Um dos primeiros desafios que surgem quando se deseja realizar uma análise de riscos ou implementar um processo de gerenciamento de riscos em uma organização é o levantamento dos ativos a proteger.
Lembrando, ATIVO é tudo aquilo que tem valor para a organização (ABNT ISO/IEC 27001:2006), algo que possui VULNERABILIDADES sujeitas a AMEAÇAS.
Vulnerabilidade é uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. (ABNT ISO/IEC 27005:2008)
Para subsidiar a Política de Segurança da Informação e Comunicações (POSIC) em minha organização, foi necessária a realização de uma análise de riscos. Realizamos o levantamento de ativos através de entrevistas com os gestores e precisamos encontrar formas de estimulá-los a descrever os pontos-chave dos processos de negócio em que estavam envolvidos. O Anexo B das normas ABNT ISO/IEC 27005:2008 traz, com a ajuda de exemplos, uma forma de categorizar os ativos e tornar mais intuitiva a tarefa de identificação. Fica a dica!Ameaça é a causa potencial de um incidente que pode resultar em dano para o sistema ou organização. (ABNT ISO/IEC 27005:2008)
Nenhum comentário:
Postar um comentário