ISO 27005: guia completo para gestão de riscos de segurança da informação

A norma que transforma incerteza em decisão

A ISO 27005 e a norma internacional que fornece diretrizes para a gestão de riscos de segurança da informação. Públicada pela ISO/IEC, ela não certifica, diferente da ISO 27001, mas oferece o roteiro métodológico para identificar, analisar, avaliar, tratar e monitorar riscos de forma sistemática.

O desafio prático: a ISO 27005 descreve o que fazer, mas não prescreve como calcular. Ela aceita abordagens qualitativas, semiquantitativas e quantitativas, sem impor um modelo matemático específico. Essa flexibilidade permite adaptação ao contexto, mas gera uma lacuna operacional. Como converter a diretriz genérica em números que o board entenda?

Este artigo cobre o processo completo da ISO 27005, compara com FAIR e NIST SP 800-30, detalha os passos de implementação e mostra como o módulo CRQ da EcoTrust automatiza a análise quantitativa que a norma recomenda, entregando o Valor em Risco (VaR) cibernético em Reais.

---

O que é a ISO 27005

Leia também: Gestão de riscos cibernéticos: do técnico ao financeiro e...

A ISO/IEC 27005 (cuja versão mais recente e a de 2022) é uma norma de suporte dentro da familia ISO 27000. Ela fornece diretrizes detalhadas para implementar os requisitos de gestão de riscos estabelecidos pela ISO 27001, especificamente nas clausulas 6.1.2 (avaliação de riscos de segurança da informação) e 6.1.3 (tratamento de riscos de segurança da informação).

Em termos objetivos, a ISO 27005 define:

• Escopo e contexto para a gestão de riscos de segurança da informação.
• Processo iterativo composto por etapas sequenciais e cíclicas.
• Critérios de risco que orientam a priorização é a tomada de decisão.
• Opções de tratamento com diretrizes para seleção de controles.

A norma não é prescritiva quanto a ferramentas ou técnicas específicas. Ela estabelece o framework conceitual e espera que cada organização escolha os métodos mais adequados ao seu porte, setor e apetite de risco.

Público-alvo da ISO 27005

A norma se destina a gestores de segurança da informação, profissionais de risco, auditores internos, consultores de compliance e, em última instancia, qualquer pessoa responsável por decisões que envolvam risco de segurança. Para o CISO, ela é o manual de referência; para o auditor, e o critério de avaliação.

---

Relacionamento com a ISO 27001 é a ISO 27002

Leia também: Metodologia FAIR + Monte Carlo: como calcular o Valor em ...

A ISO 27005 não existe de forma isolada. Ela faz parte de um ecossistema normativo coeso:

ISO 27001, Define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). A clausula 6.1 exige que a organização conduza um processo de avaliação de riscos e defina um plano de tratamento. A ISO 27005 é o guia que detalha como cumprir essa exigência.

ISO 27002, Fornece o catalogo de controles de segurança (93 controles na versão 2022). Quando a ISO 27005 chega a etapa de tratamento de riscos, os controles selecionados tipicamente vem da ISO 27002.

Fluxo prático:

1. A ISO 27001 exige a avaliação de riscos.
2. A ISO 27005 descreve como conduzir essa avaliação.
3. A ISO 27002 fornece os controles para tratar os riscos identificados.

Uma organização certificada ISO 27001 precisa demonstrar alinhamento com as diretrizes da ISO 27005 (ou metodologia equivalente). A adoção da ISO 27005 e evidência direta de conformidade com a clausula 6.1 da ISO 27001.

---

O processo de gestão de riscos da ISO 27005

A ISO 27005 estrutura a gestão de riscos em seis etapas principais, organizadas em um ciclo iterativo. Abaixo, detalhamos cada uma.

Etapa 1: Estabelecimento do contexto

Antes de identificar qualquer risco, a organização precisa definir o contexto interno e externo. Isso inclui:

• Escopo da avaliação: quais ativos, processos e unidades de negócio serão cobertos.
• Critérios de risco: parâmetros para medir probabilidade e impacto, limiares de aceitação e escalas de classificação.
• Apetite de risco: o nível de risco que a organização está disposta a aceitar para atingir seus objetivos.
• Requisitos legais e regulatórios: LGPD, regulamentações setoriais (BACEN 4893, PCI DSS) e obrigações contratuais.

O estabelecimento do contexto é a etapa mais negligênciada e, paradoxalmente, a mais determinante. Critérios de risco mal definidos contaminam todas as etapas subsequentes. Se a escala de impacto não está calibrada em termos financeiros, a avaliação resultara em classificações subjetivas que não comunicam risco ao board.

Etapa 2: Identificação de riscos

Com o contexto estabelecido, a organização identifica:

• Ativos de informação: sistemas, bancos de dados, aplicações, infraestrutura, dados pessoais.
• Ameaças: agentes e eventos que podem explorar vulnerabilidades (ransomware, phishing, insiders maliciosos, desastrês naturais).
• Vulnerabilidades: fraquezas técnicas, processuais ou humanas que podem ser exploradas.
• Controles existentes: medidas já implementadas que reduzem a exposição.
• Consequências: impacto potencial caso o risco se materialize (financeiro, operacional, reputacional, legal).

A identificação de riscos e onde os dados de vulnerabilidade se tornam críticos. Uma avaliação de riscos baseada apenas em ameaças teóricas, sem dados reais sobre as vulnerabilidades presentes no ambiente, produz resultados desconectados da realidade. Por isso, a integração com ferramentas de Gestão de Vulnerabilidades (GVul) é fundamental: ela alimenta a identificação de riscos com evidências concretas sobre o estado real da superfície de ataque.

Etapa 3: Análise de riscos

A análise de riscos estima a probabilidade de ocorrência é o impacto potencial de cada risco identificado. A ISO 27005 permite três abordagens:

• Qualitativa: usa escalas descritivas (Alto, Médio, Baixo). Simples de implementar, mas subjetiva e difícil de comparar entre cenários.
• Semiquantitativa: atribui valores numéricos as escalas qualitativas (ex.: Alto = 9, Médio = 6, Baixo = 3). Melhora a comparabilidade, mas os números são arbitrarios.
• Quantitativa: estima probabilidade e impacto em termos numéricos reais (frequência anualizada, perda monetaria esperada). Oferece a base mais sólida para decisões financeiras, mas exige dados e modelos estatisticos.

A própria ISO 27005 reconhece que a abordagem quantitativa e a mais robusta para organizações que precisam comunicar risco em termos financeiros. O desafio é que, historicamente, a análise quantitativa era manual, demorada e dependente de especialistas em estatistica. E exatamente aqui que a automação muda o jogo.

Etapa 4: Avaliação de riscos

A avaliação compara os resultados da análise com os critérios de risco definidos no contexto. O objetivo é priorizar: quais riscos exigem tratamento imediato, quais podem ser monitorados e quais estão dentro do apetite de risco.

A saida dessa etapa é uma lista priorizada de riscos, ranqueados por uma combinação de probabilidade e impacto. Quando a análise e quantitativa, essa priorização se torna objetiva: o risco com maior Valor em Risco (VaR) sobe ao topo, independentemente de percepcoes subjetivas.

Etapa 5: Tratamento de riscos

Para cada risco que excede o apetite definido, a organização seleciona uma opção de tratamento:

1. Mitigar (reduzir): implementar controles que reduzam a probabilidade ou o impacto. Os controles da ISO 27002 são a referência primária.
2. Transferir (compartilhar): transferir o risco para terceiros, tipicamente via seguro cibernético ou clausulas contratuais.
3. Evitar: eliminar a atividade ou ativo que gera o risco.
4. Aceitar (reter): aceitar o risco residual quando o custo de tratamento excede o impacto potencial.

O plano de tratamento de riscos deve documentar, para cada risco, a opção escolhida, os controles selecionados, os responsáveis, os prazos é o risco residual estimado após a implementação.

Etapa 6: Monitoramento e revisão

A gestão de riscos não é um exercício pontual. A ISO 27005 exige monitoramento contínuo para:

• Detectar mudanças no contexto (novas ameaças, novas vulnerabilidades, mudanças regulatórias).
• Avaliar a eficácia dos controles implementados.
• Atualizar a avaliação de riscos quando novos dados estiverem disponíveis.
• Reportar o status de riscos as partes interessadas.

---

Diagrama conceitual: o ciclo da ISO 27005

O processo da ISO 27005 pode ser visualizado como um ciclo contínuo:

  Estabelecimento do Contexto
            |
            v
  Identificação de Riscos
            |
            v
     Análise de Riscos
     (qualitativa, semiquantitativa ou quantitativa)
            |
            v
    Avaliação de Riscos
     (priorização vs. critérios)
            |
            v
   Tratamento de Riscos
   (mitigar | transferir | evitar | aceitar)
            |
            v
  Monitoramento e Revisão  -----> retroalimenta todas as etapas
            |
            v
   Comunicação e Consulta  -----> permeia todo o ciclo

Cada iteração do ciclo refina a avaliação anterior com dados mais recentes, tornando a gestão de riscos progressivamente mais precisa.

---

ISO 27005 vs FAIR vs NIST SP 800-30: comparação de frameworks

A ISO 27005 não é o único framework de gestão de riscos disponível. Abaixo, comparamos com dois outros amplamente adotados.

Quando usar cada um

• ISO 27005: escolha natural para certificação ISO 27001. Oferece estrutura de processo, mas deixa o método de cálculo em aberto.
• FAIR: ideal para comunicar risco em linguagem financeira ao board, preenchendo a lacuna quantitativa da ISO 27005.
• NIST SP 800-30: mais acessível que FAIR, amplamente adotado por organizações alinhadas ao NIST CSF, mas menos preciso financeiramente.

A combinação mais poderosa e usar a ISO 27005 como framework de processo é o FAIR como motor de cálculo quantitativo, a estrutura normativa reconhecida internacionalmente mais a capacidade de expressar risco em Reais.

---

Passos práticos para implementar a ISO 27005

A implementação da ISO 27005 pode ser dividida em oito passos concretos:

1. Obtenha patrocinio executivo. Apresente ao board o custo médio de um data breach no Brasil (R$ 6,75 milhões segundo IBM, 2024) é o custo da não conformidade (multas LGPD de até R$ 50 milhões).
2. Defina o escopo e os critérios de risco. Delimite ativos, processos e unidades cobertas. Estabeleca escalas de probabilidade e impacto, preferencialmente em termos financeiros.
3. Construa o inventário de ativos. Utilize ferramentas de discovery como o CRS-CAASM para visibilidade completa, incluindo shadow IT.
4. Realize varreduras de vulnerabilidade. A Gestão de Vulnerabilidades (GVul) fornece o mapa de vulnerabilidades que alimenta a análise de riscos.
5. Conduza a identificação e análise de riscos. Para cada par ameaça-vulnerabilidade, estime probabilidade (com EPSS) e impacto financeiro.
6. Avalie e priorize. Compare os resultados com os critérios de risco e classifique os que excedem o apetite definido.
7. Defina o plano de tratamento. Selecione opção de tratamento, atribua responsáveis, prazos e documente o risco residual.
8. Implemente o monitoramento contínuo. Estabeleca KRIs e revisoes periódicas. Cada nova vulnerabilidade ou incidente retroalimenta o processo.

---

O papel dos dados de vulnerabilidade na avaliação de riscos

A ISO 27005 exige que a identificação de riscos considere as vulnerabilidades presentes nos ativos da organização. No entanto, muitas implementações tratam vulnerabilidades como uma lista genérica de CVEs, desconectada do contexto de negócio.

Uma avaliação eficaz integra dados de vulnerabilidade em três níveis:

1. Presença: o ativo possui a vulnerabilidade? Dados fornecidos por scanners e pela Gestão de Vulnerabilidades (GVul).
2. Probabilidade de exploração: o EPSS score é a existência de exploits conhecidos calibram essa estimativa.
3. Impacto no negócio: o valor do ativo afetado é a consequência de uma exploração bem-sucedida, derivados do contexto de negócio e do inventário de ativos.

Quando esses três níveis estão conectados, a análise de riscos reflete o risco real. Uma vulnerabilidade crítica em um servidor de produção que processa pagamentos tem um perfil de risco completamente diferente da mesma vulnerabilidade em um servidor de testes isolado.

---

Como o CRQ automatiza a análise quantitativa que a ISO 27005 recomenda

A ISO 27005 reconhece a superioridade da análise quantitativa, mas não resolve o problema prático de executa-la. Calcular o VaR cibernético manualmente, para cada cenário de risco, exigiria conhecimento em estatistica, acesso a dados históricos de incidentes e capacidade de modelagem que poucas equipes de segurança possuem internamente.

O módulo CRQ (Cyber Risk Quantification) da EcoTrust resolve essa lacuna ao automatizar o processo completo:

Alimentação automática de dados. O CRQ consome dados de vulnerabilidade diretamente do módulo GVul, dados de ativos do CRS-CAASM e dados de ameaças de fontes externas. Não é necessário preencher planilhas manualmente.

Modelo FAIR nativo. O CRQ implementa a taxonomia FAIR completa, TEF (Threat Event Frequency), LEF (Loss Event Frequency), LM (Loss Magnitude) e seus subfatores, de forma automatizada. Cada cenário de risco e decomposto nos fatores FAIR sem que o analista precise dominar a teoria estatistica subjacente.

Simulação Monte Carlo com 10.000 variáveis. Para cada cenário, o CRQ executa simulações Monte Carlo que geram distribuições de probabilidade de perda. O resultado é um VaR cibernético expresso em Reais, por exemplo, "a perda máxima esperada por ransomware no percentil 95 e de R$ 7,3 milhões anuais".

VaR em BRL. Todos os resultados são expressos em Reais (BRL), calibrados para o contexto econômico brasileiro. Isso permite que o CISO comunique risco ao board na mesma linguagem que o CFO usa para outros riscos corporativos.

Priorização baseada em risco financeiro. Os cenários de maior VaR sobem ao topo, orientando a alocação de orçamento e esforço de remediação. Isso é exatamente o que a etapa de avaliação de riscos da ISO 27005 busca, mas com precisão financeira em vez de escalas subjetivas.

Na prática, o CRQ transforma a análise de riscos da ISO 27005 de um exercício qualitativo anual em um processo quantitativo, contínuo e automatizado.

---

Como a EcoTrust suporta a conformidade com a ISO 27005

A EcoTrust é uma plataforma de IA Agêntica para CTEM (Continuous Threat Exposure Management). Seus módulos cobrem diferentes etapas do processo da ISO 27005:

A integração entre os módulos e o diferencial: o GVul alimenta o CRQ com dados de vulnerabilidade, o CRS-CAASM fornece o contexto de negócio para calcular impacto financeiro. Essa cadeia integrada transforma a gestão de riscos de um processo manual em um fluxo automatizado e contínuo.

Veja como o módulo CRQ automatiza a análise de riscos da ISO 27005 na prática.

---

Perguntas frequentes sobre a ISO 27005

A ISO 27005 é obrigatória?

A ISO 27005 não é obrigatória nem certificavel. Porém, organizações que buscam certificação ISO 27001 precisam demonstrar gestão de riscos conforme as clausulas 6.1.2 e 6.1.3, e a ISO 27005 e o guia mais direto para isso. Regulamentações como LGPD e BACEN 4893 também exigem gestão de riscos, e a ISO 27005 e base aceita para demonstrar conformidade.

Qual a diferença entre a ISO 27005 e a ISO 31000?

A ISO 31000 e a norma genérica de gestão de riscos, aplicável a qualquer tipo de risco. A ISO 27005 é uma especialização da ISO 31000 para segurança da informação, herdando seus princípios mas adicionando diretrizes específicas para ativos de informação, ameaças cibernéticas e controles de segurança.

A ISO 27005 exige análise quantitativa?

Não. A norma permite abordagens qualitativas, semiquantitativas e quantitativas. Porém, ela reconhece que a abordagem quantitativa oferece resultados mais precisos e melhor base para decisões financeiras. Para organizações que precisam comunicar risco ao board em termos monetarios, a análise quantitativa e fortemente recomendada.

Com que frequência devo revisar a avaliação de riscos?

A norma não define periodicidade fixa. Exige revisão sempre que houver mudanças significativas (novas ameaças, vulnerabilidades, regulamentações ou incidentes). Na prática, organizações maduras fazem revisoes formais anuais e atualizações continuas alimentadas por dados de vulnerabilidade.

Posso usar FAIR dentro do processo da ISO 27005?

Sim, e essa é a combinação recomendada. A ISO 27005 define o processo (contexto, identificação, análise, avaliação, tratamento, monitoramento) é o FAIR fornece o modelo matemático para a etapa de análise quantitativa. Não há conflito entre as duas abordagens, elas são complementares. O módulo CRQ da EcoTrust implementa exatamente essa combinação de forma automatizada.

Qual o primeiro passo para implementar a ISO 27005?

Obter patrocinio executivo e definir o escopo. Sem apoio da alta direção, a gestão de riscos se torna exercício burocratico. Com o patrocinio, defina ativos e processos cobertos, estabeleca critérios de risco e garanta visibilidade sobre ativos e vulnerabilidades antes de iniciar.

---

Para aprofundamento, consulte a referência oficial: NIST Cybersecurity Framework.

Conclusão: da diretriz a execução automatizada

A ISO 27005 e o alicerce métodológico para a gestão de riscos de segurança da informação. Porém, transformar essa estrutura em resultados acionáveis exige dados reais, modelos quantitativos e automação.

A combinação ISO 27005 (processo) + FAIR (cálculo) + dados de vulnerabilidade (evidência) é o que separa gestão de riscos de papel de uma gestão que efetivamente orienta decisões. Com a EcoTrust, o CISO reporta risco em Reais, prioriza investimentos por VaR e demonstra conformidade, tudo de forma contínua e integrada.

Conheça o módulo de Gestão de Vulnerabilidades e veja como dados reais alimentam a avaliação de riscos.