Definição – O que significa Risk Assessment Framework (RAF)?
Uma estrutura de avaliação de risco (RAF) é uma abordagem para priorizar e compartilhar informações sobre os riscos de segurança apresentados a uma organização de tecnologia da informação. As informações devem ser apresentadas de uma forma que tanto o pessoal não técnico quanto o técnico do grupo possam entender. A visão do RAF fornece assistência às organizações na identificação e localização de áreas de baixo e alto risco no sistema que podem ser suscetíveis a abusos ou ataques.
Definirtec explica Risk Assessment Framework (RAF)
Os dados fornecidos pelos RAFs são benéficos para lidar com ameaças potenciais e planejar custos e orçamentos. Muitos RAFs já são aceitos como padrões em diversos setores. Alguns exemplos incluem a Avaliação de Ameaça Operacionalmente Crítica, Ativo e Vulnerabilidade (OCTAVE) da Equipe de Preparação para Emergências de Computadores, os Objetivos de Controle para Informação e Tecnologia Relacionada (COBIT) da Associação de Auditoria e Controle de Sistemas de Informação e o Guia de Gerenciamento de Risco para Sistemas de Tecnologia da Informação do National Institute of Standards.
Como outras estruturas, existem diretrizes para a criação de RAFs que precisam ser seguidas:
- Inventário e categorização: agrupe os sistemas de informação, sejam internos ou externos, em categorias e diferencie seus processos.
- Identifique os riscos potenciais: Procure ameaças, vulnerabilidades e riscos que o sistema pode encontrar. Ocorrências naturais, como calamidades ou quedas de energia, devem ser levadas em consideração, além de ataques de malware.
- Implementar e avaliar: Com base na discussão dos riscos potenciais, implemente os controles de segurança correspondentes para segurança de dados. Avalie e documente as descobertas sobre como os controles estão funcionando e contribuindo para a redução de riscos.
- Autorizar e monitorar: Autorizar as operações do sistema determinando o procedimento, o risco para as operações e ativos organizacionais, pontos fortes e fracos individuais e outros fatores que contribuirão para o bem-estar das operações. O monitoramento dos controles de segurança é um processo contínuo que inclui a avaliação da eficácia dos controles de segurança, documentação das mudanças, implementação das soluções discutidas e apresentação do estado do sistema ao pessoal organizacional apropriado.