RISCO

É a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização. Nesta etapa são identificados os eventos que podem causar perdas, ou seja, as ameaças. Logo após, devemos identificar os controles existentes e a sua eficácia em evitar que uma ameaça explore uma vulnerabilidade. Com a informação das ameaças e da efetividade dos controles, podemos identificar o nível de risco. Conhecendo o nível de risco, a organização tem a oportunidade de decidir o que vai fazer em relação a cada um deles: reduzir (novos controles), aceitar, evitar ou transferir.
Após esta decisão, ainda restará o risco residual sobre o qual a organização decidirá o que vai fazer isto fica em ciclo até que se chegue a uma decisão aceita (mesmo que temporariamente) pela organização.
- EX. Avaliação considerando a probabilidade da ameaça e facilidade de exploração (fragilidade dos controles) e chegando ao nível (medida) de risco. Podemos ter uma visão dos riscos existentes.

AMEAÇAS

As ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas 3 características principais, quais sejam:
Perda de Confidencialidade: seria quando há uma quebra de sigilo de uma determinada informação (ex: a senha de um usuário ou administrador de sistema) permitindo que sejam expostas informações restritas as quais seriam acessíveis apenas por um determinado grupo de usuários.
Perda de Integridade: aconteceria quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.
Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicação crítica de negócio,