©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
ISO 27005

ISO 27005: Guia para a Gestão de Riscos de Segurança da Informação

Equipe EcoTrust

8 min read
ISO 27005: Guia para a Gestão de Riscos de Segurança da Informação

Para acompanhar o avanço paralelo da tecnologia e do cibercrime, as normas e diretrizes na área também precisam passar por mudanças e atualizações periódicas e é por isso que foi publicada recentemente a nova norma revisada ISO 27005, que é focada na segurança da informação, segurança cibernética e proteção à privacidade.

A ISO 27005 traz orientações para gestão de riscos muito relevantes quando se pensa na evolução das normas e padrões internacionais ligados à cibersegurança.

As novas diretrizes chegam justamente em um momento de grandes mudanças no ambiente tecnológico das empresas devido às ameaças digitais às quais elas estão expostas.

A nova norma internacional é denominada ISO 27005/2022 e substitui a versão anterior, que foi publicada no Brasil como ISO 27005/2019.

Ela pode ser aplicada a todas as organizações, independentemente de seu porte ou segmento de negócios.

A nova ISO 27005 enfatiza as orientações relacionadas à implementação dos requisitos da ISO 27001 e conta com uma abordagem voltada para a gestão de riscos.

Ela pode ajudar os gestores a lidarem mais especificamente com a avaliação e o tratamento de riscos ligados à segurança da informação.

As novas orientações também seguem as diretrizes e terminologias presentes na ISO 31000, que também é voltada para a gestão de riscos.

A diferença entre as duas normas é que a ISO 31000 é mais genérica e pode ser aplicada a todos os tipos de riscos.

A ISO 27005, por outro lado, tem o propósito de ajudar os gestores especificamente com os riscos de segurança da informação.

Assim, a manutenção de uma linguagem comum e do alinhamento com uma estrutura de gestão de riscos organizacionais auxilia no estabelecimento de ações ligadas ao grande desafio de proteger a empresa dos incidentes de segurança.

Podemos afirmar, neste contexto, que o alinhamento à ISO 31000 e à ISO 27001 corresponde a uma das principais mudanças da nova ISO 27005.

Ela traz o conceito de cenário de risco e propõe uma nova abordagem baseada em eventos para a identificação dos riscos, que pode ser contraposta à abordagem baseada em ativos.

Além disso, a ISO 27005/2022 conta com apenas um anexo composto a partir da reestruturação e revisão do conteúdo dos anexos da versão anterior.

Nos próximos tópicos, vamos abordar as principais diretrizes e mudanças da nova ISO 27005/2022. Continue a leitura.

Sobre a importância da ISO 27005

Após a transformação digital e diante do avanço desenfreado do cibercrime, as empresas de todos os tamanhos e segmentos estão preocupadas com a privacidade e a segurança de suas informações.

As ameaças e riscos cibernéticos podem ocasionar paralisações das atividades organizacionais, violações de dados e de conformidade, perda da reputação do negócio e perdas financeiras.

Por isso, a adoção de uma abordagem estruturada e robusta para o gerenciamento dos riscos de segurança da informação tornou-se uma necessidade urgente.

Nesse sentido, a ISO 27005 é um padrão direcionador importante, com orientações para a promoção do gerenciamento de riscos de cibersegurança.

As diretrizes que ela abrange ajudam a estabelecer e melhorar continuamente a sua estratégia de resiliência cibernética.

Além disso, se sua empresa já vinha implementando os requisitos da ISO 27001, com a incorporação da nova ISO 27005 esse processo torna-se mais preciso em relação especificamente à avaliação e ao tratamento de riscos de segurança da informação.

Quatro anos após a publicação da versão anterior, a ISO 27005/2022 engloba diretrizes concernentes ao contexto atualmente vivido pelas empresas em relação aos riscos digitais.

Essa atualidade associada ao alinhamento com outras diretrizes corresponde ao principal argumento para a implementação da ISO 27005/2022 em sua empresa.

Quais são as principais mudanças presentes na ISO 27005/2022?

Vamos ver especificamente em seguida quais são as principais mudanças da ISO 27005/2022 em relação à versão anterior.

  • Título: a mudança no título é uma das mais facilmente percebidas na nova versão da norma. A versão de 2018 tinha o seguinte título: “ISO/IEC 27005:2018 Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação”. Já o título da nova versão é: “ISO/IEC 27005:2022 Segurança da informação, segurança cibernética e proteção da privacidade - Orientação sobre gerenciamento de riscos de segurança da informação”;
  • Alinhamento com outras normas: o conteúdo da ISO 27005 está alinhado com o da ISO 27001 e com o da ISO 31000;
  • Atualização da linguagem: a linguagem utilizada foi atualizada para promover a consistência com a terminologia da ISO 31000/2018. Como exemplo podemos citar o termo “impacto” foi substituído pelo termo “consequência”;
  • Reorganização da estrutura das cláusulas: o reordenamento ocorreu para que a ISO 27005 mantenha-se de acordo com a estrutura da ISO 27001;
  • Adição de um critério de gatilho: a estrutura de todas as cláusulas passa a contar um gatilho para o início de uma atividade, a conclusão de um estágio da ação e o início das atualizações na estrutura;
  • Conceito de cenário de risco: esse conceito substitui a ideia de “cenário de incidente” e corresponde à sequência ou combinação de eventos que levam da causa inicial à consequência indesejada;
  • Descrição de um processo de gerenciamento de riscos com cinco etapas, sendo elas o estabelecimento de contexto, identificação de riscos, análise de riscos, avaliação de riscos e tratamento de riscos;
  • Exclusão da cláusula 10: essa cláusula se referia à aceitação de risco de segurança da informação;
  • Acréscimo da cláusula 8.6.3, que se refere à aceitação do risco residual de segurança da informação, que simplifica a aceitação do risco colocando-a em um ponto de decisão considerado após o tratamento do risco;
  • Adição de um novo componente ao processo de gerenciamento de riscos de cibersegurança, que especifica as diretrizes de documentação detalhadas nas cláusulas 10.4.2 e 10.4.3;
  • Redução do detalhamento do processo de identificação de riscos: a versão anterior da ISO 27005 especificava a identificação de ativos, das ameaças, dos controles existentes, das vulnerabilidades e das consequências;
  • Descrição da identificação de riscos por meio de duas possibilidades de abordagem: a baseada em eventos (concentrada no cenário geral de ameaças e apropriada para análises macroscópicas) e a baseada em ativos (mais específica);
  • Adição da técnica semi-quantitativa para a análise de riscos, que se junta às técnicas qualitativa e quantitativa já existentes anteriormente;
  • Acréscimo da cláusula A.2.7, referente ao monitoramento de eventos relacionados a riscos, que se refere à identificação de fatores que podem impactar um cenário de risco de segurança da informação;
  • Fornecimento de diretrizes para a produção de um SoA (declaração de aplicabilidade), com a descrição de todos os controles planejados para serem implementados para o tratamento de riscos, a justificativa para a implementação dos controles selecionados e os motivos para excluir os outros controles da ISO/IEC 27001/2022;
  • Introdução da cláusula 10, com orientações de implementação para algumas das principais cláusulas da ISO/IEC 27001/2022 que influenciam o gerenciamento de riscos de segurança da informação;
  • Reestruturação dos anexos e reunião do conteúdo em apenas um, o anexo A, que conta com diversas subdivisões.

Participação brasileira na revisão da ISO 27005

A ISO é uma organização internacional para a padronização de diretrizes e isso significa que a elaboração e atualização de suas normas é um trabalho conjunto que envolve especialistas de diversos países.

Sendo assim, organismos nacionais que são membros da ISO participam do desenvolvimento dessas normas internacionais por meio de comitês técnicos.

No Brasil, a instituição credenciada é a ABNT (Associação Brasileira de Normas Técnicas), que contou com um grupo de trabalho participando ativamente da revisão da ISO 27005.

Essa informação é relevante para empresas que ainda não contam com uma estratégia bem elaborada de segurança cibernética e acreditam que o seguimento de normas internacionais é uma realidade muito distante para organizações brasileiras.

O objetivo de normas como a ISO 27005 é justamente criar um padrão para que empresas de todos os portes, segmentos e locais possam direcionar seus esforços de maneira efetiva.

As alterações da ISO 27005/2022 afetam os certificados obtidos anteriormente?

Como é perceptível a partir da análise das mudanças presentes na nova versão da ISO 27005, as diretrizes previstas anteriormente foram apenas atualizadas.

Ou seja, não houve mudanças radicais na norma, apenas uma atualização e um alinhamento para torná-la ainda mais eficaz quando implementada nas empresas.

Essas mudanças acontecem de tempos em tempos e são necessárias por conta da alteração do cenário referente às demandas de segurança cibernética nas empresas.

Sendo assim, se a sua empresa possui ou está em vias de obter um certificado a partir das regras presentes na versão anterior da ISO 27005, sua certificação não será afetada pelas mudanças.

Mas se sua empresa ainda não conta com o certificado e você pretende obtê-lo, as diretrizes a serem seguidas devem se basear na ISO 27005/2022.

Sobre o alinhamento da ISO 27005 com outras normas ISO

Como vimos, o alinhamento com as normas ISO 27001 e ISO 31000 é uma das principais mudanças presentes na nova versão da ISO 27005.

Essa aproximação é importante para que, ao buscar seguir e obter o certificado das diferentes normas cujos assuntos podem se entrecruzar, a empresa não se depare com dúvidas, contradições, termos que podem não ser equivalentes, entre outras possibilidades que podem dificultar o alcance do objetivo de criar uma estrutura robusta e eficiente de cibersegurança.

Além disso, como a ISO corresponde a uma instituição que tem como objetivo a padronização de processos, quanto maiores os alinhamentos, mais facilmente essa meta será atingida.

Isso facilita a implementação de estratégias de segurança cibernética em empresas que ainda não possuem experiência na área.

A ISO 27005 faz parte da família ISO 27000, uma das normas mais abrangentes e aplicadas em empresas de todos os lugares do mundo.

Essa família também engloba a ISO 27001, que fornece os requisitos para um sistema de gerenciamento de segurança da informação.

Sendo assim, a ISO 27005 naturalmente está relacionada à ISO 27001, ainda que a princípio não tenha havido um alinhamento detalhado.

Como sabemos, a ISO 27005 também é utilizada pelas organizações para a implementação de sistemas de gerenciamento de segurança da informação, já que ela ajuda no atendimento dos requisitos da ISO 27001 ligados ao gerenciamento de riscos de segurança da informação.

Esses requisitos estão presentes nas cláusulas “6.1 Ações para lidar com riscos e oportunidades”, “8.2 Avaliação do risco de segurança da informação”, e “8.3 Tratamento do risco de segurança da informação”.

É perceptível portanto como as duas normas se interrelacionam e como podem ser abordadas conjuntamente dentro de uma empresa que busca aprimorar sua estratégia de cibersegurança.

A outra norma à qual a ISO 27005 se alinha em sua nova versão é a ISO 31000, que também auxilia a empresa quando o assunto são os riscos corridos por ela.

A ISO 31000 oferece princípios, um processo e uma estrutura para gerenciar riscos enfrentados por organizações em qualquer setor, independentemente de seu tamanho ou complexidade.

Mesmo que os dois padrões abordem o gerenciamento de riscos, a ISO 27005 cobre especificamente o gerenciamento de riscos de segurança da informação.

A ISO 31000 expõe um processo geral para gerenciar riscos de todos os tipos, incluindo também os de cibersegurança.

Assim, as duas normas também estão interligadas e podem ser abordadas conjuntamente em uma empresa.

As diretrizes e a terminologia da ISO 27005 agora estão em harmonia com a ISO 31000. Dessa maneira, as empresas não encontrarão dificuldades ao utilizar ambas conjuntamente.

Essa união ajuda no atingimento dos objetivos ligados ao gerenciamento de riscos de segurança da informação e também de riscos em outras áreas.

Em outras palavras, os diferentes tipos de riscos não precisam ser tomados de maneira isolada dentro de uma empresa.

Como a EcoTrust pode ajudar na implementação dos requisitos da ISO 27005?

A EcoTrust é uma plataforma de cibersegurança baseada nas melhores práticas globais, incluindo as normas ISO.

Isso significa que, ao contar com esse apoio tecnológico, sua empresa pode implementar as normas da ISO 27005 de maneira muito mais direcionada e fluida.

Trata-se de uma plataforma de inteligência de riscos cibernéticos que potencializa a atuação das equipes de segurança cibernética nas empresas a partir das informações relevantes sobre as vulnerabilidades encontradas.

Suas integrações de entrada concentram fontes adicionais de informação sobre essas vulnerabilidades.

Já as integrações de saída facilitam a disseminação dos chamados para a empresa, a partir do Slack, WhatsApp, Twilio e outros canais.

Enfim, são muitos os benefícios da utilização da plataforma, que também incluem a personalização de acordo com as especificidades da sua empresa.Que tal agendar uma demonstração e começar o quanto antes a implementar a ISO 27005 para contar com uma estratégia madura de cibersegurança? Acesse nosso site e até o próximo artigo!

Inscreva-se para mais como este.

Enter your email
Subscribe