TRATAMENTO DO RISCO
Beal (2008, p. 26) cita que existe várias classificações disponíveis para as medidas de proteção utilizadas para diminuir os riscos de segurança da informação. Uma das classificações possíveis é:
Medidas preventivas: controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização.
Medidas corretivas ou reativas: reduzem o impacto de um ataque/incidente, São medidas tomadas durante ou após a ocorrência do evento.
Métodos detectivos: expõem ataques/ incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita.
Figura 00

QUADRO 000 – ETAPAS DA GESTÃO DO RISCO
AMEAÇA
MEDIDAS PREVENTIVAS
MEDIDAS REATIVAS
MÉTODOS DE DETECÇÃO
Fraude.
Supervisão gerencial, segregação de funções, controle efetivo de senhas e permissões de acesso.
Interrupção de pagamentos suspeitos, investigação interna, denúncia à polícia.
Auditoria de logs, análise de trilhas de auditoria, conciliação de valores.
Roubo de equipamentos.
Controles de entrada e saída
Investigação interna, denúncia à polícia.
Inventário periódico, controle de entrada e saída.
FONTE: Adaptado de: Beal (2008, p. 17)
Todos esses aspectos de segurança serão analisados ao longo do presente caderno de estudos, e é importante considerar o alerta contido na ISSO 17799: nem todos os controles se aplicam ou são viáveis em todas as situações e organizações. A seleção dos controles devem se basear-se na análise de risco e de custo/ benefício de sua implementação, considerando todos os requisitos de segurança identificados, sejam eles originados das diretrizes internas, legislação vigente ou da própria avaliação do risco, e os impactos financeiros e não financeiros (para credibilidade, imagem etc.) associados a estes.

ACEITAÇÃO DO RISCO RESIDUAL E COMUNICAÇÃO