Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança
Abstract
Nos últimos anos, cada vez mais novas ameaças e vulnerabilidades surgem comprometendo a
segurança das informações em sistemas de Tecnologia da Informação e Comunicações (TIC),
e muitas organizações encontram-se despreparadas para lidar com os riscos de segurança da
informação, tornando-as mais vulneráveis às ameaças, e os impactos negativos causados pelos
incidentes de segurança tendem a ser mais frequentes. A implantação de uma gestão de riscos
de segurança da informação baseada no conjunto das melhores práticas é fundamental, porém
ainda um desafio para a maioria das empresas. Este trabalho propõe uma metodologia de
gestão de riscos baseada na norma NBR ISO/IEC 27005:2008, que apresenta uma sequência
de atividades e uma série de diretrizes e objetivos que devem ser alcançados para que o
gerenciamento dos riscos seja efetivo. Como na maioria das normas e modelos de referência,
elas não descrevem como as atividades devem ser implementadas, o que acaba dificultando a
sua adoção por organizações menos experientes em processos de segurança. A reutilização de
soluções já testadas e consolidadas para resolver problemas recorrentes de segurança pode
auxiliar na garantia de utilização de melhores práticas. Estas soluções podem ser encontradas
em padrões de segurança que capturam e documentam o conhecimento de especialistas em
segurança, mas se desconhece a sua aplicação para desenvolver atividades das normas de
gestão de riscos. Desta forma, este trabalho faz uma revisão das diretrizes da norma NBR
ISO/IEC 27005:2008 e de catálogos de padrões, a fim de identificar padrões de segurança
para desenvolver as atividades de acordo com as diretrizes descritas pela norma. Portanto, a
principal contribuição deste trabalho é o desenvolvimento de uma metodologia de gestão
de riscos centrada em soluções, tarefas e técnicas descritas por 22 padrões de segurança. Uma
análise e avaliação de riscos utilizando padrões de segurança foi aplicada em um CPD de uma
instituição privada de ensino superior, cujo resultado mostra o risco final de cada ativo,
atendendo as diretrizes da norma NBR ISO/IEC 27005:2008.