7.2 Critérios básicos
7.2.2 Critérios para a avaliação de riscos
Convém que os critérios para a avaliação de riscos sejam desenvolvidos para avaliar os riscos de segurança da informação na organização, considerando os seguintes itens:
- O valor estratégico do processo que trata as informações de negócio
- A criticidade dos ativos de informação envolvidos
- Requisitos legais e regulatórios, bem como as obrigações contratuais
- Importância, do ponto de vista operacional e dos negócios, da disponibilidade, da confidencialidade e da integridade
- Expectativas e percepções das partes interessadas e consequências negativas para o valor de mercado (em especial, no que se refere aos fatores intangíveis desse valor), a imagem e a reputação
7.2.3 Critérios de impacto
Convém que os critérios de impacto sejam desenvolvidos e especificados em função do montante dos danos ou custos a organização causados por um evento relacionado com a segurança da informação, considerando o seguinte:
- Nível de classificação do ativo de informação afetado
- Ocorrências de violação da segurança da informação (por exemplo, perda da disponibilidade, da confidencialidade e/ou da integridade)
- Operações comprometidas (internas ou de terceiros)
- Perda de oportunidades de negócio e de valor financeiro
- Interrupção de planos e o não cumprimento de prazos
- Dano à reputação
- Violações de requisitos legais, regulatórios ou contratuais
Fonte: ABNT NBR ISO/IEC 27005:2011
Gabarito A
Para exemplificar a associação, considere a atividade “Definição do Contexto” da ISO/IEC 27005 e o padrão de segurança Security needs Identification for Enterprise Assets (SHUMACHER et al, 2006). A dinâmica da solução descrita pelo padrão é implementada em cinco etapas, que são:
1) Identificar os ativos de negócio da organização (atende a diretriz “identificação dos ativos relevantes para a gestão dos riscos”);
2) Identificar os fatores comerciais que influenciam as necessidades de segurança de proteção de ativos (atende a diretriz “definir o escopo e limites que serão levados em consideração na gestão de riscos”);
3) Determinar quais ativos se relaciona com os fatores de negócio (atende a diretriz “identificação dos ativos relevantes para a gestão dos riscos”);
4) Identificar quais os tipos de segurança pode ser necessário (atende a diretriz “determinar os critérios gerais de aceitação dos riscos para a organização”);
5) Determinar para cada tipo de ativo o tipo de segurança que é necessário (não foi identificada uma ligação direta com as diretrizes da norma).
Além disso, a solução indica o recurso humano necessário para realizar as atividades (atende a diretriz “determinar as responsabilidades para a gestão de riscos”).
Vamos na fé !
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !