O novo vocabulário da ISO 31073 para gestão de riscos
Por Alberto Bastos
Diversas políticas e documentos que lidam com gestão de riscos utilizam diferentes terminologia e definições. Pensando neste desafio, a ISO lançou a nova 31073 para padronizar o vocabulário e desenvolver um entendimento comum sobre os termos e conceitos de gestão de riscos entre organizações e funções.
Existem inúmeros tipos de risco, diversas aplicações e diferentes situações que a gestão de riscos é utilizada de forma específica.
O problema surge quando os termos relacionados à gestão de riscos são utilizados com significados diferentes e muitas vezes até contraditórios. Esta diversidade de linguagens prejudica a compreensão mútua e consistente para uma abordagem integrada para gestão de riscos, fazendo com que muitos termos sejam mal interpretados, deturpados ou mal utilizados.
A norma internacional da série ISO 31000 – Gestão de Riscos vem substituir a antiga ISO Guide 73 (ABNT ISO Guia 73:2009) e teve a contribuição brasileira através da Comissão de Estudo Especial de Gestão de Riscos da ABNT, que tenho o orgulho de coordenar, grupo com mais de 600 participantes especialistas em mais de 300 organizações.
No Brasil, a versão traduzida da ISO 31073 encontra-se em consulta nacional para comentários e revisão pela ABNT para adoção como Norma Brasileira (ABNT NBR)
Alguns dos 49 termos e definições de destaque no documento são:
risco
efeito da incerteza nos objetivos
Nota 1: Um efeito é um desvio em relação ao esperado. Pode ser positivo, negativo ou ambos, e pode abordar, criar ou resultar em oportunidades e ameaças.
Nota 2: Objetivos podem possuir diferentes aspectos e categorias, e podem ser aplicados em diferentes níveis.
Nota 3: Risco é normalmente expresso em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades.
objetivo
resultado a ser alcançado
Nota 1: Um objetivo pode ser estratégico, tático ou operacional.
Nota 2: Objetivos podem se relacionar a diferentes disciplinas (como finanças, saúde e segurança e metas ambientais) e podem ser aplicados em diferentes níveis (como estratégico, da organização, projeto, produto e processos).
Nota 3: Um objetivo pode ser expresso de outras formas, por exemplo, como um resultado pretendido, um propósito, um critério operacional, como objetivo de um sistema de gestão, ou pelo uso de outras palavras com significado similar (por exemplo, finalidade, meta, alvo).
Obs.: Tradução alinhada à NBR ISO 9000:2015.
gestão de riscos
atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos
Recentemente a ABNT também lançou a versão traduzida da ISO 22300 – Segurança e Resiliência – Vocabulário contendo termos e definições para uso em normas e documentos sobre segurança, resiliência e gestão de continuidade de negócios.
Finalmente, sobre este tema, recomendo ainda artigo recente de Fernando Nery: (30) Torre de Babel na LGPD | LinkedIn que discute a necessidade de uma padronização para diversos cursos, práticas, leis e profissionais que tratam o assunto ‘proteção de dados e privacidade’, muitas vezes com comunicações imprecisas e termos usados sem consistência.
Para participar do Comitê de Gestão de Riscos da ABNT e colaborar com a elaboração e tradução das normas internacionais de gestão de riscos e gestão de continuidade de negócios (GCN), enviar email para risk-l@modulo.com
Até a próxima e espero que utilize os termos e definições da ISO 31073 em seus documentos.
Fonte: LinkedIn
RH é protagonista na LGPD, por Fernando Nery
Módulo é uma empresa brasileira com mais de 36 anos de mercado, especializada em Automatização de Governança, Gestão de Riscos e Conformidade.
Desde 1985 atua nas áreas de software, consultoria e educação oferecendo soluções inovadoras e customizadas para Segurança Cibernética, Privacidade e GRC.
Certificada ISO 27001 – Segurança da Informação, ISO 27701 – Privacidade de Dados e Empresa Estratégica de Defesa pelo Ministério da Defesa; membro do CIS – Center for Internet Security, do IAPP – The International Association of Privacy Professionals e do Open Group / Open Fair – (Factor Analysis of Information Risk); além de Qualified Security Assessor (QSA) pelo PCI Security Standards Council.
Participou de projetos internacionalmente reconhecidos como as eleições eletrônicas brasileiras, a entrega de imposto de renda via Internet, XV Jogos Pan Americanos Rio 2007, a Copa do Mundo 2014 e as Olimpíadas 2016, além de projetos de grande porte em empresas dos setores financeiro, telecomunicações, utilities e governo.
Temos soluções para LGPD, integração automatizada de informações e comunicação, visualização em mapas e data analytics, gestão de eventos e incidentes, ambiente em nuvem e segurança cibernética.
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.