search

O que é análise de risco e qual sua relação com a probabilidade?

1 anos atrás
Comentários: 0
Visualizações: 79

Se você está avaliando riscos de segurança da informação em sua organização, então a identificação de ativos, ameaças e vulnerabilidades é apenas a primeira metade do trabalho. (Veja também Avaliação de riscos da ISO 27001: Como combinar ativos, ameaças e vulnerabilidades.) A segunda parte do trabalho, não menos importante e não menos difícil, é calcular quão grande é o risco – e isto se atinge através da análise das consequências (também chamado de impacto) se o risco se materializar, e da análise da probabilidade do risco acontecer; com esta informação, você pode facilmente calcular o nível do risco.

Show

A ISO 27001 realmente não diz a você como fazer sua análise de risco, mas lhe diz que você deve analisar consequências e probabilidades, e determinar o nível do risco – assim, cabe a você definir como fazer isso. Você encontrará algumas abordagens neste artigo: estas são minhas favoritas, mas existem outras formas de fazer isso – para mais abordagens veja a ISO 27005, a norma que explica a análise de riscos de segurança da informação em mais detalhes.

Nota: Não importa qual abordagem você escolha, você tem que documentá-la em sua metodologia de risco – veja este artigo para maiores explicações: Como escrever metodologia de avaliação de riscos para a ISO 27001.

Análise de risco simples

Existem basicamente duas formas de analisar riscos usando o método qualitativo – vamos chamá-los de análise de risco simples e análise de risco detalhada. (Eu cobrirei o método quantitativo em outro artigo).

Na análise de risco simples você analisa as consequências e probabilidade diretamente – uma vez que você tenha identificado os riscos, você simplesmente tem que usar escalas para analisar separadamente as consequências e probabilidade de cada risco. Por exemplo, você pode usar a escala de 0 a 4, onde 0 seria muito baixo, 1 baixo, 2 médio, e assim por diante, ou a escala de 1 a 10, ou Baixo-Médio-Alto, ou qualquer outra escala. Quanto maior a escala, mais precisos serão os resultados que você terá, mas também mais tempo você gastará para realizar a análise.

Então, por exemplo, em uma análise de risco simples você pode ter algo como isto:

  • Ativo: laptop
  • Ameaça: roubo
  • Vulnerabilidade: empregados não sabem como proteger seus dispositivos móveis
  • Consequências: 3 (em uma escala de 0 a 4)
  • Probabilidade: 4 (em uma escala de 0 a 4)

Análise de risco detalhada

Na análise de risco detalhada, ao invés de analisar dois elementos (consequência e probabilidade), você analisa três elementos: valor do ativo, ameaça e vulnerabilidade. Assim, aqui está um exemplo desta análise de risco detalhada:

  • Ativo: laptop
  • Ameaça: roubo
  • Vulnerabilidade: empregados não sabem como proteger seus dispositivos móveis
  • Valor do ativo: 3 (em uma escala de 0 a 4)
  • Valor da ameaça: 2 (em uma escala de 0 a 2)
  • Valor da vulnerabilidade: 2 (em uma escala de 0 a 2)

Quando você pensa sobre isso mais atentamente, através destes três elementos na análise de riscos detalhada, você indiretamente analisará as consequências e probabilidades: ao analisar o valor do ativo, você está simplesmente analisando o tipo de dano (i.e., consequência) que poderia ocorrer para este ativo se a confidencialidade, integridade ou disponibilidade em posta em risco; tanto ameaças e vulnerabilidades influenciam a probabilidade – quanto maior a ameaça e maior a vulnerabilidade, mais provável será o risco acontecer, e vice versa.

E basicamente, é isto – se você é uma organização menor, a análise de risco simples será o suficiente para você; se você é uma organização de médio ou grande porte, a análise de risco detalhada dará conta do trabalho. E você não precisa adicionar mais nenhum elemento, porque isso apenas faria seu trabalho mais difícil. Veja também: Como organizar a avaliação de riscos inicial de acordo com a ISO 27001 e ISO 22301.

Por que analisar tanto ativos quanto consequências é errado?

Muito frequentemente vejo organizações implementando a análise de risco simples (i.e., elas analisam diretamente consequências e probabilidades), mas elas também adicionando valor do ativo a esta análise.

Por que isto é errado? Pelo o simples fato de que elas já analisaram as consequências uma vez, então não precisam analisá-las novamente através do valor do ativo.

Então, novamente – não tente enganar a si mesmo e criar algo complexo só porque você acha que consegue.

Como calcular o nível do risco

Calcular o risco é na verdade muito simples – isto é geralmente feito através de adição (e.g., 2 + 5 = 7) ou multiplicação (e.g., 2 x 5 = 10). Se você usa a escala Baixo-Médio-Alto, então isto é o mesmo que usar 1-2-3, assim você ainda tem números para o cálculo.

Desta forma, usando os exemplos acima, aqui está como calcular o risco usando adição:

  • Análise de risco simples: Consequências (3) + Probabilidade (4) = Risco (7)
  • Análise de risco detalhada: Valor do ativo (3) + Valor da ameaça (2) + Valor da vulnerabilidade (2) = Risco (7)

Na análise de risco detalhada, você notará que eu usei a escala de 0 a 4 para analisar o valor do ativo, e escalas menores de 0 a 2 para analisar ameaças e vulnerabilidades. Isto porque o peso das consequências deveria ser o mesmo que o peso da probabilidade – uma vez que ameaças e vulnerabilidade em conjunto “representam” a probabilidade, seu valor máximo quando adicionadas é 4, o mesmo para o valor do ativo (i.e., consequência).

Após ter calculado os riscos, você tem que avaliar se eles são aceitáveis ou não, e então passar para a próxima etapa: o tratamento de risco. Para ver todas as etapas da gestão de riscos, leia este artigo: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.

Não seja perfeccionista

Então, para concluir: a gestão de risco em geral, mas especialmente a avaliação e a análise de risco, podem parecer a oportunidade perfeita para tornar as coisas complicadas – uma vez que requisitos da ISO 27001 são bastante específicos, você pode adicionar numerosos elementos na tentativa de tornar sua abordagem mais “científica”.

Mas, você tem que se perguntar esta questão: seu objetivo é criar uma análise de riscos perfeita que precisará ser realizada por vários meses ou talvez anos (porque seus empregados simplesmente não entenderão sobre o que tudo isso se trata e tentarão evitar você), ou seu objetivo é terminar este processo em um período de tempo razoável, sabendo que não será 100% preciso, mas ao menos identificará os principais riscos, e fará com que seu pessoal comece a pensar sobre a necessidade de proteger as informações da organização?

Clique aqui para se registrar para um webinar gratuito The basics of risk assessment and treatment according to ISO 27001 que explicará os detalhes da avaliação de riscos (webinar gravado também disponível).

O que é análise análise de risco?

O que é análise de risco? A análise de risco é o processo no qual se avalia a real probabilidade de acontecer um cenário socioeconômico adverso aos objetivos da empresa, que possam significar verdadeiras ameaças.

O que é probabilidade do risco?

Probabilidade do Risco: Qual a probabilidade do evento de rico acontecer. Normalmente este atributo é representado com uma escala dos valores (por exemplo: Elevado, Médio, Baixo). A probabilidade é um dos indicadores mais difíceis de classificar com precisão.

Como identificar a probabilidade de um risco?

O nível de um risco pode ser determinado pela combinação das suas consequências para a organização (gravidade) e a chance de ocorrência (probabilidade). Deve-se avaliar a magnitude das consequências de um evento bem como a probabilidade do evento e suas consequências.

Qual a importância de uma análise de risco?

A análise de risco nos ajuda a identificar os ativos da empresa, sejam eles tangíveis ou intangíveis, pois todos necessitam de proteção adequada, principalmente quando se trata de uma análise de risco estratégica. Das metodologias existentes, podemos dividí-las em dois tipos: as objetivas e as subjetivas.

é análise de risco qual sua relação probabilidade Avaliação de riscos

Postagens relacionadas

Eu não mudei, apenas vejo as coisas de forma diferente agora tumblr
Eu não mudei, apenas vejo as coisas de forma diferente agora tumblr

Quais são as fontes de energia utilizadas nas usinas termelétricas no Brasil?
Quais são as fontes de energia utilizadas nas usinas termelétricas no Brasil?

Quais são os princípios para imposição de qualquer medida cautelar?
Quais são os princípios para imposição de qualquer medida cautelar?

Observe as fotografias a seguir crie uma legenda classificando cada tipo de nuvem
Observe as fotografias a seguir crie uma legenda classificando cada tipo de nuvem

Quantos isômeros planos podem existir com a fórmula molecular c4h10
Quantos isômeros planos podem existir com a fórmula molecular c4h10

Google você é menina ou menino
Google você é menina ou menino

Quem não tem oab é advogado
Quem não tem oab é advogado

Como usar a almofada de amamentação para dormir na gravidez
Como usar a almofada de amamentação para dormir na gravidez

Quanto ganha uma pessoa que trabalha em desenvolvimento de sistema?
Quanto ganha uma pessoa que trabalha em desenvolvimento de sistema?

Consequências da crise financeira de 1890-92 na economia portuguesa
Consequências da crise financeira de 1890-92 na economia portuguesa

Publicidade

ÚLTIMAS NOTÍCIAS

Que condições devem ser observadas para aquisição da estabilidade?
1 anos atrás . por DefenselessHomeland
O que significa entrar em tentação?
1 anos atrás . por WealthySpectacle
Como funciona o registro de marcas e patentes?
1 anos atrás . por UpturnedDominion
Quais foram as principais atividades econômicas do Brasil colonial
1 anos atrás . por Three-dayNobility
Quais são os métodos físicos e químicos de controle de crescimento microbiano?
1 anos atrás . por HumorousScooter
O que é um patrimônio da humanidade exemplo?
1 anos atrás . por MurkyWoodward
O Balanço Patrimonial é a demonstração contábil destinada a evidenciar
1 anos atrás . por BloodlessStocks
Nomes de três países com probabilidade de serem atingidos por tsunami
1 anos atrás . por OrnamentalHeath
Por que podemos afirmar que a deriva dos continentes a formação das cordilheiras montanhosas e de outras formas?
1 anos atrás . por TrendyMatrix
Por quê moradias parecidas na europa
1 anos atrás . por Income-taxPriesthood

Publicidade

Populer

Publicidade

Sobre

Jurídica

Ajuda

Social

homeendefrjakoptzhhiit
direito autoral © 2024 pt.wiewird Inc.