Objetivos

A análise de risco tem por objetivo quantificar o impacto dos riscos existentes no ambiente de TI sobre os resultados da empresa. Com a análise de risco é possível verificar qual o investimento necessário à infra-estrutura de segurança de modo que os riscos inaceitáveis sejam gerenciados. 

Descrição

Na análise de risco é realizado um levantamento das ameaças e vulnerabilidades do ambiente. As informações resultantes deste levantamento são correlacionadas com os ativos de informação da empresa, onde são analisados os riscos possíveis a cada ativo e o valor financeiro que este risco representa para a empresa.
O resultado na análise de risco fornece informações estratégicas que possibilitam a definição de um limite entre os investimentos em segurança e os riscos aceitáveis.

  • Ameaças: agentes ou condições dispostos a explorar vulnerabilidades para geração de incidentes. Ex.: funcionários insatisfeitos, enchentes, temperatura, ex-funcionários, concorrentes;
  • Vulnerabilidades: falhas existentes em tecnologias, ambientes, processos ou pessoas. Ex.: falta de treinamento de funcionários, bug em software, falta de manutenção de hardware, falta de extintores de incêndio;
  • Impacto: determinar qual o grau de prejuízo da empresa se determinado ativo da informação tornar-se indisponível, público ou não confiável (sem integridade);
  • Ocorrências: quantidade de dias por ano que se estima ou que se possui registro sobre a ocorrência de determinado incidente;

Benefícios

  • Maior conhecimento do ambiente de TI e seus riscos;
  • Informações estratégicas sobre investimento em TI;
  • Maior organização e aderência a padrões de segurança;
  • Informações para o desenvolvimento da Política de Segurança;

Produtos Finais

  • Reunião de conclusão da análise;
  • Relatório de Análise de Risco;
  • Resumo Estratégico do Relatório de Risco;
  • Plano de Ação para curto e médio prazo;
  • Reunião de follow-up.