2. É um processo no qual os riscos
são identificados, analisados e
reduzidos a um nível aceitável.
3. Uma vez compreendidos os riscos que
envolvem os ativos de informação e,
consequentemente, os processos de
negócio da organização, é possível então
decidir o que fazer em relação a esses
riscos identificados.
4. Existem basicamente quatro opções para tratamento dos
riscos:
1. Evitar
2. Controlar
3. Transferir
4. e Aceitar
Onde a organização decide quais opções irá seguir,
desenvolvendo uma série de ações (controles) para
alinhar os riscos com o nível de risco aceitável.
5. Essa opção parece a mais óbvia para o
tratamento dos riscos. Evitar os riscos, ou
seja, não adquirir ou tecnologias ou
processos que ofereçam riscos ao negócio.
Exemplo: Gravidez indesejada
6. A maior parte dos riscos não podem pura e
simplesmente ser evitados, eles existem e fazem parte
do negócio da organização. Uma outra opção é agir para
diminuir os riscos, ou seja, implementar controles que
diminuam as vulnerabilidades dos ativos que suportam
os processos da organização.
7. A opção de transferir o risco para outra pessoa ou
organização, em alguns casos é recomendada pela
análise de riscos. Uma forma de fazer a transferência dos
riscos é contratar um seguro cuja indenização cubra os
prejuízos envolvidos em um incidente de segurança da
informação. Outra forma é transferir o risco para outra
pessoa ou organização, passando esse serviço a ser
prestado por essa pessoa/organização com base em um
contrato que garanta um nível mínimo de serviço, ou um
SLA (Service Level Agreement).
8. Aceitação do risco se deve a análise de riscos que aponta
quais os riscos relevantes, mais que ficam abaixo do
nível de risco considerado mínimo para tomar ações tais
como evitar, controlar e transferir esse risco. Sendo
assim só resta uma opção: ACEITAR.
Mas mesmo aceitando o risco é importante saber que ele
existe para o caso de algum dia esse risco aumentar e
causar um impacto considerável caso venha acontecer um
incidente de segurança da informação, a organização
possa tomar ações e monitorar esse risco.
10. ABNT NBR ISO 31000 - Gestão de Riscos — Princípios e
Diretrizes
NBR ISO/IEC 27005 - Gestão de Riscos de Tecnologia da
Informação
ABNT, NBR ISO/IEC 17799 - “Tecnologia da Informação -
Código de Prática Para Gestão da Segurança da Informação”,
2001
11. Formado em Análise de Sistemas
Pós-Graduado em Auditoria em T.I.
Gerente de TI da CLIOC – Coleção de Leishmania do
Instituto Oswaldo Cruz – Fiocruz
Certificado em Gestão de Segurança da Informação e
Gerenciamento de T.I. pela Academia Latino-Americana
(Microsoft TechNet / Módulo Security)
Carlos Henrique M. da Silva
carloshenrique.85@globo.com