Análise de riscos
ANÁLISE DE RISCOS EM SEGURANÇA DA INFORMAÇÃO
RISK ANALISE FOR INFORMATION SECURITY
RESUMO
Um dos pontos mais importantes do planejamento de um sistema de segurança de ativos de informação é a fase de análise de risco. Esta consiste em avaliações criticas das ameaças e vulnerabilidades que podem afetar um sistema. Neste documento serão apresentados os principais pontos da fase de análise de riscos em um projeto de segurança, e como os pontos a serem avaliados durante projeto de segurança devem ser avaliados, para que se possam especificar os controles apropriados para cada ponto fraco que compromete o bom funcionamento de um ativo.
Palavras-chave: Ativo; vulnerabilidade; ameaça.
1. INTRODUÇÃO
Para gerenciar ativos de uma organização é preciso manter o foco do trabalho no objetivo de garantir a disponibilidade, integridade e confidencialidade desses ativos. O risco é a possibilidade de ocorrer algo indesejado com o ativo da organização, portanto precisa ser identificado, avaliado, classificado, comunicado, eliminado quando possível ou minimizado e monitorado, reduzindo desta forma a probabilidade de um incidente de segurança se concretizar. Para tanto o gestor de segurança precisa conhecer o funcionamento da organização, não somente nos detalhes da gestão das informações, mas também dos procedimentos gerais das diversas atividades exercidas pela organização. O conhecimento dos procedimentos gerais e rotinas dão ao gestor de segurança recursos para conhecer as principais fraquezas da organização, tornando o trabalho de redução dos riscos mais fácil. A norma ISO/IEC 27005:2008 recomenda que o processo de gestão de risco deve ser executado em etapas como segue: Definir o escopo do projeto de gestão de risco, identificar o risco, estimar o risco, avaliar o risco, tratar o risco, comunicar e monitorar o risco.
2 DEFINIÇÃO DO ESCOPO
O escopo esclarece, de forma ampla, quais são os objetivos