A perspetiva da Cyber Academy
O registo de riscos é a lista canónica e dinâmica dos riscos identificados, com a respetiva análise, avaliação, tratamento e responsabilidade. Não é uma folha de cálculo pontual. Os auditores esperam entradas datadas, responsáveis nomeados, alterações rastreáveis e ciclos de revisão associados à revisão pela gestão. A versão para o conselho de administração é mais resumida; a versão operacional contém tudo.
O que o registo é de facto
O registo de riscos é o único lugar onde a organização acompanha aquilo que a preocupa e o que está a fazer a respeito. As pessoas imaginam uma folha de cálculo, e muitas vezes começa por sê-lo, mas o artefacto que importa é a disciplina que o sustenta : cada risco identificado, analisado, avaliado face ao apetite, atribuído a um responsável, dotado de uma decisão de tratamento e revisto segundo um ciclo. Um registo preenchido uma única vez para uma certificação e nunca mais tocado não é um registo de riscos, é uma peça de museu. O teste consiste em saber se consegue olhar para qualquer linha e ver quando foi revista pela última vez, quem é o seu responsável e o que mudou desde então.
Cada entrada inclui normalmente uma descrição do risco, o ativo ou objetivo que ameaça, a análise (probabilidade e impacto, seja qual for a forma como os pontua), a avaliação face aos seus critérios, o tratamento escolhido, o responsável designado, o risco residual após o tratamento e uma data de revisão. O nível de detalhe é deliberado : quando um auditor ou um incidente puxa por um fio, a entrada tem de aguentar. As entradas vagas, sem responsável e sem data, são a primeira coisa que um auditor competente encontra, e minam a credibilidade de todo o programa.
Como se liga a tudo o resto
O registo não é um documento isolado, é o eixo ao qual se liga o resto do programa de riscos. A identificação e a análise seguem uma metodologia como ISO 27005 ou EBIOS RM, e o seu resultado aterra aqui. A coluna de tratamento é onde cada risco encontra a decisão de evitar, reduzir, transferir ou aceitar, e num contexto ISO 27001 essa decisão prolonga-se até à Declaração de Aplicabilidade e aos controlos que a implementam. A coluna de avaliação só significa alguma coisa se existir um apetite de risco escrito face ao qual avaliar, caso contrário cada classificação é apenas a opinião de um analista. Assim, o registo situa-se a jusante da metodologia e do apetite, e a montante do tratamento e da evidência dos controlos.
É também por isso que o registo é um documento vivo ligado à revisão pela gestão e não um entregável pontual. Surgem novos riscos, os riscos tratados mudam a sua classificação residual, os responsáveis mudam de função, e o próprio apetite pode alterar-se. Um programa maduro revê o registo numa cadência definida e encaminha os movimentos significativos para a revisão pela gestão, de modo que a liderança tome decisões sobre uma imagem atual e não sobre a do ano passado.
O que os profissionais realmente mantêm
Na prática, o registo é onde as boas intenções se encontram com a manutenção. A parte difícil não é a primeira passagem, é mantê-lo honesto ao longo dos anos. As entradas datadas importam porque um auditor espera ver uma mudança rastreável : quando um risco foi levantado, quando a sua classificação se moveu, quando o tratamento foi concluído. Os responsáveis designados importam porque um risco sem responsável é um risco que ninguém está de facto a gerir. Os ciclos de revisão importam porque as tolerâncias e as dependências derivam, e um registo com duas reorganizações de idade priorizará as coisas erradas. Os campos são fáceis de enumerar e difíceis de sustentar, que é precisamente por isso que o registo, e não a política, é onde se vê se um programa de riscos está vivo.
Uma confusão frequente é entre o registo e o plano de tratamento. O registo é o inventário dos riscos e do seu estado atual. O plano de tratamento é o conjunto de ações com que se comprometeu, com prazos e responsabilização, para levar os riscos a níveis aceitáveis. Referenciam-se mutuamente mas não são o mesmo documento, e quando se afastam a auditoria nota. Mantenha o registo como a fonte de verdade para o estado, e deixe o plano de tratamento ser a fonte de verdade para o trabalho em curso.
Frequently asked questions
01Um registo de riscos é o mesmo que uma apreciação de riscos?
Não. A apreciação de riscos é a atividade de identificar, analisar e avaliar os riscos. O registo é o registo vivo que guarda o resultado dessa atividade e o acompanha ao longo do tempo, incluindo a responsabilidade, o tratamento e as datas de revisão.
02A ISO 27001 exige um registo de riscos?
A ISO 27001 não impõe nominalmente um documento chamado «registo de riscos», mas exige resultados documentados da apreciação e do tratamento dos riscos de segurança da informação. Na prática, o registo é a forma como as organizações satisfazem esse requisito e o demonstram aos auditores.
03O que deve conter cada entrada?
No mínimo : uma descrição clara do risco, a análise (probabilidade e impacto), a avaliação face aos seus critérios, um responsável designado, a decisão de tratamento, o risco residual após o tratamento e uma data de revisão. Entradas datadas e rastreáveis são a primeira coisa que os auditores procuram.
04Com que frequência deve o registo ser revisto?
Num ciclo definido e após qualquer mudança significativa, com os movimentos relevantes a alimentar a revisão pela gestão. Os riscos, as classificações, os responsáveis e o próprio apetite derivam todos, pelo que um registo não revisto deixa rapidamente de refletir a realidade.
05Porquê manter uma versão separada para o conselho?
O registo operacional transporta cada detalhe de que a equipa de riscos precisa para fazer o seu trabalho. O conselho precisa de um resumo focado dos riscos que importam ao seu nível para poder tomar decisões. Reconcilie os dois, mas não force um único documento a servir ambos os públicos.