-
É a área de negócio que define os riscos?
Mas e os riscos técnicos relacionados às soluções de TI?
-
Conforme a política de segurança.
-
ERRADO.
Segundo a ISO 27005,"8.1 Descrição geral do processo de análise/avaliação de riscos de segurança da informação
Ação: Convém que os riscos sejam identificados, quantificados ou descritos qualitativamente, priorizados em função dos critérios de avaliação de riscos e dos objetivos relevantes da organização."
-
Segundo a ISO 27001,
"0.2 Abordagem de processo
A abordagem de processo para a gestão da segurança da informação apresentada nesta Norma encoraja que seus usuários enfatizem a importância de:
b) implementação e operação de controles para gerenciar os riscos de segurança da informação de uma organização no contexto dos riscos de negócio globais da organização;"
Ou seja, deve-se considerar riscos de negócio que possam afetar toda a organização, e não somente riscos relacionados a TI.
-
O erro começa depois de quantificados..
Quantificados.. ou descritos qualitativamente, priorizados em função dos critérios de avaliação de riscos e dos objetivos relevantes da organização.
Quer dizer, que a priorização é definida pelos critérios de avaliação de riscos e dos objetivos da organização.
-
Quem define é a governança e não setor de TI (orelhas secas)