Quadro de avaliação de risco (raf)

Definição - O que significa Risk Assessment Framework (RAF)?

Uma estrutura de avaliação de risco (RAF) é uma abordagem para priorizar e compartilhar informações sobre os riscos de segurança apresentados a uma organização de tecnologia da informação. As informações devem ser apresentadas de uma forma que tanto o pessoal não técnico quanto o técnico do grupo possam entender. A visão do RAF fornece assistência às organizações na identificação e localização de áreas de baixo e alto risco no sistema que podem ser suscetíveis a abusos ou ataques.

Definirtec explica Risk Assessment Framework (RAF)

Os dados fornecidos pelos RAFs são benéficos para lidar com ameaças potenciais e planejar custos e orçamentos. Muitos RAFs já são aceitos como padrões em diversos setores. Alguns exemplos incluem a Avaliação de Ameaça Operacionalmente Crítica, Ativo e Vulnerabilidade (OCTAVE) da Equipe de Preparação para Emergências de Computadores, os Objetivos de Controle para Informação e Tecnologia Relacionada (COBIT) da Associação de Auditoria e Controle de Sistemas de Informação e o Guia de Gerenciamento de Risco para Sistemas de Tecnologia da Informação do National Institute of Standards.

Como outras estruturas, existem diretrizes para a criação de RAFs que precisam ser seguidas:

  • Inventário e categorização: agrupe os sistemas de informação, sejam internos ou externos, em categorias e diferencie seus processos.
  • Identifique os riscos potenciais: Procure ameaças, vulnerabilidades e riscos que o sistema pode encontrar. Ocorrências naturais, como calamidades ou quedas de energia, devem ser levadas em consideração, além de ataques de malware.
  • Implementar e avaliar: Com base na discussão dos riscos potenciais, implemente os controles de segurança correspondentes para segurança de dados. Avalie e documente as descobertas sobre como os controles estão funcionando e contribuindo para a redução de riscos.
  • Autorizar e monitorar: Autorizar as operações do sistema determinando o procedimento, o risco para as operações e ativos organizacionais, pontos fortes e fracos individuais e outros fatores que contribuirão para o bem-estar das operações. O monitoramento dos controles de segurança é um processo contínuo que inclui a avaliação da eficácia dos controles de segurança, documentação das mudanças, implementação das soluções discutidas e apresentação do estado do sistema ao pessoal organizacional apropriado.