Análise de Risco: Antes ou Depois da Política de Segurança?

Uma Política de Segurança é um conjunto de diretrizes, normas, procedimentos e instruções que orienta as ações de trabalho e define os critérios de segurança a serem adotados, com o objetivo de estabelecer, padronizar e normatizar a segurança e seus processos, tanto no âmbito humano quanto no tecnológico. Sabendo disso, a análise de risco pode ser feita antes da elaboração da política de segurança?

Análise de Risco Após a Política de Segurança

A análise de riscos pode ocorrer antes ou depois da definição de uma Política de Segurança na empresa. Embora normalmente seja usada como base para a criação da política, segundo a norma internacional BS/ISO/IEC 17799, essa atividade pode ser feita depois da sua definição. O propósito de levar em consideração uma política de segurança na análise se deve a vários fatores:

• A política de segurança delimita o alcance da análise;
• É possível ser seletivo na verificação dos ativos que a política define como prioritários;
• A análise leva em consideração a lista de ameaças em potencial que a mesma política contempla de forma parcial;
• A análise considera os riscos e contramedidas definidos na Política de Segurança.

O que é uma Política de Segurança?

Para ter uma ideia mais clara de por que a definição de uma política de segurança marca o momento de começar a análise dos riscos, vamos recordar o que ela representa:

• É uma medida que busca estabelecer os padrões de segurança a serem seguidos por todos os envolvidos no uso e na manutenção dos ativos.
• É uma forma de aplicar um conjunto de normas internas para conduzir a ação responsável das pessoas na realização de seus trabalhos. É o primeiro passo para aumentar a conscientização sobre segurança, pois está orientada à formação de hábitos através de manuais de instrução e procedimentos operacionais.

Análise de Risco Antes da Política de Segurança

É possível também efetuar a análise de riscos antes do desenvolvimento da política de segurança. O maior benefício é que a política será desenvolvida levando em consideração a priorização que foi mapeada na análise, melhorando sua qualidade.

Porém, a análise em si pode consumir muito tempo, e os benefícios da política são inúmeros. Por conta disso, muitas empresas optam por fazer a análise após o desenvolvimento da política. Além de identificar o momento da análise (antes ou depois da definição de uma política de segurança), existe outra série de fatores que determinam a oportunidade dessa análise.