A perspetiva da Cyber Academy
EBIOS Risk Manager é o método de gestão do risco cibernético da ANSSI, centrado em cenários de ataque estratégicos. Mapeia os processos de negócio face aos objetivos dos atacantes e daí deriva os controlos técnicos. É a referência no setor público francês e nos operadores de importância vital. Excelente para demonstrar ao conselho de administração POR QUE RAZÃO um determinado cenário é relevante; menos frequente em auditorias multinacionais do setor privado.
O que o EBIOS Risk Manager realmente faz
O EBIOS Risk Manager é o método de avaliação de risco cibernético mantido pela ANSSI, a agência nacional francesa de cibersegurança. O seu traço definidor é partir do atacante, e não de uma lista de ativos. Em vez de catalogar cada servidor e perguntar o que poderia correr mal em cada um, o método pergunta quem quereria prejudicar a organização, o que estaria a tentar alcançar e quais missões de negócio visaria para lá chegar. Os controlos técnicos vêm por último, derivados dos cenários, em vez de serem o ponto de partida.
Esta lógica inversa é o que torna o EBIOS RM útil perante um conselho de administração. Um registo de riscos tradicional, construído de baixo para cima, produz centenas de linhas que significam pouco para os executivos. O EBIOS RM produz um punhado de cenários estratégicos, como um agente patrocinado por um Estado a perturbar um serviço crítico, ou um concorrente a exfiltrar dados de projeto, cada um ligado a uma missão de negócio concreta. Esse enquadramento responde à pergunta que os executivos realmente fazem: por que motivo esta ameaça específica nos importa, e quanto nos custaria se acontecesse.
Os cinco workshops
O EBIOS RM está estruturado como uma sequência de workshops, cada um apoiando-se no anterior. O método é deliberadamente colaborativo: reúne na mesma sala os responsáveis de negócio, os especialistas em risco e as equipas de segurança, em vez de deixar a análise a um único analista.
- Âmbito e base de segurança. Definir o perímetro de negócio e técnico, identificar as missões e os eventos temidos, e avaliar a base de segurança existente face ao que é esperado.
- Origens do risco. Identificar as origens do risco e os seus objetivos visados, o emparelhamento entre quem poderia atacar e o que procura, e depois priorizar as mais relevantes.
- Cenários estratégicos. Mapear o ecossistema de parceiros, fornecedores e partes interessadas, avaliar como um atacante poderia alcançar a organização através deles, e construir caminhos de ataque de alto nível.
- Cenários operacionais. Traduzir os cenários estratégicos em sequências de ataque técnicas concretas, descrevendo como um adversário se moveria de facto através dos sistemas.
- Tratamento do risco. Decidir as medidas de segurança, construir o plano de tratamento e documentar o risco residual que a liderança aceita formalmente.
Onde se aplica e onde não
O EBIOS RM é o método de referência no setor público francês e entre os operadores de importância vital, onde as expectativas regulamentares remetem para as orientações da ANSSI. É também amplamente ensinado e utilizado nas organizações francófonas. Fora desse contexto, em auditorias multinacionais do setor privado, é muito mais provável encontrar a ISO 27005, que é a norma internacional de gestão de riscos de segurança da informação e é, por conceção, independente do método.
As duas são complementares e não rivais. A ISO 27005 descreve um processo genérico de gestão de riscos alinhado com a ISO 27001 e a ISO 31000, mas não prescreve uma única técnica. O EBIOS RM é uma forma concreta e reconhecida de levar a cabo esse processo, e a ANSSI posiciona-o como compatível com a abordagem ISO. Uma equipa pode realizar workshops EBIOS RM e ainda assim reportar os resultados em termos da ISO 27005.
| Aspeto | EBIOS Risk Manager | ISO 27005 |
|---|---|---|
| Origem | ANSSI (França) | Norma internacional ISO/IEC |
| Natureza | Método prescritivo com workshops definidos | Orientações de gestão de riscos independentes do método |
| Ponto de partida | Objetivos do atacante e missões de negócio | Ativos, ameaças e vulnerabilidades |
| Contexto típico | Setor público francês, operadores de importância vital | Auditorias internacionais de SGSI do setor privado |
Na prática, conhecer o EBIOS RM sinaliza fluência com o ecossistema da ANSSI, e conhecer a ISO 27005 sinaliza fluência com o mundo das normas internacionais. Os profissionais de risco que trabalham nos mercados europeu e francês beneficiam de dominar ambos, porque o método ao qual se recorre depende de quem vai ler o relatório.
Frequently asked questions
01Quem publica e mantém o EBIOS Risk Manager?
O EBIOS Risk Manager é publicado e mantido pela ANSSI, a agência nacional francesa de cibersegurança. É a edição atual do método EBIOS e é disponibilizado como orientação oficial para as organizações que avaliam o risco cibernético.
02Em que é que o EBIOS RM difere da ISO 27005?
O EBIOS RM é um método específico, conduzido por workshops, que parte dos objetivos do atacante e das missões de negócio. A ISO 27005 é uma norma internacional independente do método para a gestão de riscos de segurança da informação. O EBIOS RM pode ser usado como uma forma concreta de levar a cabo um processo alinhado com a ISO 27005; são complementares, não concorrentes.
03Quais são os cinco workshops do EBIOS RM?
O método decorre em cinco workshops sequenciais: âmbito e base de segurança, origens do risco, cenários estratégicos, cenários operacionais e tratamento do risco. Cada um apoia-se no anterior, passando do enquadramento de negócio para os cenários técnicos concretos e, por fim, para um plano de tratamento.
04Quando é que uma organização deve escolher o EBIOS RM?
O EBIOS RM é bem adequado quando precisa de explicar à liderança por que motivo um cenário de ataque específico importa, e quando opera no setor público francês ou como operador de importância vital, onde as orientações da ANSSI são esperadas. Para auditorias internacionais do setor privado, a ISO 27005 é solicitada com maior frequência.
05O EBIOS RM é uma certificação?
Não. O EBIOS RM é um método de avaliação de risco, não um esquema de certificação. Os profissionais podem formar-se na aplicação do método, mas as organizações não são certificadas face ao EBIOS RM como certificam um sistema de gestão ISO 27001.