Índice:
- Definição - O que significa o Risk Assessment Framework (RAF)?
- Techopedia explica o Risk Assessment Framework (RAF)
Definição - O que significa o Risk Assessment Framework (RAF)?
Uma estrutura de avaliação de risco (RAF) é uma abordagem para priorizar e compartilhar informações sobre os riscos de segurança apresentados a uma organização de tecnologia da informação. As informações devem ser apresentadas de uma maneira que o pessoal não técnico e o técnico do grupo possam entender. A visão da RAF fornece assistência às organizações na identificação e localização de áreas de baixo e alto risco no sistema que podem ser suscetíveis a abuso ou ataque.
Techopedia explica o Risk Assessment Framework (RAF)
Os dados que os RAFs fornecem são benéficos para lidar com ameaças em potencial e planejar custos e orçamentos. Muitos RAFs já são aceitos como padrões em vários setores. Alguns exemplos incluem a Avaliação Operacionalmente Crítica de Ameaças, Ativos e Vulnerabilidades (OCTAVE) da Equipe de Prontidão de Emergência em Computadores, os Objetivos de Controle para Informação e Tecnologia Relacionada (COBIT) da Associação de Controle e Auditoria de Sistemas de Informação e o Guia de Gerenciamento de Risco para Sistemas de Tecnologia da Informação do Instituto Nacional de Padrões.
Como outras estruturas, existem diretrizes para a criação de RAFs que precisam ser seguidas:
- Inventário e categorização: agrupe os sistemas de informação, internos ou externos, em categorias e diferencie seus processos.
- Identifique riscos potenciais: procure ameaças, vulnerabilidades e riscos que o sistema possa encontrar. Ocorrências naturais, como calamidades ou falta de energia, devem ser levadas em consideração, além de ataques de malware.
- Implementar e avaliar: com base na discussão de riscos em potencial, implemente os controles de segurança correspondentes para segurança de dados. Avalie e documente as descobertas sobre como os controles estão funcionando e contribuindo para a redução de riscos.
- Autorizar e monitorar: autorize as operações do sistema determinando o procedimento, o risco para operações e ativos organizacionais, pontos fortes e fracos individuais e outros fatores que contribuirão para o bem-estar das operações. O monitoramento dos controles de segurança é um processo contínuo que inclui a avaliação da eficácia dos controles de segurança, documentação das alterações, implementação das soluções discutidas e apresentação do estado do sistema ao pessoal organizacional apropriado.