Análise de risco

Antes de detalhar o que representa uma Análise de Risco, vamos sincronizar nossos termos. Por segurança entende-se ?certeza. Garantir que as suas estratégias retornarão no nível desejado significa identificar e entender os riscos, para então administrá-los. Estar vivo, por exemplo, significa ?arriscar diariamente. Atravessar a rua, ir ao jogo de futebol ou dirigir são exemplos de situações que envolvem fatores de risco; mas como já estamos acostumados a enfrentá-los, formamos um instinto natural para o cálculo de energia utilizada para minimizar e controlar os riscos.

Podemos utilizar a mesma analogia para o mundo corporativo onde o ?estilo de vida? é a operação da empresa, a exposição é o alcance da sua operação, e a energia investida para minimizar os riscos é o investimento despendido para conhecer e controlar a situação.

Como analisar riscos sem estudar minuciosamente os processos de negócio que sustentam sua organização? Como classificar o risco destes processos sem antes avaliar as vulnerabilidades dos componentes de tecnologia relacionados a cada processo? Quais são os seus processos críticos? Aqueles que sustentam a área comercial, a área financeira ou a produção? Você saberia avaliar quantitativamente qual a importância do seu servidor de web? Para cada pergunta, uma mesma resposta: conhecer para proteger.

A Análise de Risco se divide em cinco partes de igual importância: isoladas, estas partes representam muito pouco ou quase nada. Alinhados e geridos de forma adequada, estes componentes da análise de risco podem apontar caminhos seguros na busca ao nível adequado de segurança de uma organização. Os cinco pontos são:

· Identificação e Classificação dos Processos de Negócio

· Identificação e Classificação dos Ativos

· Análise de Ameaças e Danos

· Análise de Vulnerabilidades

· Análise de Risco