Gestão de Riscos em Segurança da Informação

Gestão de riscos em Segurança da Informação

 

A gestão e análise de riscos em Segurança da Informação, é um estudo que visa identificar e analisar os possíveis riscos presentes na organização, considerando vários fatores e medindo o impacto destes riscos sobre o negócio, construindo assim medidas e controles necessários para manter os objetivos do negócio de forma contínua. 

Por que realizar uma avaliação de risco de Segurança da informação?

O processo de identificação, análise e avaliação de riscos, é a única maneira de garantir que os controles de segurança escolhidos sejam adequados aos riscos que sua organização enfrenta.

Sem uma avaliação de risco para informar suas escolhas de segurança, você pode perder tempo, esforço e recursos, afinal, não faz sentido implementar medidas de defesa contra eventos que provavelmente não ocorrerão ou que não terão muito impacto material em sua organização.

Da mesma forma, é possível que você subestime ou ignore os riscos que podem causar danos significativos à sua organização.

O que inclui em uma avaliação de risco de segurança da informação?

Uma avaliação de risco de segurança da informação. identifica os vários ativos de informações que podem ser afetados por um agente interno ou externo.

Uma estimativa e avaliação de risco geralmente é realizada, seguida pela seleção de controles para tratar os riscos identificados. É importante monitorar e revisar continuamente o ambiente de risco para detectar quaisquer mudanças no contexto da organização e manter uma visão geral de todo o processo de gerenciamento de risco.

ISO 27001 e riscos em Segurança da Informação

O padrão internacional ISO / IEC 27001: 2013 (ISO 27001) fornece as especificações de uma melhor prática de ISMS (sistema de gerenciamento de segurança da informação) – uma abordagem baseada em risco para o gerenciamento de risco de segurança da informação corporativa que aborda pessoas, processos e tecnologia.

A cláusula 6.1.2 da norma estabelece os requisitos do processo de avaliação de risco de segurança da informação.

Quais são os processos?

  • Estabelecer e manter certos critérios de risco de segurança da informação.
  • Garantir que as avaliações de risco repetidas “produzam resultados consistentes, válidos e comparáveis”.
  • Identificar “riscos associados à perda de confidencialidade, integridade e disponibilidade de informações no âmbito do sistema de gestão de segurança da informação” e identificar os proprietários desses riscos.
  • Analisar e avaliar os riscos de segurança da informação, de acordo com os critérios estabelecidos anteriormente.

Evidências

É importante que as organizações retenham informações documentadas sobre o processo de avaliação de riscos de segurança da informação, para que possam demonstrar que cumprem com esses requisitos.

Eles também precisarão seguir uma série de etapas, e criar documentação relevantes como parte do processo de tratamento de riscos de segurança da informação, neste passo, a ISO/IEC 27005 fornecerá diretrizes para avaliações de risco de segurança da informação e é projetada para auxiliar na implementação de um ISMS (sistema de gerenciamento de segurança da informação) baseado em risco.

 

 

Compartilhe no WhatsApp
Desenvolvido por Across | Política de Privacidade