EBIOS RM vs ISO 27005: o confronto.

Uma comparação prática dos dois métodos de referência de risco em segurança da informação. Quando cada um vence, como se mapeiam à ISO 27001 e qual deles o seu setor e a sua auditoria realmente esperam.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll pillars

A perspetiva da Cyber Academy

O EBIOS Risk Manager é o método nacional francês de avaliação de risco publicado pela ANSSI, focado em cenários estratégicos de ciberataque. A ISO/IEC 27005 é a norma internacional de gestão de risco para a segurança da informação, alinhada com a ISO 31000 e usada como camada metodológica para o trabalho de ISMS da ISO 27001. Ambos são metodologias de prática profissional; são mais complementares do que alternativos.

TL;DR

  • 1O EBIOS RM é estratégico e orientado por cenários. Mapeia processos de negócio sobre os objetivos do atacante e, a partir daí, deriva controlos técnicos. Forte no setor público francês e em operadores de importância vital.
  • 2A ISO 27005 é agnóstica quanto ao método e combina-se nativamente com o Anexo A da ISO 27001. Padrão em auditorias internacionais.
  • 3O EBIOS RM produz um número menor de cenários de elevado impacto, com narrativa rica. A ISO 27005 produz um registo de risco abrangente.
  • 4Ambas são credenciais acreditadas PECB: EBIOS Risk Manager (5 dias), ISO/IEC 27005 Risk Manager (5 dias). O Lead Risk Manager existe apenas para a ISO 31000.
  • 5Na prática: ISO 27005 para o registo de risco do ISMS, EBIOS RM como complemento para identificar os cenários estratégicos que justificam a atenção do conselho de administração.

Como cada método funciona realmente num projeto

A divisão entre os dois métodos não é uma questão de qualidade; é uma questão de ponto de partida. A ISO 27005 parte dos ativos e das ameaças e avança para fora até um registo de risco completo. O EBIOS RM parte daquilo que a organização teme perder e recua, percorrendo o atacante que causaria essa perda. Os dois produzem artefactos diferentes porque colocam questões de abertura diferentes, e essa diferença é o que o seu auditor, o seu conselho de administração e o seu plano de projeto irão sentir.

O trabalho de ISO 27005 é iterativo e exaustivo por concepção. Estabelece o contexto, identifica riscos em todo o âmbito, analisa a probabilidade e a consequência, avalia face aos critérios de aceitação e, depois, trata. O resultado é um registo vivo que se reexecuta de forma cíclica. É o motor de risco natural para um ISMS ISO 27001 porque fala a mesma linguagem do sistema de gestão: âmbito, critérios, plano de tratamento, risco residual, aprovação.

O EBIOS RM corre como cinco workshops com uma sequência definida: enquadramento e base de segurança, origens do risco, cenários estratégicos, cenários operacionais e tratamento de risco. O método obriga-o a nomear primeiro os eventos temidos, depois as fontes de risco (quem atacaria e porquê), depois os percursos de ataque de alto nível, antes de sequer tocar num controlo. O curso EBIOS Risk Manager percorre cada workshop com entregáveis reais, para que saia capaz de facilitar a sequência, e não apenas de a descrever.

EBIOS RM vs ISO 27005 em síntese

A tabela abaixo é a comparação de que a maioria das equipas precisa na sala: não a filosofia, mas em que cada método se foca, o que lhe entrega no final e onde é realmente esperado.

EBIOS RM vs ISO 27005: foco, resultado e onde cada um é esperado
DimensãoEBIOS RMISO 27005
OrigemMétodo nacional francês, publicado pela ANSSINorma internacional, ISO/IEC, alinhada com a ISO 31000
FocoCenários estratégicos de ataque; interesses de negócio mapeados sobre as fontes de ameaçaIdentificação sistemática do risco de segurança da informação em todo o âmbito
Ponto de partidaEventos temidos e origens do risco (de cima para baixo)Ativos, ameaças, vulnerabilidades (de baixo para cima)
ResultadoUm pequeno conjunto de cenários narrativos de elevado impacto, com estratégia de tratamentoUm registo de risco abrangente e repetível, com plano de tratamento
GranularidadePoucos cenários, narrativa aprofundada, legível pelo conselho de administraçãoMuitos riscos, estruturados, legíveis pelo ISMS
Relação com a ISO 27001Complemento; alimenta os riscos estratégicos para o ISMSCamada metodológica nativa para a Cláusula 6.1.2 e o Anexo A
Onde é esperadoSetor público francês, OIV/OES, contratação pública influenciada pela ANSSIAuditorias internacionais, ISMS multinacional, garantia ao cliente
Credencial acreditadaPECB EBIOS Risk Manager (5 dias)PECB ISO/IEC 27005 Risk Manager (5 dias)

Como ambos se mapeiam à ISO 27001

A ISO 27001 exige um processo definido de avaliação e tratamento do risco de segurança da informação, mas não impõe um método específico. Esse único facto é a razão pela qual esta comparação existe. A Cláusula 6.1.2 diz-lhe para avaliar o risco e produzir uma Declaração de Aplicabilidade; não lhe diz para usar a ISO 27005 ou qualquer outra coisa. Os auditores verificam que o seu processo é consistente, repetível e produz decisões de tratamento defensáveis. O método é à sua escolha.

A ISO 27005 é aqui o caminho de menor resistência porque foi escrita para ser a camada metodológica sob a norma. A sua terminologia, a sua lógica de critérios de aceitação e a sua estrutura de plano de tratamento encaixam diretamente no ISMS sem tradução. Se está a construir ou a operar o sistema de gestão, aprenda o motor que lhe serve: o curso ISO/IEC 27005 Risk Manager abrange o ciclo completo de avaliação e tratamento, enquanto o curso ISO/IEC 27005 Foundation é o ponto de entrada certo se precisar dos conceitos antes de facilitar.

O EBIOS RM mapeia-se à mesma cláusula a partir de um ângulo diferente. Não substitui o registo; afina o topo dele. Os cenários estratégicos tornam-se o pequeno conjunto de riscos que justificam o maior escrutínio na SoA e no dossiê do conselho de administração. As equipas que precisam de dominar a metodologia de ponta a ponta, incluindo a governação da avaliação e o papel de liderança em toda a organização, fazem o curso ISO/IEC 27005 Lead Risk Manager.

A decisão: qual deles, e quando ambos

A maioria das equipas enquadra isto como um ou outro e depois arrepende-se. A resposta honesta é que a questão tem duas camadas: o que a sua auditoria ou o seu setor exige, e o que o seu panorama de risco realmente precisa. Resolva-as nessa ordem.

  1. Se estiver em jogo um comprador influenciado pela ANSSI, um contrato público francês, ou uma obrigação OIV/OES, o EBIOS RM é a linguagem esperada. Lidere com ele na camada estratégica.
  2. Se a sua garantia provém de um certificado internacional ISO 27001 ou de auditorias de clientes multinacionais, a ISO 27005 é o padrão que o auditor lê com fluência.
  3. Se tem um problema real de adversário (um alvo de elevado valor, um serviço crítico regulado, risco cibernético ao nível do conselho de administração), corra o EBIOS RM sobre o registo para fazer emergir os cenários que justificam escalada.
  4. Se não tem nem um mandato do setor francês nem um perfil agudo de adversário, a ISO 27005 sozinha é suficiente e mais barata de operar.

Correr ambos não é redundante quando se delimita corretamente o âmbito. A ISO 27005 dá-lhe amplitude: cada risco no registo, tratado e acompanhado. O EBIOS RM dá-lhe profundidade nos poucos cenários que realmente causariam dano. O erro é correr ambos à mesma granularidade, o que duplica o trabalho e produz dois registos que ninguém reconcilia. Use o EBIOS RM para selecionar e narrar; use a ISO 27005 para enumerar e acompanhar.

Erros comuns e a realidade da sala de auditoria

As falhas são previsíveis e raramente têm que ver com o método em si.

  • Escolher o método por preferência em vez de por audiência. A pergunta certa é quem lê o resultado: um comprador público francês espera o vocabulário do EBIOS RM, um auditor de certificação internacional espera um registo com a forma da ISO 27005. Escolha para o leitor.
  • Tratar os cenários do EBIOS RM como substituto de um registo completo. Os cenários estratégicos são deliberadamente poucos. Um auditor que verifique a cobertura da ISO 27001 perguntará onde está documentado o resto do panorama de risco, e um punhado de narrativas não é uma resposta.
  • Correr a ISO 27005 como uma folha de cálculo pontual. A norma é iterativa. Um registo datado de há dezoito meses, sem cadência de revisão, é uma não conformidade à espera de acontecer.
  • Confundir as credenciais. Não existe Lead Auditor nem Lead Risk Manager para o EBIOS RM, e a única credencial de Lead Risk Manager está sob a ISO 31000, não a ISO 27005. Planeie o percurso de certificação da sua equipa face àquilo que realmente existe.

Na sala de auditoria, a realidade é mais simples do que o debate sugere. O auditor de certificação não classifica o seu método face a um rival; testa se o processo que escolheu está documentado, é aplicado de forma consistente e é rastreável do risco ao tratamento e à aceitação do residual. O EBIOS RM ajuda-o a explicar por que razão riscos específicos de elevado impacto receberam atenção específica. A ISO 27005 ajuda-o a demonstrar que nada escapou pelas falhas. A postura mais sólida, para organizações que genuinamente precisam de ambos, é um registo ISO 27005 como sistema de registo oficial, com os cenários EBIOS RM sobrepostos para justificar as decisões que mais importaram.

Frequently asked questions

01Qual é que o meu auditor espera?

Para uma auditoria de certificação ISO 27001, o auditor espera, por defeito, uma metodologia alinhada com a ISO/IEC 27005. A revisão de 2022 da ISO 27005 estabelece explicitamente a ponte para a Cláusula 6 da ISO 27001 e para os princípios da ISO 31000.

Para auditorias do setor público francês (HFDS, inspeções da ANSSI a operadores de importância vital ao abrigo da LPM, supervisão da NIS 2 pela ANSSI), o EBIOS RM é a linguagem esperada. A incapacidade de articular cenários estratégicos no vocabulário do EBIOS RM será assinalada.

02Posso usar ambos ao mesmo tempo?

Sim, e muitas organizações fazem-no. O EBIOS RM produz 5 a 10 cenários estratégicos de ataque com fontes de ameaça nomeadas, ativos de negócio e eventos temidos; estes tornam-se as entradas para um registo de risco ISO 27005 que trata da camada operacional (combinações de vulnerabilidade-ativo, pontuação de probabilidade-impacto, opções de tratamento).

A combinação funciona porque o EBIOS RM opera ao nível do cenário (acessível ao conselho de administração), enquanto a ISO 27005 opera ao nível do ativo/controlo (adequado à auditoria). Mapear os dois exige disciplina, mas é terreno bem trilhado em entidades francesas sujeitas tanto à supervisão da ANSSI como à certificação ISO 27001.

03O EBIOS RM só é relevante em França?

Na sua maioria, sim. Fora de França, a ISO 27005 é a língua franca para a metodologia de risco de ISMS. O EBIOS RM é reconhecido pela ENISA em algumas publicações e usado por jurisdições de influência francesa, mas raramente o encontrará em auditorias fora de França ou da África francófona.

Se a sua área de auditoria for puramente internacional, a ISO 27005 é a escolha única mais segura. Se opera em França, no setor público, ou vende a entidades do Estado francês, espera-se literacia em EBIOS RM.

04O que abrange a credencial PECB EBIOS Risk Manager?

Cinco dias. Abrange os cinco workshops do EBIOS RM: âmbito e base de segurança, fontes de risco, cenários estratégicos, cenários operacionais, tratamento de risco. O exame é com consulta, três horas, mistura de escolha múltipla e questões de cenário.

A credencial é reconhecida pela ANSSI através do percurso de acreditação PECB Gold Partner. Não substitui a ISO/IEC 27005 Risk Manager se o seu auditor esperar a metodologia ISO; complementa-a.

Grupos que transformam a leitura numa credencial.

Pilar lido. E agora?

Cada pilar liga ao grupo que o transforma numa credencial. Consulte o catálogo ou fale connosco para um percurso personalizado.