A gestão de risco

A Gestão de Risco é uma das principais disciplinas estabelecidas dentro de um Sistema de Gestão de Segurança da Informação. É através da identificação e parametrização do risco que a empresa define quais são os controles que serão implementados em seu ambiente de negócio. Esta gestão deve ser realizada de forma sistemática, alinhada aos objetivos de negócio da organização.

A norma ISO 27001:2005 cumpre o papel de estabelecer como deve ser constituído o Sistema de Gestão da Segurança da Informação, para que a empresa opere e gerencie os riscos e controles em uma perspectiva de melhoria contínua.

A ISO 27001 não estabelece uma metodologia para gerenciamento do risco, porém faz menção a outras normas, que nos permitem estruturar o gerenciamento de risco de forma padronizada.

Em síntese, o gerenciamento do risco apresenta alguns desafios. Dentre estes os que entendemos mais relevantes são:

Garantir que a análise de risco esteja sempre atualizada, representando o momento atual da organização;
Comunicar os riscos aos responsáveis pela informação, de maneira a registrar que os mesmos tomaram conhecimento acerca dos riscos identificados e dos controles selecionados;
Medir a eficiência dos controles implementados ao longo do tempo (estabelecer linha de tendência);
Estruturar a Gestão de Risco considerando ativos, processos e áreas de negócio;
Correlacionar e organizar os riscos e controles, mesmo em um ambiente onde existem centenas de riscos e controles;
Manter a integridade na base de riscos e a rastreabilidade sobre ações geradas nas tabelas de risco;
Fornecer dados à auditoria interna, e alertar sempre que for necessário auditor determinado controle.

[...]

Fonte
A GESTÃO de risco. Disponível em: < http://www.globalstand.com.br/produt_ismsrisk.htm>. Acesso em: 27 dez. 2006.