gestão da qualidade) e ISO 14000 (gestão ambiental).

A série ISO 27000 está sendo povoada por várias normas individuais, algumas delas bastante conhecidas e já publicadas pela ISO. Outras serão definidas, desenvolvidas e publicadas paulatinamente nos próximos meses e anos. A matriz a seguir reflete a posição atual das principais normas operacionais da série 27000.

Uma última pergunta: qual a relação entre a ISO 27005 e a futura ISO 31000 - Risk management - Principles and guidelines on implementation?

A futura ISO 31000, que será publicada em 2009 pela ISO (e no Brasil pela ABNT), será a norma "guarda-chuva", que fornecerá os princípios, o framework e o processo geral de Gestão de Riscos. Por se tratar de uma norma de alto nível, a ISO 31000 não concorrerá com os padrões já existentes, e permitirá o alinhamento com outras normas específicas, como é o caso, por exemplo, da ISO 27005...

A norma brasileira ABNT NBR ISO/IEC 27005:2008 pode ser adquirida através do site: www.abnt.org.br.

(*) Francesco De Cicco é engenheiro, especializado em Gestão de Riscos, diretor executivo do QSP - Centro da Qualidade, Segurança e Produtividade - e coordenador do NGR - Núcleo de Gestão de Riscos. Contatos: qsp@qsp.org.br e (11) 3704-3200.

 Leia também:

• Curso: Capacitação em Gestão de Riscos e Auditoria Baseada em Riscos
  
  
• Manual: Gestão de Riscos - A norma AS/NZS 4360:2004
  
  
• Serviço: Implantação da ISO 27001:2005 de Gestão da Segurança da Informação
  
  
• Texto: O que é Auditoria Baseada em Riscos (ABR)?
  
  
• Texto: Planejamento de Contingências (Planos para Crises, Emergências, Continuidade de Negócios e Recuperação)
  
  
• Handbook: A Practitioners Guide to Business Continuity Management