ISO 27001: análise de risco em Segurança da Informação. Veja também, os seus objetivos principais!
Conforme a Norma ISO/IEC 27001, a análise de risco é uma objeto que se utiliza na gestão de riscos em segurança da informação.
Desse modo, o propósito de se realizar uma análise de risco é explicar se as ameaças são graves para os processos operacionais, assim como para achar os riscos associados.
Então, o nível de segurança certo e as medidas de segurança associadas acabam sendo possíveis de determinação.
Utilizamos uma análise de risco para a garantia das medidas de segurança e implantação das mesmas, em uma boa relação custo-efetivo. Só para ilustrar, em um momento oportuno, para então dar uma resposta eficaz às ameaças.
Segurança é uma questão complexa, mesmo para os especialistas experts. Pois, se torna difícil obter um meio termo entre as medidas de segurança. Uma vez que, elas valem-se de muita restrição e as que convertem-se em ineficazes ou inadequadas.
Gasta-se muito dinheiro em medidas de segurança inúteis, por não se conhecer bem os conceitos de segurança. Porém, a análise de risco vai ajudar a obter os conceitos necessários de segurança.
Portanto, uma análise de risco ajuda a empresa a avaliá-los corretamente e a determinar o correto equilíbrio das medidas de segurança. Os gestores também descobrirão os custos que estão envolvidos na tomada de cada medida de segurança.
Uma análise de risco tem quatro objetivos principais
Abaixo, veja cada um dos objetivos e entenda como eles agem:
- Identificar os bens e os seus valores;
- Determinar as vulnerabilidades e ameaças;
- Determinar quais as ameaças se tornarão um risco e que podem interromper o processo operacional;
- Indicar um equilíbrio entre os custos de um incidente e os custos de uma medida de segurança parte da análise de risco é uma análise custo / benefício.
Os custos anuais associados às medidas de segurança encontram-se comparados com as perdas potenciais que poderiam ocorrer se as ameaças tornarem-se realidade.
PMG Academy RECOMENDA:
- Leia também nosso artigo sobre carreiras na área de Segurança da Informação.
- E acesse o nosso simulado preparatório para a ISO 27001 – Gratuito.
A organização deve tomar cuidado para evitar situações onde a prevenção é mais cara do que o próprio ativo. Por exemplo, um servidor valendo R$ 100.000,00 e as medidas de segurança para protegê-lo custarem R$ 150.000,00.
Todavia, devido a alguns requisitos legais de proteção de dados, às vezes essas medidas realmente podem custar mais do que o valor dos ativos protegidos.
Note que não é fácil determinar o valor dos dados e principalmente das informações. Em suma, os danos à reputação da empresa, causados por um incidente de segurança, é muito difícil de se calcular.
Gostou desse conteúdo? Assim sendo, caso tenha sido interessante para você, aproveite para mostrá-lo a um amigo ou sua equipe de TI.
E se acaso você tenha ficado com alguma dúvida, deixe aqui a sua questão ou ponto de vista.
Nós, da PMG Academy, iremos te responder o mais breve.
Artigos Relacionados