EBIOS RM EBIOS Risk Manager.

EBIOS Risk Manager é o método de gestão do risco cibernético da ANSSI, centrado em cenários de ataque estratégicos. Mapeia os processos de negócio face aos objetivos dos atacantes e daí deriva os controlos técnicos. É a referência no setor público francês e nos operadores de importância vital. Excelente para demonstrar ao conselho de administração POR QUE RAZÃO um determinado cenário é relevante; menos frequente em auditorias multinacionais do setor privado.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

A perspetiva da Cyber Academy

EBIOS Risk Manager é o método de gestão do risco cibernético da ANSSI, centrado em cenários de ataque estratégicos. Mapeia os processos de negócio face aos objetivos dos atacantes e daí deriva os controlos técnicos. É a referência no setor público francês e nos operadores de importância vital. Excelente para demonstrar ao conselho de administração POR QUE RAZÃO um determinado cenário é relevante; menos frequente em auditorias multinacionais do setor privado.

O que o EBIOS Risk Manager realmente faz

O EBIOS Risk Manager é o método de avaliação de risco cibernético mantido pela ANSSI, a agência nacional francesa de cibersegurança. O seu traço definidor é partir do atacante, e não de uma lista de ativos. Em vez de catalogar cada servidor e perguntar o que poderia correr mal em cada um, o método pergunta quem quereria prejudicar a organização, o que estaria a tentar alcançar e quais missões de negócio visaria para lá chegar. Os controlos técnicos vêm por último, derivados dos cenários, em vez de serem o ponto de partida.

Esta lógica inversa é o que torna o EBIOS RM útil perante um conselho de administração. Um registo de riscos tradicional, construído de baixo para cima, produz centenas de linhas que significam pouco para os executivos. O EBIOS RM produz um punhado de cenários estratégicos, como um agente patrocinado por um Estado a perturbar um serviço crítico, ou um concorrente a exfiltrar dados de projeto, cada um ligado a uma missão de negócio concreta. Esse enquadramento responde à pergunta que os executivos realmente fazem: por que motivo esta ameaça específica nos importa, e quanto nos custaria se acontecesse.

Os cinco workshops

O EBIOS RM está estruturado como uma sequência de workshops, cada um apoiando-se no anterior. O método é deliberadamente colaborativo: reúne na mesma sala os responsáveis de negócio, os especialistas em risco e as equipas de segurança, em vez de deixar a análise a um único analista.

  1. Âmbito e base de segurança. Definir o perímetro de negócio e técnico, identificar as missões e os eventos temidos, e avaliar a base de segurança existente face ao que é esperado.
  2. Origens do risco. Identificar as origens do risco e os seus objetivos visados, o emparelhamento entre quem poderia atacar e o que procura, e depois priorizar as mais relevantes.
  3. Cenários estratégicos. Mapear o ecossistema de parceiros, fornecedores e partes interessadas, avaliar como um atacante poderia alcançar a organização através deles, e construir caminhos de ataque de alto nível.
  4. Cenários operacionais. Traduzir os cenários estratégicos em sequências de ataque técnicas concretas, descrevendo como um adversário se moveria de facto através dos sistemas.
  5. Tratamento do risco. Decidir as medidas de segurança, construir o plano de tratamento e documentar o risco residual que a liderança aceita formalmente.

Onde se aplica e onde não

O EBIOS RM é o método de referência no setor público francês e entre os operadores de importância vital, onde as expectativas regulamentares remetem para as orientações da ANSSI. É também amplamente ensinado e utilizado nas organizações francófonas. Fora desse contexto, em auditorias multinacionais do setor privado, é muito mais provável encontrar a ISO 27005, que é a norma internacional de gestão de riscos de segurança da informação e é, por conceção, independente do método.

As duas são complementares e não rivais. A ISO 27005 descreve um processo genérico de gestão de riscos alinhado com a ISO 27001 e a ISO 31000, mas não prescreve uma única técnica. O EBIOS RM é uma forma concreta e reconhecida de levar a cabo esse processo, e a ANSSI posiciona-o como compatível com a abordagem ISO. Uma equipa pode realizar workshops EBIOS RM e ainda assim reportar os resultados em termos da ISO 27005.

EBIOS Risk Manager comparado com a ISO 27005
AspetoEBIOS Risk ManagerISO 27005
OrigemANSSI (França)Norma internacional ISO/IEC
NaturezaMétodo prescritivo com workshops definidosOrientações de gestão de riscos independentes do método
Ponto de partidaObjetivos do atacante e missões de negócioAtivos, ameaças e vulnerabilidades
Contexto típicoSetor público francês, operadores de importância vitalAuditorias internacionais de SGSI do setor privado

Na prática, conhecer o EBIOS RM sinaliza fluência com o ecossistema da ANSSI, e conhecer a ISO 27005 sinaliza fluência com o mundo das normas internacionais. Os profissionais de risco que trabalham nos mercados europeu e francês beneficiam de dominar ambos, porque o método ao qual se recorre depende de quem vai ler o relatório.

Frequently asked questions

01Quem publica e mantém o EBIOS Risk Manager?

O EBIOS Risk Manager é publicado e mantido pela ANSSI, a agência nacional francesa de cibersegurança. É a edição atual do método EBIOS e é disponibilizado como orientação oficial para as organizações que avaliam o risco cibernético.

02Em que é que o EBIOS RM difere da ISO 27005?

O EBIOS RM é um método específico, conduzido por workshops, que parte dos objetivos do atacante e das missões de negócio. A ISO 27005 é uma norma internacional independente do método para a gestão de riscos de segurança da informação. O EBIOS RM pode ser usado como uma forma concreta de levar a cabo um processo alinhado com a ISO 27005; são complementares, não concorrentes.

03Quais são os cinco workshops do EBIOS RM?

O método decorre em cinco workshops sequenciais: âmbito e base de segurança, origens do risco, cenários estratégicos, cenários operacionais e tratamento do risco. Cada um apoia-se no anterior, passando do enquadramento de negócio para os cenários técnicos concretos e, por fim, para um plano de tratamento.

04Quando é que uma organização deve escolher o EBIOS RM?

O EBIOS RM é bem adequado quando precisa de explicar à liderança por que motivo um cenário de ataque específico importa, e quando opera no setor público francês ou como operador de importância vital, onde as orientações da ANSSI são esperadas. Para auditorias internacionais do setor privado, a ISO 27005 é solicitada com maior frequência.

05O EBIOS RM é uma certificação?

Não. O EBIOS RM é um método de avaliação de risco, não um esquema de certificação. Os profissionais podem formar-se na aplicação do método, mas as organizações não são certificadas face ao EBIOS RM como certificam um sistema de gestão ISO 27001.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.