A perspetiva da Cyber Academy
A ISO 31000 é a norma internacional de orientação para a gestão de risco, princípios, estrutura, processo, aplicável a qualquer organização e a qualquer tipo de risco. Não é certificável; o percurso PECB é Foundation, Risk Manager e depois Lead Risk Manager. Não existe ISO 31000 Lead Auditor: a ISO 31000 é orientação, não uma norma de sistema de gestão, portanto não há nada contra o qual auditar.
TL;DR
- 1A ISO 31000 é orientação, não um sistema de gestão certificável. Não existe Lead Auditor.
- 2Percurso PECB: Foundation (2 dias), Risk Manager (5 dias), Lead Risk Manager (5 dias). A credencial sénior é Lead Risk Manager.
- 3A Foundation fornece o vocabulário, os princípios e o modelo de processo. Pré-requisito obrigatório para as credenciais sénior.
- 4A Risk Manager aplica a ISO 31000 a um âmbito específico. A Lead Risk Manager lidera o programa de risco empresarial transversalmente às funções.
- 5Complementa a ISO 27005 (risco específico de segurança da informação) e o EBIOS RM (cenários cibernéticos estratégicos), lentes diferentes sobre a mesma disciplina de risco.
Como é que o percurso ISO 31000 funciona efetivamente numa organização
A ISO 31000 não é algo que se implementa da forma como se implementa um sistema de gestão. Não há Declaração de Aplicabilidade, não há cláusulas obrigatórias a cumprir, não há ciclo de auditoria de acompanhamento. O que se constrói, em vez disso, é uma estrutura de gestão de risco: uma forma de o risco ser identificado, analisado, tratado, monitorizado e reportado de forma consistente em toda a organização, e um processo que as pessoas em funções operacionais efetivamente seguem. A norma dá-lhe os princípios e o vocabulário; o trabalho é torná-los reais na sua governança, nos seus comités e nos seus pontos de decisão.
É por isso que o percurso decorre da forma como decorre. A Foundation dá-lhe a linguagem partilhada para que "probabilidade", "critérios de risco", "apetite ao risco" e "risco residual" signifiquem o mesmo para todos os presentes na sala. A Risk Manager ensina-o a conduzir o processo dentro de um âmbito definido: um departamento, um programa, uma linha de produtos. A Lead Risk Manager ensina-o a conceber e dirigir a própria estrutura transversalmente às funções, o que é tanto um trabalho de governança como técnico.
O percurso é sequencial por conceção. A Foundation é o pré-requisito para as credenciais sénior, portanto a maioria dos profissionais começa pelo curso ISO 31000 Foundation antes de decidir se precisa do nível Risk Manager ou Lead Risk Manager.
Escolher o seu nível: Risk Manager ou Lead Risk Manager
A decisão não é sobre senioridade no papel, é sobre aquilo pelo qual será responsabilizado. A Risk Manager destina-se à pessoa que conduz o processo de risco dentro de um âmbito e é dona de um registo de risco: facilita workshops, pontua riscos face a critérios acordados, propõe tratamento e mantém o registo honesto ao longo do tempo. A Lead Risk Manager destina-se à pessoa que tem de tornar o conjunto coerente em toda a organização: definir os critérios e o apetite ao risco, conceber a estrutura, integrá-la com a estratégia e as restantes funções de garantia, e reportar ao conselho de administração.
Um teste útil: se o seu trabalho é responder "quais são os nossos principais riscos nesta área e o que estamos a fazer quanto a isso", a Risk Manager é o nível certo. Se o seu trabalho é responder "a nossa estrutura de gestão de risco é adequada ao propósito, e pode a liderança confiar nela para tomar decisões", precisa da Lead Risk Manager. Muitas pessoas fazem primeiro a Risk Manager, conduzem um programa durante um ou dois anos, e depois fazem a Lead Risk Manager quando passam para um papel empresarial ou próximo do CISO.
| Nível | Duração | Âmbito | A quem se adequa |
|---|---|---|---|
| Foundation | 2 dias | Princípios, estrutura e modelo de processo; apenas vocabulário, sem responsabilidade de implementação | Qualquer pessoa que precise da linguagem partilhada: analistas, gestores de projeto, auditores de outros domínios, recém-chegados ao risco |
| Risk Manager | 5 dias | Aplicar o processo da ISO 31000 dentro de um âmbito definido; ser dono e conduzir um registo de risco | Profissionais que facilitam avaliações e gerem o risco de um departamento, programa ou produto |
| Lead Risk Manager | 5 dias | Conceber e liderar a estrutura de risco empresarial; definir critérios e apetite; reportar à liderança | Heads of risk, CISOs e papéis sénior de GRC responsáveis por todo o programa |
Por que não existe ISO 31000 Lead Auditor
Esta questão surge constantemente porque a maioria das outras credenciais ISO vem em pares: Lead Implementer e Lead Auditor, espelhando a norma certificável por detrás delas. A ISO 31000 não tem Lead Auditor porque não há nada contra o qual auditar. Uma auditoria verifica a conformidade com requisitos, as declarações "shall" de uma norma de sistema de gestão como a ISO 27001 ou a ISO 9001. A ISO 31000 contém orientação, o "should" das boas práticas, não requisitos. Não se pode certificar uma organização à ISO 31000, portanto não se pode realizar uma auditoria de certificação contra ela, portanto não existe credencial de auditor.
Isso não significa que a gestão de risco escape à garantia. É avaliada indiretamente. Quando um auditor da ISO 27001 examina o seu processo de avaliação e tratamento de risco, está a verificar a conformidade com as cláusulas 6.1 e 8.2/8.3 da ISO 27001, e a ISO 31000 (frequentemente através da ISO 27005) é a referência reconhecida para o aspeto que esse processo deve ter. Assim, o Lead Risk Manager constrói a estrutura, e o auditor de sistema de gestão testa se a estrutura é aplicada onde uma norma certificável o exige. São dois trabalhos diferentes, e confundi-los é o mal-entendido mais comum que as pessoas trazem para a sala de formação.
Como a ISO 31000 complementa a ISO 27005 e o EBIOS RM
Estas não são normas concorrentes; são lentes diferentes sobre a mesma disciplina, e os profissionais sénior usam-nas em conjunto. A ISO 31000 é o enquadramento genérico que se aplica a qualquer risco em qualquer organização. A ISO 27005 estreita esse enquadramento ao risco de segurança da informação, com o detalhe de ativo, ameaça e vulnerabilidade de que um ISMS precisa. O EBIOS Risk Manager, o método francês (ANSSI), aborda o problema a partir de cenários de ataque estratégicos e do ecossistema de atacantes e partes interessadas, o que é forte para o risco cibernético de elevada criticidade e cada vez mais esperado nos setores público e regulado da UE.
O padrão prático é em camadas: a ISO 31000 define os princípios, a estrutura e o processo que toda a organização partilha; a ISO 27005 Risk Manager dá-lhe o método específico de segurança da informação que encaixa num ISMS da ISO 27001; e o EBIOS Risk Manager dá-lhe a visão orientada por cenários e centrada no atacante para os riscos cibernéticos que mais importam. Não se contradizem, e o vocabulário da ISO 31000 é o que permite a uma equipa transitar entre eles sem confusão.
| ISO 31000 | ISO 27005 | EBIOS RM | |
|---|---|---|---|
| Âmbito | Qualquer risco, qualquer organização | Risco de segurança da informação | Cenários de risco cibernético estratégico |
| Papel | Princípios, estrutura, processo | Método de risco específico de SI para um ISMS | Análise orientada pelo atacante e pelo ecossistema |
| Combina com | Governança empresarial | Certificação ISO 27001 | ANSSI / setor regulado e público |
| Abordagem | Genérica e de cima para baixo | Ativo, ameaça, vulnerabilidade | Orientada por cenários e partes interessadas |
Relevância para além do cibernético, e os erros comuns
Porque a ISO 31000 é agnóstica quanto ao tipo de risco, a mesma estrutura cobre risco operacional, financeiro, da cadeia de fornecimento, de projeto, de segurança, de conformidade e estratégico. Esse é o seu verdadeiro valor para um CISO que quer um lugar à mesa empresarial: falar ISO 31000 significa falar a linguagem que o conselho de administração e a função de risco mais ampla já usam, não um dialeto cibernético que tenham de traduzir. A credencial viaja bem para fora da segurança, o que é parte da razão pela qual está no centro de uma carreira séria de GRC, e não na sua periferia.
Os erros são consistentes entre organizações. As pessoas tratam o registo de risco como um artefacto de conformidade a produzir uma vez por ano em vez de uma ferramenta de decisão viva. Definem critérios de risco com os quais ninguém concorda, pelo que a pontuação se torna teatro. Confundem apetite ao risco (uma decisão de liderança) com tolerância ao risco (o intervalo de operação), e não deixam que nenhum seja definido explicitamente, o que significa que as decisões de tratamento não têm âncora. E saltam a Foundation, lançando uma equipa inteira num curso de Risk Manager onde metade da sala ainda discute o que significa "probabilidade".
Se está a construir um programa em vez de apenas fazer um exame, a ordem que funciona é: levar a equipa pela ISO 31000 Foundation para vocabulário partilhado, pôr os donos de âmbito na ISO 31000 Risk Manager, e fazer com que quem é dono da estrutura empresarial faça a ISO 31000 Lead Risk Manager. Essa sequência evita o modo de falha mais dispendioso, que é uma estrutura que apenas uma pessoa compreende.
Frequently asked questions
01Por que não existe ISO 31000 Lead Auditor?
A ISO 31000 é orientação, não uma norma de sistema de gestão. Não existe um sistema certificável contra o qual auditar. Alguns catálogos de formação anunciam ISO 31000 Lead Auditor; essa credencial não existe dentro do programa PECB. Quem a procura normalmente refere-se à ISO 27001 Lead Auditor (que audita o ISMS usando a metodologia de risco da ISO 27005) ou à ISO/IEC 27005 Risk Manager (que aplica a metodologia à segurança da informação).
Se o seu auditor esperar uma auditoria à ISO 31000, conteste: não existe critério de conformidade certificável. Provavelmente refere-se a uma avaliação de maturidade da estrutura de gestão de risco, que é um exercício diferente.
02Risk Manager ou Lead Risk Manager, qual é o certo para mim?
A Risk Manager (5 dias) destina-se a profissionais que gerem um âmbito de risco definido: um departamento, um programa, uma subsidiária. O curso ensina-o a operar a ISO 31000 dentro desse âmbito. A maioria dos analistas de GRC e responsáveis de risco fica por aqui.
A Lead Risk Manager (5 dias) destina-se a profissionais sénior que gerem o programa de risco empresarial: definir o apetite ao risco, conceber a estrutura, integrar o risco entre unidades de negócio, reportar ao conselho de administração. Necessária quando o título do cargo é Head of Risk, Chief Risk Officer ou equivalente.
03Como é que a ISO 31000 se posiciona em relação à ISO 27005?
Âmbitos diferentes. A ISO 31000 é a orientação genérica de gestão de risco, aplica-se a risco financeiro, risco operacional, risco estratégico, risco de conformidade, risco de segurança da informação, qualquer coisa. A ISO 27005 é a aplicação dos princípios da ISO 31000 especificamente ao risco de segurança da informação num contexto de ISMS da ISO 27001.
Um profissional de risco com credenciais ISO 31000 opera transversalmente à empresa. Um especialista em risco de segurança da informação com credenciais ISO 27005 opera dentro do âmbito do ISMS. Os profissionais sénior frequentemente detêm ambas.
04A ISO 31000 é relevante fora da cibersegurança?
Sim, muito. A ISO 31000 é agnóstica em relação ao setor. É usada na gestão de risco financeiro (juntamente com os enquadramentos de Basileia e Solvência), na gestão de risco empresarial (juntamente com o COSO ERM), no risco da cadeia de fornecimento, no risco ambiental, no risco de projeto e no risco operacional. Os princípios e o modelo de processo são idênticos entre domínios; mudam apenas as categorias de ativos e ameaças.




