A nova ABNT NBR ISO/IEC 27005:2023

Por

A Associação Brasileira de Normas Técnicas lançou hoje a nova ABNT NBR ISO/IEC 27005:2023, atualizando a versão anterior, de 2019.

A ABNT NBR ISO/IEC 27005 é uma norma internacional destinada a servir de orientação para o gerenciamento de riscos à segurança da informação. Ela fornece diretrizes para as organizações sobre o estabelecimento e o aprimoramento de seu processo de gerenciamento de riscos de segurança da informação e a implementação dos requisitos da ABNT NBR ISO/IEC 27001 relativos à avaliação e ao tratamento de riscos de segurança da informação.

Para acompanhar as mudanças e tendências no campo específico, a ISO revisa suas normas normalmente a cada cinco anos após sua publicação. A ISO/IEC 27005 passou por um processo de revisão e foi republicada em inglês em outubro de 2022, quatro anos após sua última publicação. A quarta e mais recente versão da ISO/IEC 27005 foi traduzida e publicada hoje pela ABNT como a nova ABNT NBR ISO/IEC 27005:2023, cancelando e substituindo a versão anterior.

Uma das primeiras mudanças que podem ser facilmente notadas na nova versão da ABNT NBR ISO/IEC 27005:2023 é o título. Enquanto a versão anterior era intitulada a versão de 2019 era chamada de Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação, enquanto que a versão de 2023 tem como título Segurança da informação, segurança cibernética e proteção à privacidade — Orientações para gestão de riscos de segurança da informação. Há clara indicação da necessidade de olhar para além da segurança da informação e compreender também a necessidade de proteção da privacidade.

Outras modificações importantes incluem:

  • O conteúdo da norma foi alinhado com a ABNT NBR ISO/IEC 27001:2022 e a ABNT NBR ISO 31000:2018.
  • A linguagem utilizada foi atualizada para garantir a consistência com a terminologia da ABNT NBR ISO 31000:2018. Por exemplo, o termo “impacto” foi substituído pelo termo “consequência”.
  • A estrutura das cláusulas foi reorganizada de acordo com a estrutura da ABNT NBR ISO/IEC 27001:2022.
  • Um critério de acionamento foi adicionado à estrutura de todas as cláusulas que fornece orientação sobre quando iniciar uma atividade, quando concluir um estágio ou quando fazer atualizações na estrutura.
  • A norma atualizada também introduziu o conceito de “cenário de risco”, que é definido como uma “sequência ou combinação de eventos que levam da causa inicial à consequência indesejada”. Esse novo conceito substituiu o termo “cenário de incidente”, usado na edição de 2018.
  • A nova versão da norma descreve um processo de gerenciamento de riscos que envolve cinco estágios principais para o gerenciamento de riscos de segurança da informação: estabelecimento de contexto, identificação de riscos, análise de riscos, avaliação de riscos e tratamento de riscos, enquanto o estágio de aceitação de riscos foi removido.
  • A cláusula 10 da versão de 2019, Aceitação de riscos de segurança da informação, também foi excluída na nova versão da norma. No entanto, a ABNT NBR ISO/IEC 27005:2022 introduziu uma nova cláusula para a aceitação do risco residual, a cláusula 8.6.3 – Aceitação do risco residual de segurança da informação. Isso significa que a nova versão simplifica a aceitação do risco para um ponto de decisão que é considerado após o tratamento do risco.
  • A ABNT NBR ISO/IEC 27005:2022 adicionou um novo componente ao processo de gerenciamento de riscos de segurança da informação que não estava presente na versão anterior. Esse componente especifica as diretrizes de documentação que estão detalhadas nas cláusulas 10.4.2 – Informações documentadas sobre processos e 10.4.3 – Informações documentadas sobre resultados.
  • A versão anterior da norma explicava o processo de identificação de riscos como um conjunto de atividades que incluía a identificação de ativos, a identificação de ameaças, a identificação de controles existentes, a identificação de vulnerabilidades e a identificação de consequências. Na nova versão da norma, essas atividades não são mais mencionadas especificamente.
  • A ABNT NBR ISO/IEC 27005:2022 descreve o processo de identificação dos riscos à segurança da informação por meio de duas abordagens possíveis. Embora ambas as abordagens de identificação de riscos possam ser usadas para definir cenários de risco, elas diferem com base no nível em que a identificação de riscos é iniciada.
    • A abordagem baseada em eventos é uma avaliação de alto nível que envolve a identificação de cenários estratégicos, considerando as fontes de risco e como elas afetam as partes interessadas a fim de atingir os objetivos desejados. Ela se concentra no cenário geral de ameaças, é mais apropriada para análises macroscópicas e é usada para definir a consequência e a gravidade de um determinado cenário.
    • A abordagem baseada em ativos é uma avaliação aprofundada que pode ser usada para criar cenários operacionais, considerando e identificando detalhadamente os ativos, as ameaças e as vulnerabilidades. A abordagem baseada em ativos permite que as organizações identifiquem ameaças e vulnerabilidades específicas dos ativos, definam a probabilidade de um determinado cenário e determinem opções específicas de tratamento de riscos.
  • A norma atualizada adicionou a técnica semiquantitativa para analisar os riscos de segurança da informação, além das duas técnicas de análise de risco existentes: qualitativa e quantitativa.
  • A ABNT NBR ISO/IEC 27005:2022 também introduziu um novo conceito relacionado ao monitoramento, ou seja, a cláusula A.2.7 – Monitoramento de eventos relacionados a riscos, que se refere à identificação de fatores que podem afetar um cenário de risco à segurança da informação.
  • Uma nova cláusula foi adicionada à norma com relação à declaração de aplicabilidade (SoA), em alinhamento com a ABNT NBR ISO/IEC 27001:2022. Essa cláusula fornece diretrizes para a produção de uma SoA que descreve todos os controles necessários que estão planejados para serem implementados para o tratamento de riscos, a justificativa para a implementação dos controles selecionados e os motivos para excluir os outros controles do Anexo A da ABNT NBR ISO/IEC 27001:2022.
  • Foi introduzida a Cláusula 10, Aproveitamento dos processos relacionados ao SGSI, que fornece orientação de implementação para algumas das principais cláusulas da ABNT NBR ISO/IEC 27001:2022 que influenciam a gestão de riscos de segurança da informação.
  • Todos os anexos da norma anterior, identificados abaixo, foram atualizados e reestruturados em um único anexo:
    • Anexo A (informativo) Definindo o escopo e os limites do processo de gestão de riscos de segurança da informação
    • Anexo B (informativo) Identificação e valoração dos ativos e avaliação de impacto
    • Anexo C (informativo) Exemplos de ameaças comuns
    • Anexo D (informativo) Vulnerabilidades e métodos de avaliação de vulnerabilidades
    • Anexo E (informativo) Abordagens para o processo de avaliação de riscos de segurança da informação
    • Anexo F (informativo) Restrições para a modificação de riscos
  • A estrutura atual é a seguinte:
    • Anexo A (informativo) Exemplos de técnicas de apoio ao processo de avaliação de riscos
      • A.1 Critérios de risco de segurança da informação
      • A.1.1 Critérios relacionados ao processo de avaliação de riscos
      • A.1.2 Critérios de aceitação de riscos
      • A.2 Técnicas práticas
      • A.2.1 Componentes de risco de segurança da informação
      • A.2.2 Ativos
      • A.2.3 Fontes de risco e estado final desejado
      • A.2.4 Abordagem com base em eventos
      • A.2.5 Abordagem com base em ativos
      • A.2.6 Exemplos de cenários aplicáveis em ambas as abordagens
      • A.2.7 Monitoramento de eventos relacionados a riscos

A nova norma enfatiza o alinhamento da abordagem de gerenciamento de riscos de segurança da informação com outras abordagens de gerenciamento de riscos usadas na organização para garantir a consistência, a comparabilidade e a validade dos resultados.

Essas atualizações são significativas, e eu recomendo enfaticamente que você se familiarize com a nova ABNT NBR ISO/IEC 27005:2023 para gerenciar com eficácia os riscos de segurança da informação e privacidade.

Vamos que vamos e #colanopapai!

Disclaimer: texto adaptado desta fonte.

3 comentários em “A nova ABNT NBR ISO/IEC 27005:2023”

  1. Parabéns Matheus excelente texto com informações relevantes. Obrigado por compartilhar seus conhecimentos. Sigo você sempre nas redes sociais. Sucesso e privacidade acima de tudo.!

  2. Inicialmente agradeço pelas informações.
    Em segundo lugar, as considerações foram objetivas e permitiram uma visão geral da importância da nova ISO nas instituições públicas e privadas do País.

Os comentários estão encerrado.