A perspetiva da Cyber Academy
O EBIOS Risk Manager é o método nacional francês de avaliação de risco publicado pela ANSSI, focado em cenários estratégicos de ciberataque. A ISO/IEC 27005 é a norma internacional de gestão de risco para a segurança da informação, alinhada com a ISO 31000 e usada como camada metodológica para o trabalho de ISMS da ISO 27001. Ambos são metodologias de prática profissional; são mais complementares do que alternativos.
TL;DR
- 1O EBIOS RM é estratégico e orientado por cenários. Mapeia processos de negócio sobre os objetivos do atacante e, a partir daí, deriva controlos técnicos. Forte no setor público francês e em operadores de importância vital.
- 2A ISO 27005 é agnóstica quanto ao método e combina-se nativamente com o Anexo A da ISO 27001. Padrão em auditorias internacionais.
- 3O EBIOS RM produz um número menor de cenários de elevado impacto, com narrativa rica. A ISO 27005 produz um registo de risco abrangente.
- 4Ambas são credenciais acreditadas PECB: EBIOS Risk Manager (5 dias), ISO/IEC 27005 Risk Manager (5 dias). O Lead Risk Manager existe apenas para a ISO 31000.
- 5Na prática: ISO 27005 para o registo de risco do ISMS, EBIOS RM como complemento para identificar os cenários estratégicos que justificam a atenção do conselho de administração.
Como cada método funciona realmente num projeto
A divisão entre os dois métodos não é uma questão de qualidade; é uma questão de ponto de partida. A ISO 27005 parte dos ativos e das ameaças e avança para fora até um registo de risco completo. O EBIOS RM parte daquilo que a organização teme perder e recua, percorrendo o atacante que causaria essa perda. Os dois produzem artefactos diferentes porque colocam questões de abertura diferentes, e essa diferença é o que o seu auditor, o seu conselho de administração e o seu plano de projeto irão sentir.
O trabalho de ISO 27005 é iterativo e exaustivo por concepção. Estabelece o contexto, identifica riscos em todo o âmbito, analisa a probabilidade e a consequência, avalia face aos critérios de aceitação e, depois, trata. O resultado é um registo vivo que se reexecuta de forma cíclica. É o motor de risco natural para um ISMS ISO 27001 porque fala a mesma linguagem do sistema de gestão: âmbito, critérios, plano de tratamento, risco residual, aprovação.
O EBIOS RM corre como cinco workshops com uma sequência definida: enquadramento e base de segurança, origens do risco, cenários estratégicos, cenários operacionais e tratamento de risco. O método obriga-o a nomear primeiro os eventos temidos, depois as fontes de risco (quem atacaria e porquê), depois os percursos de ataque de alto nível, antes de sequer tocar num controlo. O curso EBIOS Risk Manager percorre cada workshop com entregáveis reais, para que saia capaz de facilitar a sequência, e não apenas de a descrever.
EBIOS RM vs ISO 27005 em síntese
A tabela abaixo é a comparação de que a maioria das equipas precisa na sala: não a filosofia, mas em que cada método se foca, o que lhe entrega no final e onde é realmente esperado.
| Dimensão | EBIOS RM | ISO 27005 |
|---|---|---|
| Origem | Método nacional francês, publicado pela ANSSI | Norma internacional, ISO/IEC, alinhada com a ISO 31000 |
| Foco | Cenários estratégicos de ataque; interesses de negócio mapeados sobre as fontes de ameaça | Identificação sistemática do risco de segurança da informação em todo o âmbito |
| Ponto de partida | Eventos temidos e origens do risco (de cima para baixo) | Ativos, ameaças, vulnerabilidades (de baixo para cima) |
| Resultado | Um pequeno conjunto de cenários narrativos de elevado impacto, com estratégia de tratamento | Um registo de risco abrangente e repetível, com plano de tratamento |
| Granularidade | Poucos cenários, narrativa aprofundada, legível pelo conselho de administração | Muitos riscos, estruturados, legíveis pelo ISMS |
| Relação com a ISO 27001 | Complemento; alimenta os riscos estratégicos para o ISMS | Camada metodológica nativa para a Cláusula 6.1.2 e o Anexo A |
| Onde é esperado | Setor público francês, OIV/OES, contratação pública influenciada pela ANSSI | Auditorias internacionais, ISMS multinacional, garantia ao cliente |
| Credencial acreditada | PECB EBIOS Risk Manager (5 dias) | PECB ISO/IEC 27005 Risk Manager (5 dias) |
Como ambos se mapeiam à ISO 27001
A ISO 27001 exige um processo definido de avaliação e tratamento do risco de segurança da informação, mas não impõe um método específico. Esse único facto é a razão pela qual esta comparação existe. A Cláusula 6.1.2 diz-lhe para avaliar o risco e produzir uma Declaração de Aplicabilidade; não lhe diz para usar a ISO 27005 ou qualquer outra coisa. Os auditores verificam que o seu processo é consistente, repetível e produz decisões de tratamento defensáveis. O método é à sua escolha.
A ISO 27005 é aqui o caminho de menor resistência porque foi escrita para ser a camada metodológica sob a norma. A sua terminologia, a sua lógica de critérios de aceitação e a sua estrutura de plano de tratamento encaixam diretamente no ISMS sem tradução. Se está a construir ou a operar o sistema de gestão, aprenda o motor que lhe serve: o curso ISO/IEC 27005 Risk Manager abrange o ciclo completo de avaliação e tratamento, enquanto o curso ISO/IEC 27005 Foundation é o ponto de entrada certo se precisar dos conceitos antes de facilitar.
O EBIOS RM mapeia-se à mesma cláusula a partir de um ângulo diferente. Não substitui o registo; afina o topo dele. Os cenários estratégicos tornam-se o pequeno conjunto de riscos que justificam o maior escrutínio na SoA e no dossiê do conselho de administração. As equipas que precisam de dominar a metodologia de ponta a ponta, incluindo a governação da avaliação e o papel de liderança em toda a organização, fazem o curso ISO/IEC 27005 Lead Risk Manager.
A decisão: qual deles, e quando ambos
A maioria das equipas enquadra isto como um ou outro e depois arrepende-se. A resposta honesta é que a questão tem duas camadas: o que a sua auditoria ou o seu setor exige, e o que o seu panorama de risco realmente precisa. Resolva-as nessa ordem.
- Se estiver em jogo um comprador influenciado pela ANSSI, um contrato público francês, ou uma obrigação OIV/OES, o EBIOS RM é a linguagem esperada. Lidere com ele na camada estratégica.
- Se a sua garantia provém de um certificado internacional ISO 27001 ou de auditorias de clientes multinacionais, a ISO 27005 é o padrão que o auditor lê com fluência.
- Se tem um problema real de adversário (um alvo de elevado valor, um serviço crítico regulado, risco cibernético ao nível do conselho de administração), corra o EBIOS RM sobre o registo para fazer emergir os cenários que justificam escalada.
- Se não tem nem um mandato do setor francês nem um perfil agudo de adversário, a ISO 27005 sozinha é suficiente e mais barata de operar.
Correr ambos não é redundante quando se delimita corretamente o âmbito. A ISO 27005 dá-lhe amplitude: cada risco no registo, tratado e acompanhado. O EBIOS RM dá-lhe profundidade nos poucos cenários que realmente causariam dano. O erro é correr ambos à mesma granularidade, o que duplica o trabalho e produz dois registos que ninguém reconcilia. Use o EBIOS RM para selecionar e narrar; use a ISO 27005 para enumerar e acompanhar.
Erros comuns e a realidade da sala de auditoria
As falhas são previsíveis e raramente têm que ver com o método em si.
- Escolher o método por preferência em vez de por audiência. A pergunta certa é quem lê o resultado: um comprador público francês espera o vocabulário do EBIOS RM, um auditor de certificação internacional espera um registo com a forma da ISO 27005. Escolha para o leitor.
- Tratar os cenários do EBIOS RM como substituto de um registo completo. Os cenários estratégicos são deliberadamente poucos. Um auditor que verifique a cobertura da ISO 27001 perguntará onde está documentado o resto do panorama de risco, e um punhado de narrativas não é uma resposta.
- Correr a ISO 27005 como uma folha de cálculo pontual. A norma é iterativa. Um registo datado de há dezoito meses, sem cadência de revisão, é uma não conformidade à espera de acontecer.
- Confundir as credenciais. Não existe Lead Auditor nem Lead Risk Manager para o EBIOS RM, e a única credencial de Lead Risk Manager está sob a ISO 31000, não a ISO 27005. Planeie o percurso de certificação da sua equipa face àquilo que realmente existe.
Na sala de auditoria, a realidade é mais simples do que o debate sugere. O auditor de certificação não classifica o seu método face a um rival; testa se o processo que escolheu está documentado, é aplicado de forma consistente e é rastreável do risco ao tratamento e à aceitação do residual. O EBIOS RM ajuda-o a explicar por que razão riscos específicos de elevado impacto receberam atenção específica. A ISO 27005 ajuda-o a demonstrar que nada escapou pelas falhas. A postura mais sólida, para organizações que genuinamente precisam de ambos, é um registo ISO 27005 como sistema de registo oficial, com os cenários EBIOS RM sobrepostos para justificar as decisões que mais importaram.
Frequently asked questions
01Qual é que o meu auditor espera?
Para uma auditoria de certificação ISO 27001, o auditor espera, por defeito, uma metodologia alinhada com a ISO/IEC 27005. A revisão de 2022 da ISO 27005 estabelece explicitamente a ponte para a Cláusula 6 da ISO 27001 e para os princípios da ISO 31000.
Para auditorias do setor público francês (HFDS, inspeções da ANSSI a operadores de importância vital ao abrigo da LPM, supervisão da NIS 2 pela ANSSI), o EBIOS RM é a linguagem esperada. A incapacidade de articular cenários estratégicos no vocabulário do EBIOS RM será assinalada.
02Posso usar ambos ao mesmo tempo?
Sim, e muitas organizações fazem-no. O EBIOS RM produz 5 a 10 cenários estratégicos de ataque com fontes de ameaça nomeadas, ativos de negócio e eventos temidos; estes tornam-se as entradas para um registo de risco ISO 27005 que trata da camada operacional (combinações de vulnerabilidade-ativo, pontuação de probabilidade-impacto, opções de tratamento).
A combinação funciona porque o EBIOS RM opera ao nível do cenário (acessível ao conselho de administração), enquanto a ISO 27005 opera ao nível do ativo/controlo (adequado à auditoria). Mapear os dois exige disciplina, mas é terreno bem trilhado em entidades francesas sujeitas tanto à supervisão da ANSSI como à certificação ISO 27001.
03O EBIOS RM só é relevante em França?
Na sua maioria, sim. Fora de França, a ISO 27005 é a língua franca para a metodologia de risco de ISMS. O EBIOS RM é reconhecido pela ENISA em algumas publicações e usado por jurisdições de influência francesa, mas raramente o encontrará em auditorias fora de França ou da África francófona.
Se a sua área de auditoria for puramente internacional, a ISO 27005 é a escolha única mais segura. Se opera em França, no setor público, ou vende a entidades do Estado francês, espera-se literacia em EBIOS RM.
04O que abrange a credencial PECB EBIOS Risk Manager?
Cinco dias. Abrange os cinco workshops do EBIOS RM: âmbito e base de segurança, fontes de risco, cenários estratégicos, cenários operacionais, tratamento de risco. O exame é com consulta, três horas, mistura de escolha múltipla e questões de cenário.
A credencial é reconhecida pela ANSSI através do percurso de acreditação PECB Gold Partner. Não substitui a ISO/IEC 27005 Risk Manager se o seu auditor esperar a metodologia ISO; complementa-a.



