A perspetiva da Cyber Academy
ISO 31000 é a norma genérica de gestão do risco. Princípios, enquadramento e processo iterativo. NÃO é um sistema de gestão certificável, não existe ISO 31000 Lead Auditor, apesar do que alguns catálogos afirmam. O percurso PECB é Foundation → Risk Manager → Lead Risk Manager. Utilizar quando o risco é mais abrangente do que a segurança da informação isolada.
Uma norma genérica, não um sistema de gestão
A ISO 31000 é a referência internacional para gerir o risco de qualquer natureza, em qualquer organização. É deliberadamente genérica. Os mesmos princípios, a mesma estrutura e o mesmo processo aplicam-se quer o risco em questão seja financeiro, operacional, estratégico, de segurança, ambiental ou cibernético. Essa amplitude é precisamente o objetivo. Uma decisão de compra, a entrada num novo mercado e uma exposição a um ransomware podem todas ser avaliadas com o mesmo vocabulário e a mesma lógica, o que permite a um conselho de administração comparar riscos que de outro modo ficariam em silos separados com pontuações incompatíveis.
O mal-entendido mais comum é tratar a ISO 31000 como a ISO 27001 ou a ISO 22301. Não é uma norma de requisitos e não é certificável. Não existe qualquer sistema de gestão ISO 31000 a auditar nem qualquer qualificação de Auditor Líder ISO 31000, por mais que alguns catálogos de formação o anunciem. A norma oferece orientações a adaptar, não requisitos aos quais se conformar. As organizações integram-na no modo como já funcionam, em vez de acrescentarem um sistema certificado separado.
Princípios, estrutura e processo
A ISO 31000 assenta em três partes interligadas que os profissionais aprendem a manter distintas. Os princípios definem como é uma boa gestão do risco: está integrada na organização, é estruturada, adaptada ao contexto, inclusiva para com as partes interessadas, dinâmica, baseada na melhor informação disponível e orientada para criar e proteger valor. A estrutura diz respeito à liderança e à governação, ao modo como a gestão do risco é mandatada, concebida, implementada, avaliada e melhorada ao longo do tempo para que realmente se enraíze. O processo é o motor operacional executado repetidamente.
- Estabelecer o contexto. Definir o âmbito, os objetivos e o ambiente interno e externo em que o risco existe.
- A identificação, a análise e a avaliação do risco, que em conjunto formam a apreciação do risco.
- O tratamento do risco. Escolher como modificar o risco e, em seguida, implementar e verificar os controlos.
- A comunicação, a consulta, a monitorização e a revisão, que envolvem todo o ciclo e o mantêm atualizado.
Como se relaciona com normas vizinhas
A ISO 31000 é a norma-mãe. A ISO 27005 aplica a mesma lógica de processo ao risco de segurança da informação e alinha-se com um sistema de gestão de segurança da informação ISO 27001. O EBIOS Risk Manager, o método francês publicado pela ANSSI, é uma forma concreta e orientada por cenários de conduzir uma apreciação do risco de segurança que se mapeia nas mesmas etapas. Nenhum destes contradiz a ISO 31000; especializam-na. Um risk manager que compreende o processo genérico consegue transitar entre eles sem reaprender os fundamentos, razão pela qual a norma é ensinada em primeiro lugar.
O vocabulário é partilhado através do ISO Guide 73, o documento complementar que define os termos da gestão do risco para que «probabilidade», «consequência» e «tratamento do risco» signifiquem o mesmo em todos os documentos e equipas. Acordar cedo sobre essas definições evita as discussões de pontuação que descarrilam muitos workshops de risco.
O que os profissionais realmente fazem com ela
Na prática, a ISO 31000 molda o registo de riscos, os workshops de apreciação e a linha de reporte à direção. Um risk manager usa-a para justificar por que um risco é atribuído, pontuado e tratado de determinada forma, e para demonstrar que a abordagem é coerente em vez de improvisada caso a caso. Como a norma não é certificável, a forma reconhecida de demonstrar competência é através de uma credencial pessoal. O percurso da PECB percorre Foundation, depois Risk Manager, depois Lead Risk Manager, evoluindo do conhecimento dos conceitos até à liderança de um programa de gestão do risco em toda uma organização.
Frequently asked questions
01É possível obter certificação na ISO 31000?
Não. A ISO 31000 é uma orientação, não uma norma de requisitos, pelo que não existe qualquer certificação organizacional face a ela. A competência é demonstrada através de credenciais pessoais, como as certificações PECB Risk Manager ou Lead Risk Manager, não através de um sistema de gestão auditado.
02Existe uma qualificação de Auditor Líder ISO 31000?
Não, apesar de alguns catálogos listarem uma. Os esquemas de Auditor Líder existem para normas de sistemas de gestão certificáveis como a ISO 27001. A ISO 31000 não é certificável, pelo que a progressão reconhecida é Foundation, depois Risk Manager, depois Lead Risk Manager.
03Qual é a diferença entre a ISO 31000 e a ISO 27005?
A ISO 31000 é a norma genérica de gestão do risco à escala de toda a empresa, abrangendo qualquer tipo de risco. A ISO 27005 aplica o mesmo processo especificamente ao risco de segurança da informação e alinha-se com um sistema de gestão ISO 27001. A ISO 27005 especializa a ISO 31000 em vez de competir com ela.
04Quando deve uma organização usar a ISO 31000 em vez de um método específico de segurança?
Use a ISO 31000 quando o risco é mais amplo do que a segurança da informação, por exemplo risco empresarial, estratégico, financeiro ou operacional que necessite de uma única estrutura partilhada. Para o risco de segurança da informação em particular, coloque a ISO 27005 ou o EBIOS Risk Manager por baixo.
05Quais são os três principais componentes da ISO 31000?
Os princípios, que descrevem como é uma gestão do risco eficaz; a estrutura, que rege como a gestão do risco é liderada e incorporada; e o processo, o ciclo iterativo de contexto, apreciação, tratamento e comunicação e revisão contínuas.