Identificação de Riscos
A fase da análise de riscos de segurança da informação identifica
e valora os ativos, ameaças e vulnerabilidades.
- Identificação de RiscosIdentificação dos AtivosIdentificação de ameaçasIdentificação dos controles existentesIdentificações das VulnerabilidadesIdentificação das consequênciasAvaliação de Riscos
Identificando os Ativos = Ativo é qualquer elemente de valor para
a organização, seja tangível (hardware) ou intangível (software
ou propriedade intelectual) E que precise de proteção. Na atividade
de identificação de ativos temos;
ENTRADA
–--------------- AÇÃO +
DIRETRIZES----------------------------------- SAÍDA
os
resultados desenvolvimento da atividade de
Lista dos ativos considera-
da
etapa de identificação dos ativos, detalhadas a
dos sensíveis e a relação de
definição
de ponto de permitir a avaliação dos riscos.
Negócios e responsáveis re-
escopo.
Como essa etapa é essencial em outras inte- lacionados a ele.
rações,
o detalhamento pode ser aprofun-
dado
a cada interação.
Identificando os ativos primários;
Normalmente,
os ativos primários são os principais processos e atividades
incluídas no ecopo. Eles podem ser processos ou subprocessos e
atividades do negócio, por exemplo atvidades cuja a interrupção
(mesmo parcial) impossibilita a organização de prosseguir seu
negócio. Outro tipo de ativos primários são informações
primárias, que correspondem àquelas vitais par ao andamento das
atividades da organização ou estão ligadas a legislação como
diretios à privacidade.
Normalmente, os processos podem ser identificados por participantes
de diferentes níveis hierárquicos. Já as informações primárias
são obtidas em nível gerencial e alta administração.
Identificando os ativos de suporte à infraestrutura
Os ativos de suporte à estrutura são compostos por:
- Elementos físicos que suportam os processos (hardware)
- Programas contribuem para a operação de um sistema (software)
- Aplicações e telecomunicaçoes
- Recursos humanos
- Instalações físicas
- Estrutura organizacional
“Normalmente,
essas informações não podem ser coletadas em uma única
entrevista. Diferentes interações em nível gerencial, técnico e
com usuários, bem como análise in loco, contribuirão para a
abtenção das informações”.
ENTRADA
–------------------------ AÇÃO +
DIRETRIZES----------------------------------- SAÍDA
Histórico
de incidentes, Identificação de ameaças e
Uma lista de ameaças,
relatos
de usuários e re- suas fotes, ou seja, os causa- incluindo seus tipos e
ferências
externas. Dores de tal ameaça. Um
fontes.
dos
principais agentes é o
ser
humano.
Identificação dos controles existentes
Podemos definir controle como qualquer instrumento administrativo,
físico ou operacional caaz de tratar os riscos envolvidos em
determinada ameaça. Exemplos de controles em segurança de
informação incluem antivírus, backups, fechaduras, entre outros.
Na atividade de identificação dos controles existentes o objetivo é
determinar o controle planejados para aplicação fatura e os que
estão sendo utilizados atualmente.
ENTRADA
–------------------------------ AÇÃO +
DIRETRIZES---------------------------- SAÍDA
Documentação dos planos Identificação de controle
Lista de todos os controles
existentes e planos para implementados e planejados.
Existentes e planejados, sua
implementação de controle
implementação e status de
para tratamento de riscos
utilização.
E se você quer começar seu negócio online agora mesmo aplicando essas dicas, acesse o link abaixo e descubra como, aproveite a promoção desse excelente curso!
Clique Aqui
