ABNT NBR ISO/IEC 27005 – Glossário

No post anterior, introduzi a 27005, norma que trata da Gestão de Riscos de Segurança da Informação (GRSI). Neste post, pretendo falar um pouco dos termos e definições trazidos em uma das seções da norma.

Termos e definições (27005):

Impacto – mudança adversa no nível obtido dos objetivos de negócios;

Riscos de segurança da informação – a possibilidade de uma ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos,  prejudicando a organização (medido em função da probabilidade de um evento e de sua consequência) – *Essa definição faz coro à definição de RISCO trazida pela 27002: “Combinação da probabilidade de um evento e de suas conseqüências”, mas ressalto que só há risco se houver a combinação ameaça-vulnerabilidade. Se o ativo é vulnerável, mas não há ameaça capaz de explorar, então não há risco.

Ação de evitar o risco – decisão de
não se envolver ou agir de forma a se retirar de uma situação de risco (não confundir com o controle em si, aqui temos apenas um processo decisório);

Comunicação do risco – troca ou compartilhamento de informação sobre risco entre o tomador de decisão e outras partes envolvidas;

Estimativa de riscos – processo utilizado para atribuir valores à probabilidade e consequências de um risco;

Identificação de riscos – processo para localizar, listar e caracterizar elementos do risco;

Redução do risco – ações tomadas para reduzir a probabilidade, as consequências negativas ou ambas associadas a um risco;

Retenção do risco – aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco; *Observem que interessante: aqui a norma fala de um risco eventualmente positivo, algo um pouco contraditório aos ditames da 27001 e 27002.

Transferência do risco – compartilhamento com uma outra entidade do ônus da perda associado a um risco.

É isso pessoal!

Abraço,

Fagury

»crosslinked«

Você pode gostar...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *