RESUMO: O despreparo das organizações para lidar com a segurança da informação as torna mais vulneráveis às ameaças e os impactos causados pelos eventos negativos tendem a serem maiores. Com isso, a implantação da gestão da segurança das informações é fundamental para minimizar os riscos e garantir a continuidade do negócio, maximizando as oportunidades de competitividade.
A analise/avaliação de riscos é uma atividade do processo de gestão de riscos em que são identificados os riscos e seus componentes – ativos, ameaças, vulnerabilidade e conseqüências. A probabilidade de ocorrência do cenário de risco e suas conseqüências são avaliadas, resultado em um nível de risco. Esse risco é então avaliado segundo critérios pré-definidos que determinarão a sua importância para organização.
Palavras Chave: Analise/avaliação, Segurança da informação, Gestão de segurança

1) INTRODUÇÃO
Na economia atual, a informação é um dos principais ativos das organizações. É através dela que as empresas gerenciam seus produtos ou serviços e traçam suas estratégias, tornando os sistemas de informações ativos críticos que necessitam serem protegidos contra ameaças que podem explorar as vulnerabilidades do sistema. Estas violações na segurança podem causar a perda da confidencialidade, integridade e disponibilidade das informações, gerando perdas financeiras e competitivas por parte das empresas afetadas.
A série de normas ISO 27000 foi reservada pela ISO - Organização Internacional de Normalização - exclusivamente para assuntos de segurança da informação. A norma ISO 27005 tem por objetivo fornecer as diretrizes para o processo de Gestão de Riscos de Segurança da Informação. Esta norma define as melhores práticas em gestão de riscos de segurança da informação e pode ser aplicadas a organizações de todos os portes e segmentos.
A norma ISO 27005 recomenda iniciar o processo de gestão de riscos com uma analise/avaliação com enfoque de alto nível, uma abordagem mais global que vise os