Segurança: análise de riscos (ISO/IEC 27002)

A análise de riscos é utilizada para identificar os riscos que a organização possui. Um risco, dano ou perda da informação é determinado pelas ameaças, ou melhor, a chance desta ameaça ocorrer e suas consequências.

Quando a ameaça se materializa, o risco se efetiva.

Vulnerabilidade – fraqueza, associada aos ativos da organização.
Ameaça – uma ocorrência; um fato; explora a vulnerabilidade

PROBABILIDADE é igual a uma CHANCE

Quanto MAIOR a Probabilidade MAIOR o Risco

Risco – é o potencial em que uma dada ameaça irá explorar as vulnerabilidades para causar perda ou dano imediato.

Gerenciamento de Risco – processo que trata as ameaças, riscos e medidas de segurança. É um processo contínuo na qual identifica, examina e reduz a um nível aceitável uma ameaça.

Os objetivos da analise de riscos, são:

  • Identificar ativos e valores;
  • Determinas as vulnerabilidades e ameaças;
  • Determinar os riscos e as ameaças que podem causar danos nos processos operacionais;
  • Determinar o equilíbrio entre custos de um incidente e custo das medidas de segurança.

Análise de Risco Quantitativa

Pretende calcular com base no impacto do risco, a perda financeira e a probabilidade de que uma determinada ameaça torne-se um incidente de segurança.
Os custos das medidas, não devem ser maiores que o valor do objeto a ser protegido do risco.

Análise de Risco Qualitativa

É baseada em cenários e situações. A chance é analisada com base nos sentimentos das pessoas.
Medidas podem ser tomadas para reduzir o risco residual a um nível aceitável.

Medidas para reduzir o risco

As medidas podem ser de redução da chance do evento ocorrer ou da redução de suas consequencias ou a combinação das duas.

Tipos de Medidas de risco

  • Redução: usada para reduzir ameaças;
  • Preventivas: usadas para prevenir incidentes;
  • Detecção: usadas para detectar incidentes;
  • Repressivas: usadas para parar as consequencias de um incidente;
  • Corretivas: usadas para recuperação de danos causados por um incidente.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *