ISO 31000: Foundation → Risk Manager → Lead Risk Manager.

O percurso PECB completo para a gestão de risco empresarial. Por que a ISO 31000 não tem Lead Auditor, a quem cada nível se adequa, como complementa a ISO 27005 e o EBIOS RM.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll pillars

A perspetiva da Cyber Academy

A ISO 31000 é a norma internacional de orientação para a gestão de risco, princípios, estrutura, processo, aplicável a qualquer organização e a qualquer tipo de risco. Não é certificável; o percurso PECB é Foundation, Risk Manager e depois Lead Risk Manager. Não existe ISO 31000 Lead Auditor: a ISO 31000 é orientação, não uma norma de sistema de gestão, portanto não há nada contra o qual auditar.

TL;DR

  • 1A ISO 31000 é orientação, não um sistema de gestão certificável. Não existe Lead Auditor.
  • 2Percurso PECB: Foundation (2 dias), Risk Manager (5 dias), Lead Risk Manager (5 dias). A credencial sénior é Lead Risk Manager.
  • 3A Foundation fornece o vocabulário, os princípios e o modelo de processo. Pré-requisito obrigatório para as credenciais sénior.
  • 4A Risk Manager aplica a ISO 31000 a um âmbito específico. A Lead Risk Manager lidera o programa de risco empresarial transversalmente às funções.
  • 5Complementa a ISO 27005 (risco específico de segurança da informação) e o EBIOS RM (cenários cibernéticos estratégicos), lentes diferentes sobre a mesma disciplina de risco.

Como é que o percurso ISO 31000 funciona efetivamente numa organização

A ISO 31000 não é algo que se implementa da forma como se implementa um sistema de gestão. Não há Declaração de Aplicabilidade, não há cláusulas obrigatórias a cumprir, não há ciclo de auditoria de acompanhamento. O que se constrói, em vez disso, é uma estrutura de gestão de risco: uma forma de o risco ser identificado, analisado, tratado, monitorizado e reportado de forma consistente em toda a organização, e um processo que as pessoas em funções operacionais efetivamente seguem. A norma dá-lhe os princípios e o vocabulário; o trabalho é torná-los reais na sua governança, nos seus comités e nos seus pontos de decisão.

É por isso que o percurso decorre da forma como decorre. A Foundation dá-lhe a linguagem partilhada para que "probabilidade", "critérios de risco", "apetite ao risco" e "risco residual" signifiquem o mesmo para todos os presentes na sala. A Risk Manager ensina-o a conduzir o processo dentro de um âmbito definido: um departamento, um programa, uma linha de produtos. A Lead Risk Manager ensina-o a conceber e dirigir a própria estrutura transversalmente às funções, o que é tanto um trabalho de governança como técnico.

O percurso é sequencial por conceção. A Foundation é o pré-requisito para as credenciais sénior, portanto a maioria dos profissionais começa pelo curso ISO 31000 Foundation antes de decidir se precisa do nível Risk Manager ou Lead Risk Manager.

Escolher o seu nível: Risk Manager ou Lead Risk Manager

A decisão não é sobre senioridade no papel, é sobre aquilo pelo qual será responsabilizado. A Risk Manager destina-se à pessoa que conduz o processo de risco dentro de um âmbito e é dona de um registo de risco: facilita workshops, pontua riscos face a critérios acordados, propõe tratamento e mantém o registo honesto ao longo do tempo. A Lead Risk Manager destina-se à pessoa que tem de tornar o conjunto coerente em toda a organização: definir os critérios e o apetite ao risco, conceber a estrutura, integrá-la com a estratégia e as restantes funções de garantia, e reportar ao conselho de administração.

Um teste útil: se o seu trabalho é responder "quais são os nossos principais riscos nesta área e o que estamos a fazer quanto a isso", a Risk Manager é o nível certo. Se o seu trabalho é responder "a nossa estrutura de gestão de risco é adequada ao propósito, e pode a liderança confiar nela para tomar decisões", precisa da Lead Risk Manager. Muitas pessoas fazem primeiro a Risk Manager, conduzem um programa durante um ou dois anos, e depois fazem a Lead Risk Manager quando passam para um papel empresarial ou próximo do CISO.

Percurso PECB ISO 31000: nível, âmbito e a quem se adequa
NívelDuraçãoÂmbitoA quem se adequa
Foundation2 diasPrincípios, estrutura e modelo de processo; apenas vocabulário, sem responsabilidade de implementaçãoQualquer pessoa que precise da linguagem partilhada: analistas, gestores de projeto, auditores de outros domínios, recém-chegados ao risco
Risk Manager5 diasAplicar o processo da ISO 31000 dentro de um âmbito definido; ser dono e conduzir um registo de riscoProfissionais que facilitam avaliações e gerem o risco de um departamento, programa ou produto
Lead Risk Manager5 diasConceber e liderar a estrutura de risco empresarial; definir critérios e apetite; reportar à liderançaHeads of risk, CISOs e papéis sénior de GRC responsáveis por todo o programa

Por que não existe ISO 31000 Lead Auditor

Esta questão surge constantemente porque a maioria das outras credenciais ISO vem em pares: Lead Implementer e Lead Auditor, espelhando a norma certificável por detrás delas. A ISO 31000 não tem Lead Auditor porque não há nada contra o qual auditar. Uma auditoria verifica a conformidade com requisitos, as declarações "shall" de uma norma de sistema de gestão como a ISO 27001 ou a ISO 9001. A ISO 31000 contém orientação, o "should" das boas práticas, não requisitos. Não se pode certificar uma organização à ISO 31000, portanto não se pode realizar uma auditoria de certificação contra ela, portanto não existe credencial de auditor.

Isso não significa que a gestão de risco escape à garantia. É avaliada indiretamente. Quando um auditor da ISO 27001 examina o seu processo de avaliação e tratamento de risco, está a verificar a conformidade com as cláusulas 6.1 e 8.2/8.3 da ISO 27001, e a ISO 31000 (frequentemente através da ISO 27005) é a referência reconhecida para o aspeto que esse processo deve ter. Assim, o Lead Risk Manager constrói a estrutura, e o auditor de sistema de gestão testa se a estrutura é aplicada onde uma norma certificável o exige. São dois trabalhos diferentes, e confundi-los é o mal-entendido mais comum que as pessoas trazem para a sala de formação.

Como a ISO 31000 complementa a ISO 27005 e o EBIOS RM

Estas não são normas concorrentes; são lentes diferentes sobre a mesma disciplina, e os profissionais sénior usam-nas em conjunto. A ISO 31000 é o enquadramento genérico que se aplica a qualquer risco em qualquer organização. A ISO 27005 estreita esse enquadramento ao risco de segurança da informação, com o detalhe de ativo, ameaça e vulnerabilidade de que um ISMS precisa. O EBIOS Risk Manager, o método francês (ANSSI), aborda o problema a partir de cenários de ataque estratégicos e do ecossistema de atacantes e partes interessadas, o que é forte para o risco cibernético de elevada criticidade e cada vez mais esperado nos setores público e regulado da UE.

O padrão prático é em camadas: a ISO 31000 define os princípios, a estrutura e o processo que toda a organização partilha; a ISO 27005 Risk Manager dá-lhe o método específico de segurança da informação que encaixa num ISMS da ISO 27001; e o EBIOS Risk Manager dá-lhe a visão orientada por cenários e centrada no atacante para os riscos cibernéticos que mais importam. Não se contradizem, e o vocabulário da ISO 31000 é o que permite a uma equipa transitar entre eles sem confusão.

ISO 31000 vs ISO 27005 vs EBIOS RM
ISO 31000ISO 27005EBIOS RM
ÂmbitoQualquer risco, qualquer organizaçãoRisco de segurança da informaçãoCenários de risco cibernético estratégico
PapelPrincípios, estrutura, processoMétodo de risco específico de SI para um ISMSAnálise orientada pelo atacante e pelo ecossistema
Combina comGovernança empresarialCertificação ISO 27001ANSSI / setor regulado e público
AbordagemGenérica e de cima para baixoAtivo, ameaça, vulnerabilidadeOrientada por cenários e partes interessadas

Relevância para além do cibernético, e os erros comuns

Porque a ISO 31000 é agnóstica quanto ao tipo de risco, a mesma estrutura cobre risco operacional, financeiro, da cadeia de fornecimento, de projeto, de segurança, de conformidade e estratégico. Esse é o seu verdadeiro valor para um CISO que quer um lugar à mesa empresarial: falar ISO 31000 significa falar a linguagem que o conselho de administração e a função de risco mais ampla já usam, não um dialeto cibernético que tenham de traduzir. A credencial viaja bem para fora da segurança, o que é parte da razão pela qual está no centro de uma carreira séria de GRC, e não na sua periferia.

Os erros são consistentes entre organizações. As pessoas tratam o registo de risco como um artefacto de conformidade a produzir uma vez por ano em vez de uma ferramenta de decisão viva. Definem critérios de risco com os quais ninguém concorda, pelo que a pontuação se torna teatro. Confundem apetite ao risco (uma decisão de liderança) com tolerância ao risco (o intervalo de operação), e não deixam que nenhum seja definido explicitamente, o que significa que as decisões de tratamento não têm âncora. E saltam a Foundation, lançando uma equipa inteira num curso de Risk Manager onde metade da sala ainda discute o que significa "probabilidade".

Se está a construir um programa em vez de apenas fazer um exame, a ordem que funciona é: levar a equipa pela ISO 31000 Foundation para vocabulário partilhado, pôr os donos de âmbito na ISO 31000 Risk Manager, e fazer com que quem é dono da estrutura empresarial faça a ISO 31000 Lead Risk Manager. Essa sequência evita o modo de falha mais dispendioso, que é uma estrutura que apenas uma pessoa compreende.

Frequently asked questions

01Por que não existe ISO 31000 Lead Auditor?

A ISO 31000 é orientação, não uma norma de sistema de gestão. Não existe um sistema certificável contra o qual auditar. Alguns catálogos de formação anunciam ISO 31000 Lead Auditor; essa credencial não existe dentro do programa PECB. Quem a procura normalmente refere-se à ISO 27001 Lead Auditor (que audita o ISMS usando a metodologia de risco da ISO 27005) ou à ISO/IEC 27005 Risk Manager (que aplica a metodologia à segurança da informação).

Se o seu auditor esperar uma auditoria à ISO 31000, conteste: não existe critério de conformidade certificável. Provavelmente refere-se a uma avaliação de maturidade da estrutura de gestão de risco, que é um exercício diferente.

02Risk Manager ou Lead Risk Manager, qual é o certo para mim?

A Risk Manager (5 dias) destina-se a profissionais que gerem um âmbito de risco definido: um departamento, um programa, uma subsidiária. O curso ensina-o a operar a ISO 31000 dentro desse âmbito. A maioria dos analistas de GRC e responsáveis de risco fica por aqui.

A Lead Risk Manager (5 dias) destina-se a profissionais sénior que gerem o programa de risco empresarial: definir o apetite ao risco, conceber a estrutura, integrar o risco entre unidades de negócio, reportar ao conselho de administração. Necessária quando o título do cargo é Head of Risk, Chief Risk Officer ou equivalente.

03Como é que a ISO 31000 se posiciona em relação à ISO 27005?

Âmbitos diferentes. A ISO 31000 é a orientação genérica de gestão de risco, aplica-se a risco financeiro, risco operacional, risco estratégico, risco de conformidade, risco de segurança da informação, qualquer coisa. A ISO 27005 é a aplicação dos princípios da ISO 31000 especificamente ao risco de segurança da informação num contexto de ISMS da ISO 27001.

Um profissional de risco com credenciais ISO 31000 opera transversalmente à empresa. Um especialista em risco de segurança da informação com credenciais ISO 27005 opera dentro do âmbito do ISMS. Os profissionais sénior frequentemente detêm ambas.

04A ISO 31000 é relevante fora da cibersegurança?

Sim, muito. A ISO 31000 é agnóstica em relação ao setor. É usada na gestão de risco financeiro (juntamente com os enquadramentos de Basileia e Solvência), na gestão de risco empresarial (juntamente com o COSO ERM), no risco da cadeia de fornecimento, no risco ambiental, no risco de projeto e no risco operacional. Os princípios e o modelo de processo são idênticos entre domínios; mudam apenas as categorias de ativos e ameaças.

Grupos que transformam a leitura numa credencial.

Pilar lido. E agora?

Cada pilar liga ao grupo que o transforma numa credencial. Consulte o catálogo ou fale connosco para um percurso personalizado.