ISO 27001: análise de risco em Segurança da Informação. Veja também, os seus objetivos principais!
Conforme a Norma ISO/IEC 27001, a análise de risco é uma objeto que se utiliza na gestão de riscos em segurança da informação.
Desse modo, o propósito de se realizar uma análise de risco é explicar se as ameaças são graves para os processos operacionais, assim como para achar os riscos associados.
Então, o nível de segurança certo e as medidas de segurança associadas acabam sendo possíveis de determinação.
Utilizamos uma análise de risco para a garantia das medidas de segurança e implantação das mesmas, em uma boa relação custo-efetivo. Só para ilustrar, em um momento oportuno, para então dar uma resposta eficaz às ameaças.
Segurança é uma questão complexa, mesmo para os especialistas experts. Pois, se torna difícil obter um meio termo entre as medidas de segurança. Uma vez que, elas valem-se de muita restrição e as que convertem-se em ineficazes ou inadequadas.
Gasta-se muito dinheiro em medidas de segurança inúteis, por não se conhecer bem os conceitos de segurança. Porém, a análise de risco vai ajudar a obter os conceitos necessários de segurança.
Portanto, uma análise de risco ajuda a empresa a avaliá-los corretamente e a determinar o correto equilíbrio das medidas de segurança. Os gestores também descobrirão os custos que estão envolvidos na tomada de cada medida de segurança.
Grátis! Curso Online ISO 27001 Overview
Uma análise de risco tem quatro objetivos principais
Abaixo, veja cada um dos objetivos e entenda como eles agem:
- Identificar os bens e os seus valores;
- Determinar as vulnerabilidades e ameaças;
- Determinar quais as ameaças se tornarão um risco e que podem interromper o processo operacional;
- Indicar um equilíbrio entre os custos de um incidente e os custos de uma medida de segurança parte da análise de risco é uma análise custo / benefício.
Os custos anuais associados às medidas de segurança encontram-se comparados com as perdas potenciais que poderiam ocorrer se as ameaças tornarem-se realidade.
PMG Academy RECOMENDA:
- Leia também nosso artigo sobre carreiras na área de Segurança da Informação.
- E acesse o nosso simulado preparatório para a ISO 27001 – Gratuito.
A organização deve tomar cuidado para evitar situações onde a prevenção é mais cara do que o próprio ativo. Por exemplo, um servidor valendo R$ 100.000,00 e as medidas de segurança para protegê-lo custarem R$ 150.000,00.
Todavia, devido a alguns requisitos legais de proteção de dados, às vezes essas medidas realmente podem custar mais do que o valor dos ativos protegidos.
Note que não é fácil determinar o valor dos dados e principalmente das informações. Em suma, os danos à reputação da empresa, causados por um incidente de segurança, é muito difícil de se calcular.
Gostou desse conteúdo? Assim sendo, caso tenha sido interessante para você, aproveite para mostrá-lo a um amigo ou sua equipe de TI.
E se acaso você tenha ficado com alguma dúvida, deixe aqui a sua questão ou ponto de vista.
Nós, da PMG Academy, iremos te responder o mais breve.
Jornada Segurança Cibernética
Por fim, não deixe de se inscrever na Jornada Segurança Cibernética! Um curso online, ao vivo e 100% gratuito, que aborda o conteúdo da certificação EXIN Cyber & IT Security Foundation (CISEF). Mais do que isso, você vai aprender os aspectos essenciais da segurança cibernética! Para fazer a sua inscrição, clique aqui!
Artigos Relacionados
Quais são as vulnerabilidades de segurança cibernética da sua empresa?
Os sistemas corporativos são constituídos por muitas partes distintas, com várias tecnologias e elementos que podem ser menos do que perfeitos. Por isso, praticamente qualquer
Quem são os atores de ameaças?
Ameaças são ações que podem resultar em riscos para um sistema. Um agente de ameaça é a fonte da ameaça no sistema. Além disso, é
Ferramentas de Engenharia Social
A Engenharia Social é uma técnica de ataque que se baseia na psicologia ao invés do conhecimento sofisticado de software ou hardware, pois busca explorar
Responses