Risco
Probabilidade de uma ameaça explorar uma (ou várias) vulnerabilidades causando prejuízos. Os riscos estão sempre associados à ocorrência de algum incidente.
Sua escala é dada por dois fatores:
Probabilidade de ocorrência da ameaça medida através da combinação da sua freqüência com a avaliação das vulnerabilidades;
Conseqüências trazidas pela ocorrência do incidente (impacto);
1-Ativo: Tudo aquilo que tenha valor e que necessita de algum tipo de proteção ou cuidado.
2-Escopo: Conjunto de ativos que será coberto pelo processo de gestão de risco.
3-Parte envolvida: Indivíduos, grupos ou organizações que são afetados diretamente por um determinado risco.
4-Ameaça: Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Podem ser: Ambiental ou humana.
5-Incidente: Quando uma ameaça se concretiza.
6-Vulnerabilidades: Criam situações que podem ser exploradas por uma ameaça, acarretando prejuízo.
7-Análise de vulnerabilidades: Processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções.
Gestão de Risco
1-Entender os riscos associados com o negócio e a gestão da informação.
2-Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações.
3-Melhorar a eficácia no controle de riscos
4-Manter a reputação e imagem da organização.
5-Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios
6-Minimizar as possibilidades de furto de informação e maximizar a proteção de dados.
AFETA O PROCESSO EM GERAL E A
Suporte a um Sistema de Gestão de Segurança da Informação (SGSI);
Conformidade legal e a evidência da realização dos procedimentos corretos;
Preparação de um plano de continuidade de negócios;
Preparação de um plano de resposta a incidentes;
Descrição dos requisitos de segurança da informação para um produto, um serviço ou um mecanismo.
Etapas da Gestão de Riscos
1- Identificar e avaliar os riscos
2- Selecionar,Implementar,e operar controles para tratar os riscos
3- Verificar e analisar criticamente os riscos
4- Manter e melhorar os controles
classificações disponíveis para as medidas de proteção:
MEDIDAS PREVENTIVAS - Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização
MEDIDAS CORRETIVAS OU REATIVAS - Reduzem o impacto de um ataque/incidente.São medidas tomadas ou apos a ocorrência do evento
MÉTODOS DETECTIVOS - Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita.
Nenhum comentário:
Postar um comentário