Organizações de todos os tipos e tamanhos estão cada vez mais preocupadas com as ameaças que podem comprometer a segurança de suas informações. E gerenciar esse aspecto tem se tornado a principal prioridade de suas áreas de Tecnologia da Informação. A nova norma internacional e brasileira ISO 27005 - Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança da informação - auxiliará, sem dúvida nenhuma, as organizações a administrar tais riscos.
Ameaças podem ser intencionais ou acidentais e podem se relacionar tanto ao uso e aplicação de sistemas de TI como aos seus aspectos físicos e ambientais. Essas ameaças podem assumir diversas formas desde furto de mídia, documentos e equipamentos, forjamento de direitos, espionagem a distância, escuta não-autorizada, até fenômenos climáticos e sísmicos, incêndio, inundação e radiação eletromagnética.
As conseqüências dessas ameaças podem ser traduzidas por vários impactos nos negócios das organizações como, por exemplo, perdas financeiras, paralisacão de serviços essenciais, perda de confiança dos clientes, pane no fornecimento de energia e falhas de telecomunicações.
Um risco, no contexto da nova ISO 27005:2008, é a combinação das conseqüências que se seguirão à ocorrência de um evento indesejado e da probabilidade de ocorrência desse evento. A avaliação de riscos quantifica ou descreve qualitativamente um risco e permite aos gestores priorizar os riscos de acordo com a sua severidade ou com outros critérios estabelecidos pela organização.
A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de segurança da informação (SI) e dá sustentação aos conceitos especificados na , a norma de requisitos de sistemas de gestão da SI, além de auxiliar sobremaneira na implementação e certificação de tais sistemas de gestão.
A série de normas ISO 27000 foi reservada pela ISO - Organização Internacional de Normalização - exclusivamente para assuntos de segurança da informação. Isso se relaciona, naturalmente, a diversas outras áreas, como as séries ISO 9000 (gestão da qualidade) e ISO 14000 (gestão ambiental).
A série ISO 27000 está sendo povoada por várias normas individuais, algumas delas bastante conhecidas e já publicadas pela ISO. Outras serão definidas, desenvolvidas e publicadas paulatinamente nos próximos meses e anos.
Nunca havia ouvido falar nesse risco residual, porém acertei a questão por "sorte". Fiz uma analogia às competências residuais, por exemplo, dos estados, ou seja, eles ficarão com o que sobrar. Após os outros entes estabelecerem suas competências, os estados ficarão com o resto. Dessa forma, os estados poderão ter competências não identificáveis, uma vez que o rol é exemplificativo, ficando, assim, com o que não for dos outros entes da federação.
Fiz uma analogia devido à palavra RESIDUAL. Pelo menos consegui resolver a questão.