Visando a identificação, avaliação e tratamento dos riscos de segurança da informação, a norma ISO27002 (antiga ISO17799) recomenda a realização de uma Análise de Risco nos processos de negócio da empresa, para identificação de ameaças e vulnerabilidades existentes no ambiente da empresa que poderão causar um Incidente de Segurança, além de determinar sua probabilidade de ocorrência e estimar o impacto no negócio da empresa, a partir da valoração dos principais ativos da empresa.

Análise de Riscos

A Análise de Riscos verifica a quebra de confidencialidade, integridade e disponibilidade nos sistemas e equipamentos através de análises de impacto no negócio, diagnóstico de vulnerabilidades e diagnóstico de processos. As vulnerabilidades técnicas e de processos são identificadas avaliando os riscos em função das ameaças e objetivos de negócio da empresa.

Motivador e Benefício

A Análise de Riscos possibilita a identificação das deficiências técnicas em um âmbito global e obtenção do grau de exposição em relação às ameaças de integridade, disponibilidade e confidencialidade. Analisa os processos relacionados aos controles de segurança de informação e detecta pontos onde a organização é mais vulnerável às ameaças internas e externas. Apresenta os subsídios para poder determinar e priorizar ações adequadas para a gestão dos riscos de segurança da informação.

Escopo

Análise de servidores;
Visita ao ambiente da empresa;
Análise de regras de firewall;
Varredura de endereços IP públicos;
Análise das estações (amostragem);
Análise de instâncias de banco de dados;
Análise de equipamentos de rede;
Análise de sistemas críticos para análise de controles específicos;
BIA(Analise de Impacto) para áreas/processos de negócio;
Diagnóstico de processos.

Produto

Relatório da Análise de Risco;
Sumário Executivo;
BIA;
Plano Técnico e Plano de Ação.