Instanciação do Processo de Gestão de Riscos de Segurança da Informação da ISO 27005 em Organizações Públicas
Resumo
O aumento dos ataques cibernéticos elevou o interesse por Segurança da Informação. Uma das áreas mais importantes da segurança atualmente é a Gestão de Riscos, onde notadamente se evidencia a identificação de vulnerabilidades e riscos como uma atividade essencial. Neste contexto, a ISO 27005 oferece diretrizes para esse processo, mas há uma lacuna sobre como instanciá-la de forma detalhada e repetível. Este trabalho apresenta uma instanciação prática, baseada em Business Process Management (BPM), deste processo em uma organização pública, detalhando atividades essenciais e também possibilitando a sua replicação por outras organizações interessadas. Os resultados mostram que o uso de BPM facilitou a implantação e ajudou a evidenciar atividades muitas vezes subestimadas, como definição de contexto e aceitação de riscos, aprimorando a gestão de riscos de Segurança da Informação.Referências
OECD (2021). The E-Leaders Handbook on the Governance of Digital Government. OECD Publishing. Disponível em: [link].
Dantas, D. (2024, julho 24). Incidentes cibernéticos em sistemas do governo dobram no primeiro semestre de 2024. G1. Recuperado em 04 de janeiro de 2025, de [link]
International Organization for Standardization (2022). ISO/IEC 27005:2022 — Information security risk management. Recuperado em 04 de janeiro de 2025, de [link].
Grefen, P. and Vanderfeesten, I. (Eds.) (2024) Handbook on Business Process Management and Digital Transformation, Research Handbooks in Information Systems, Edward Elgar Publishing, ISBN: 978-1-80220-608-1, 450 pp.
Object Management Group (OMG) (2011). Business Process Model and Notation (BPMN), Version 2.0. OMG Specification, formal/2011-01-03. Available at: [link]
Furlan, L. and Pacheco, A. (2021). “Gestão de risco: Estudo de caso sobre os desafios na implantação e na implementação”. Revista Ibero-Americana de Estratégia, 20(1), 1–23.
Silva, J. (2017). “Diretrizes Estratégicas de Gestão de Riscos de Segurança da Informação para Instituições Federais de Ensino Superior”. Dissertação de Mestrado, Universidade Federal de Pernambuco, Brasil. Disponível em: [link] (último acesso: 22 fev. 2024).
Konzen, M. P. (2013). “Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança”. Dissertação de Mestrado, Universidade Federal de Santa Maria. Disponível em: [link].
Balke, M. (2015). “Abordagem colaborativa para gerenciamento de riscos de segurança da informação”. Dissertação de Mestrado, Universidade Federal de Santa Maria. Disponível em: [link].
Santos, V. O. and Baldini Filho, R. (2013). “Um modelo de sistema de gestão da segurança da informação baseado nas normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008”. Revista Telecomunicações, 15(1). Disponível em: [link].
Channel PMO (n.d.). Channel PMO. Recuperado em 04 de janeiro de 2025, de [link].
International Organization for Standardization (2018). ISO 31000:2018 — Risk management — Guidelines. Recuperado em 04 de janeiro de 2025, de [link].
Dantas, D. (2024, julho 24). Incidentes cibernéticos em sistemas do governo dobram no primeiro semestre de 2024. G1. Recuperado em 04 de janeiro de 2025, de [link]
International Organization for Standardization (2022). ISO/IEC 27005:2022 — Information security risk management. Recuperado em 04 de janeiro de 2025, de [link].
Grefen, P. and Vanderfeesten, I. (Eds.) (2024) Handbook on Business Process Management and Digital Transformation, Research Handbooks in Information Systems, Edward Elgar Publishing, ISBN: 978-1-80220-608-1, 450 pp.
Object Management Group (OMG) (2011). Business Process Model and Notation (BPMN), Version 2.0. OMG Specification, formal/2011-01-03. Available at: [link]
Furlan, L. and Pacheco, A. (2021). “Gestão de risco: Estudo de caso sobre os desafios na implantação e na implementação”. Revista Ibero-Americana de Estratégia, 20(1), 1–23.
Silva, J. (2017). “Diretrizes Estratégicas de Gestão de Riscos de Segurança da Informação para Instituições Federais de Ensino Superior”. Dissertação de Mestrado, Universidade Federal de Pernambuco, Brasil. Disponível em: [link] (último acesso: 22 fev. 2024).
Konzen, M. P. (2013). “Gestão de riscos de segurança da informação baseada na norma NBR ISO/IEC 27005 usando padrões de segurança”. Dissertação de Mestrado, Universidade Federal de Santa Maria. Disponível em: [link].
Balke, M. (2015). “Abordagem colaborativa para gerenciamento de riscos de segurança da informação”. Dissertação de Mestrado, Universidade Federal de Santa Maria. Disponível em: [link].
Santos, V. O. and Baldini Filho, R. (2013). “Um modelo de sistema de gestão da segurança da informação baseado nas normas ABNT NBR ISO/IEC 27001:2006, 27002:2005 e 27005:2008”. Revista Telecomunicações, 15(1). Disponível em: [link].
Channel PMO (n.d.). Channel PMO. Recuperado em 04 de janeiro de 2025, de [link].
International Organization for Standardization (2018). ISO 31000:2018 — Risk management — Guidelines. Recuperado em 04 de janeiro de 2025, de [link].
Publicado
20/07/2025
Como Citar
VASCONCELOS, Vinícius N.; LINS, Fernando A. A.; VALENÇA, George; LOSSE, Maria A. P. F.; MORAIS, Ana C. C. M.; SOUSA, Edgard T..
Instanciação do Processo de Gestão de Riscos de Segurança da Informação da ISO 27005 em Organizações Públicas. In: LATIN AMERICAN SYMPOSIUM ON DIGITAL GOVERNMENT (LASDIGOV), 12. , 2025, Maceió/AL.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2025
.
p. 181-192.
ISSN 2763-8723.
DOI: https://doi.org/10.5753/lasdigov.2025.9023.
