ISO 27001: Análise de Risco em Segurança da Informação

Adriano Martins Antonio

Adriano Martins Antonio

em 20 de maio de 2020
ISO 27001

Fique ligado

​Entre para nossa lista e receba conteúdos exclusivos e com prioridade

ISO 27001: Análise de Risco em Segurança da Informação

Conforme a Norma ISO/IEC 27001, a análise de risco é uma ferramenta que é utilizada na gestão de riscos em segurança da informação. Desse modo, o propósito de se realizar uma análise de risco é esclarecer se as ameaças são relevantes para os processos operacionais, assim como para identificar os riscos associados.  Então, o nível de segurança adequado e  as medidas de segurança associadas podem ser determinados.

Uma análise de risco é utilizada para garantir que as medidas de segurança sejam implantadas em uma boa relação custo-efetivo, em um momento oportuno, para então dar uma resposta eficaz às ameaças.

Segurança é uma questão complexa, mesmo para os experientes especialistas. Pois não é fácil encontrar o equilíbrio entre as medidas de segurança que são muito restritivas e as que são ineficazes ou inadequadas.

Gasta-se muito dinheiro em medidas de segurança desnecessárias, por não se conhecer bem os conceitos de segurança. Porém, a análise de risco vai ajudar a obter os conceitos necessários de segurança.

Portanto, uma análise de risco ajuda a empresa a avaliá-los corretamente e a determinar o correto equilíbrio das medidas de segurança. Os gestores também descobrirão os custos que estão envolvidos na tomada de cada medida de segurança.

Grátis! Curso Online ISO 27001 Overview

Uma análise de risco tem quatro objetivos principais:

1. Identificar os bens e os seus valores

2. Determinar as vulnerabilidades e ameaças

3. Determinar quais as ameaças se tornarão um risco e que podem interromper o processo operacional

4. Determinar um equilíbrio entre os custos de um incidente e os custos de uma medida de segurança parte da análise de risco é uma análise custo / benefício.

Os custos anuais associados às medidas de segurança são comparados com as perdas potenciais que poderiam ocorrer se as ameaças tornarem-se realidade.

A organização deve tomar cuidado para evitar situações onde a prevenção é mais cara do que o próprio ativo. Por exemplo, um servidor valendo R$ 100.000,00 e as medidas de segurança para protegê-lo custarem R$ 150.000,00. Entretanto, devido a alguns requisitos legais de proteção de dados, às vezes essas medidas realmente podem custar mais do que o valor dos ativos a serem protegidos.

Note que não é fácil determinar o valor dos dados e principalmente das informações. Por exemplo, os danos à reputação da empresa, causados por um incidente de segurança, são difíceis de ser calculado.

Caso esse conteúdo tenha sido interessante para você, aproveite para compartilhá-lo com um amigo ou sua equipe de TI.

E Até o próximo artigo!

Veja também: 

Simulado preparatório para a ISO 27001 – Gratuito

Leia também nosso artigo sobre carreiras na área de Segurança da Informação

Compartilhar no facebook
Facebook
Compartilhar no google
Google+
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn

Artigos Relacionados

Comentários

  1. Alves

    Olá, boa noite.

    Gostaria de saber se o curso ISO 27002 disponibiliza de certificação após a conclusão do curso ou só prepara?

    Desde já agradeço.

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

×

Você voltou! 😊 Expirado!
00 Days
00 Hrs
00 Mins
00 Secs
Aproveite agora o desconto de 10%! Essa é a sua última chance! Resgatar Agora!

×

Olá Visitante! 😊 Você têm: Expirado!
00 Days
00 Hrs
00 Mins
00 Secs
para aproveitar o desconto de 15% (apenas nos cursos) Resgatar Agora!

@

Não ativo recentemente
X
X
X