A análise de riscos é utilizada para identificar os riscos que a organização possui. Um risco, dano ou perda da informação é determinado pelas ameaças, ou melhor, a chance desta ameaça ocorrer e suas consequências.
Quando a ameaça se materializa, o risco se efetiva.
Vulnerabilidade - fraqueza, associada aos ativos da organização.
Ameaça - uma ocorrência; um fato; explora a vulnerabilidade
PROBABILIDADE é igual a uma CHANCE
Quanto MAIOR a Probabilidade MAIOR o Risco
Risco - é o potencial em que uma dada ameaça irá explorar as vulnerabilidades para causar perda ou dano imediato.
Gerenciamento de Risco - processo que trata as ameaças, riscos e medidas de segurança. É um processo contínuo na qual identifica, examina e reduz a um nível aceitável uma ameaça.
Os objetivos da analise de riscos, são:
- Identificar ativos e valores;
- Determinas as vulnerabilidades e ameaças;
- Determinar os riscos e as ameaças que podem causar danos nos processos operacionais;
- Determinar o equilíbrio entre custos de um incidente e custo das medidas de segurança.
Análise de Risco Quantitativa
Pretende calcular com base no impacto do risco, a perda financeira e a probabilidade de que uma determinada ameaça torne-se um incidente de segurança.
Os custos das medidas, não devem ser maiores que o valor do objeto a ser protegido do risco.
Análise de Risco Qualitativa
É baseada em cenários e situações. A chance é analisada com base nos sentimentos das pessoas.
Medidas podem ser tomadas para reduzir o risco residual a um nível aceitável.
Medidas para reduzir o risco
As medidas podem ser de redução da chance do evento ocorrer ou da redução de suas consequencias ou a combinação das duas.
Tipos de Medidas de risco
- Redução: usada para reduzir ameaças;
- Preventivas: usadas para prevenir incidentes;
- Detecção: usadas para detectar incidentes;
- Repressivas: usadas para parar as consequencias de um incidente;
- Corretivas: usadas para recuperação de danos causados por um incidente.