By Joaquim Pereira on March 27, 2014

Existem riscos e riscos. Os riscos relacionados com a segurança da informação são apenas alguns dos quais teremos que gerir diariamente e tratar. Outros serão os riscos inerentes à selecção da metodologia e à abordagem que iremos seguir para gerir os riscos de segurança da informação.

Qualquer entendido nas matérias dirá que utilizar uma abordagem por processo e tratar os riscos identificados, de acordo com os níveis de impacto medidos e as respectivas probabilidades analisadas, é a melhor estratégia. Nesta abordagem estão incluídas um conjunto de actividades a realizar nas quais se engloba a análise e aprovação de critérios de risco ou mesmo outras actividades que, de forma mais ou menos precisa, proporcionam a respectiva perspectiva sobre os riscos que a nossa organização enfrenta, e que permitem realizar as acções necessárias para gerir, mitigar, minimizar, tratar – ou qualquer outro termo que se use – através da aplicação das medidas mais indicadas de modo a reduzir o risco para aquele nível desejado aceite pela gestão de topo.

Mas, qual a quantidade de risco que conseguiremos reduzir? À custa do quê? Como chegámos aqui? Quais os critérios a utilizar para se definirem os critérios de risco? Estes critérios foram categorizados? Foram aprovados? Estas são algumas das questões que nos permitem perceber que não basta seguir as actividades do processo.

Alguns, mais entendidos dirão que é preciso identificarmos os procedimentos que nos irão suportar ao longo do processo. O COMO FAZER é neste sentido extremamente importante, e neste aspecto temos que concordar. No entanto levantam-se ainda outras questões: Quantos e quais os procedimento? E a que nível de detalhe?

As normas internacionais não são muitas vezes esclarecedoras em relação ao COMO FAZER. Normalmente respondem: “de acordo com as necessidades da organização.” No entanto, os mais entendidos e experientes terão facilidade em encontrar a abordagem que consiga transformar as actividades do processo listadas na norma ISO 27005 – O QUE FAZER – no COMO FAZER a gestão de riscos de segurança da informação.

Mas será a abordagem desenvolvida a abordagem certa? Para alguns gestores de risco e organizações pode resultar, para outros pode já não resultar. No entanto, utilizar uma metodologia reconhecida, permite-nos colmatar estas dúvidas e utilizar uma abordagem estudada, implementada e com resultados comprovados garantindo o COMO FAZER de forma estruturada e reconhecida.

São várias as metodologias de gestão e risco disponíveis no mercado, suportar-se na que melhor se adapte às necessidades da sua organização poderá ser uma forma inteligente, fundamentada, e estruturada de gerir os riscos de segurança da informação na sua organização para além de ainda poder ser utilizada como evidência do uso das melhores práticas na gestão e na aferição dos riscos. E, é claro que contra factos, não há argumentos.

Posted in: Segurança.
Last Modified: Março 1, 2016