isoSe você está implementando a ISO 27001, ou especialmente a ISO 22301 pela primeira vez, você provavelmente está intrigado com a avaliação de riscos e a análise de impacto no negócio. Qual é o propósito delas? Como elas são diferentes? Elas podem ser realizadas ao mesmo tempo?

De forma resumida, a avaliação de riscos mostrará quais tipos de incidentes você poderá enfrentar, enquanto que a análise de impacto no negócio mostrará a você quão rapidamente você precisa recuperar suas atividades afetadas por incidentes para evitar maiores danos.

O propósito da avaliação de riscos (RA – risk assessment)

O propósito da avaliação de riscos é identificar de forma sistemática quais incidentes podem ocorrer em sua organização, e então, através do processo de tratamento de riscos, preparar a organização de forma a minimizar os danos de tais incidentes.

É muito importante entender que a avaliação e o tratamento de riscos (mitigação) precisam ser realizados em sequencia – você não pode implementar salvaguardas/controles a menos que você saiba quais deles são os mais apropriados, e você não pode saber quais salvaguardas são mais apropriadas antes de identificar onde os problemas potenciais estão.

Em minha experiência, os empregados (e a organização como um todo) estão em geral cientes de apenas 25 a 40% dos riscos – então, não é possível tentar lembrar de todos os riscos de cabeça, e esta identificação precisa ser feita de forma sistemática.

A avaliação de riscos é obrigatória tanto para a ISO 27001 quanto para a ISO 22301, e em muitos casos pode ser feita para ambas as normas ao mesmo tempo: Can ISO 27001 risk assessment be used for ISO 22301?

O propósito da análise de impacto no negócio (BIA – business impact analysis)

O propósito desta análise é primariamente dar a você: (1) uma ideia sobre o tempo adequado de recuperação, e (2) o tempo adequado do seu backup, uma vez que o tempo é um fator crucial – a diferença de apenas algumas horas pode significar a vida ou a morte de certas organizações, caso elas sejam vítimas de um grande incidente. Por exemplo, se você está em uma instituição financeira, um tempo de recuperação de quatro horas pode significar que provavelmente a organização sobreviverá a interrupção, mas caso este tempo de recuperação seja de 12 horas, isto pode ser inaceitável para certas atividades/sistemas em um banco, e a interrupção de um dia inteiro provavelmente significaria que tal banco nunca mais seria capaz de abrir suas portas novamente. E não existe nenhuma norma mágica que possa lhe dar o tempo adequado para sua organização – não apenas porque o tempo adequado para cada indústria é diferente, mas também porque o tempo adequado para cada uma das suas atividades pode ser diferente. Então, você precisa realizar a análise de impacto no negócio para chegar a conclusões corretas.

Mais precisamente, a análise de impacto no negócio o ajudará a determinar a Interrupção Máxima Aceitável/Objetivo para Tempo de Recuperação (Maximum Acceptable Outage/Recovery Time Objective), Máxima Perda de Dados/Objetivo para Ponto de Recuperação (Maximum Data Loss/Recovery Point Objective), recursos necessários e outras informações importantes que ajudarão você a desenvolver a estratégia de continuidade de negócio para cada uma de suas atividades. Veja mais aqui: Como implementar a análise de impacto no negócio (business impact analysis – BIA) de acordo com a ISO 22301.

Como você pode ter imaginado, a análise de impacto no negócio é obrigatória para a implementação da ISO 22301, mão não para a ISO 27001.

A diferença entre as duas

Como já concluímos, a BIA é geralmente utilizada apenas em continuidade do negócio / implementação da ISO 22301; ela pode ser feita para a segurança da informação, mas não faria muito sentido. A avaliação de riscos é obrigatória para ambas.

Adicionalmente, as saídas da avaliação de riscos são um pouco diferentes das da BIA – a avaliação de riscos dá a você uma lista de riscos junto com seus valores, enquanto que a BIA dá a você o tempo adequado dentro do qual você precisa se recuperar (RTO) e quanta informação você pode aceitar perder (RPO).

Então, embora estas duas estejam relacionadas porque elas tem foco nos processos e ativos da organização, ela são utilizadas em contextos diferentes.

Qual vem primeiro – avaliação de riscos ou análise de impacto no negócio?

Na verdade, a ISO 22301 permite ambas as abordagens, e você pode ouvir muitas teorias sobre qual é a melhor. Contudo, eu prefiro fazer a avaliação de riscos primeiro, porque desta forma você terá uma melhor impressão de quais incidentes podem ocorrer (a quais riscos você está exposto), e dessa forma estar mais preparado para fazer a análise de impacto no negócio (a qual foca nas consequências destes incidentes); adicionalmente, se você escolhe a abordagem baseada em ativos para a avaliação de riscos, você terá mais facilidade em identificar todos os recursos mais tarde em sua análise de impacto no negócio. O que você definitivamente não deveria fazer é realizar a avaliação de riscos e a análise de impacto no negócio ao mesmo tempo, porque cada um deles  em separado já é complexo o bastante – combiná-las normalmente significa problemas.

Nós agradecemos a Rhand Leal pela tradução para o português.

Fonte: Blog do Dejan Kosutic