Análise de riscos envolve o levantamento de probabilidade de ocorrência de eventos indesejáveis (ameaças x vulnerabilidades) e o impacto aos ativos da organização. Deve considerar os objetivos de negócio e vai embasar decisões nos níveis estratégico, tático e operacional.
Existem dois métodos para a realização da análise, os quais podem até mesmo ser empregados conjuntamente.
O primeiro método é o quantitativo, que procura avaliar monetariamente os efeitos da materialização do risco, ou seja, quantifica a perda financeira para a organização. Nem sempre é simples estimar tais valores.
O método qualitativo, por sua vez, atribui mençõs subjetivas aos diversos componentes da avaliação de riscos. Em primeiro lugar, a probabilidade de ocorrência é obtida a partir das ameaças e das vulnerabilidades. Depois, a probabilidade (por exemplo: alta, média ou baixa) é posta em uma matriz com o impacto (por exemplo: alto, médio ou baixo). Desse cruzamento são visualizados os riscos que devem ser priorizados.
(figura retirada de http://www.tenstep.com.br)
A análise qualitativa é mais rápida, independe da precisão numérica da análise quantitativa. No entanto, a habilidade do avaliador em determinar os níveis de probabilidade e impacto será determinante para uma análise qualitativa condizente com a realidade.
Nenhum comentário:
Postar um comentário