1. AMEAÇAS
1.1. ATIVAS aproveitam-se das vulnerabilidades causando impactos
2. VULNERABILIDADES
2.1. PASSIVO pode ser mensurado e administrado
3. IMPACTO
3.1. São consequencias tangíveis e intangíveis decorrentes de uma ou mais vulnerabilidades
4. EVENTO DE SEGURANÇA
4.1. Ocorrência que indica uma possível violação da política da segurança
5. INCIDENTE DE SEGURANÇA
5.1. É uma ou uma séria de eventos inesperados ou indesejados com grande chance de comprometer o negócio ou segurança da informação.
6. POLÍTICA DA SEGURANÇA DA INFORMAÇÃO
6.1. PREVENTIVOS são usadas para evitar que incidentes ocorram
6.1.1. Treinamento de Pessoas são importantes para que sigam as recomendações da políticas, evitam que eventos ocorram e incidentes causem impacto ao negócio. Os impactos podem ser tagíveis - perdas financeiras como também intangíveis, compromentendo a imagem de qualidade da empresa
6.2. Contém diretrizes, normas e procedimentos
7. PLANO DE CONTINUIDADE
7.1. REATIVOS servem para remediar uma situação indesejada causada por um evento ou incidente de segurança. É utilizado um plano de contingência com o intuito de minizar o impacto ao negócio
7.2. PAC Plano de Administração de Crises
7.3. PCO Plano de Continuidade Operacional
7.4. PRD Plano de Recuperação de Desastres
8. CIDAL
8.1. CONFIDENCIALIDADE evita que alguém não autorizado acesse
8.2. INTEGRIDADE garante que a informação não possa ser alterada ou corrompida
8.3. DISPONIBILIDADE tem que existir, ser autentica e ser íntegra
8.4. AUTENTICIDADE garante que a informação vem da fonte declarada
8.4.1. Assinatura digital é uma validação de autenticidade
8.5. LEGALIDADE é a quebra de acordos jurídicos ou tássitos
9. GUT
9.1. Gravidade
9.2. Urgência
9.3. Tendência
10. ADMINISTRAÇÃO DE CRISE
10.1. PAC
10.1.1. Plano de Administração de Crises
10.1.1.1. Administra a situação da crise. Exemplo: comunica os clientes do que ocorreu e informa o plano de contingência
10.2. PCO
10.2.1. Plano de Continuidade Operacional
10.2.1.1. É o plano onde garante uma continuidade para a operação ou sistema
10.3. PRD
10.3.1. Plano de Recuparação de Desastre
10.3.1.1. Plano para que haja uma recuperação onde um incidente ocorreu e precisa ser recuperado.
11. RISCO
11.1. Modificação do Risco
11.1.1. Alteração do nível do risco através de inclusão, exclusão ou alteração de controle. A forma mais comum de modificação é a mitigação de riscos. A periodicidade de trocas de senhas é uma forma de inserir controles para a alteração de Riscos
11.2. Retenção de Riscos
11.2.1. Quando o risco é aceitável. É necessário continuar monitorando para que o risco continue controlado e se mantenha dentro dos parâmetros aceitáveis
11.3. Ação de Evitar o Risco
11.3.1. Evitar a atividade que origina o risco. Esta ação é tomada quando o custo para tratar o risco é alto demais. Exemplo: trocar um Datacenter de lugar pelo risco de inundação.
11.4. Compartilhamento do Risco
11.4.1. Quando há contratação de terceiros que têm a capacidade de gerenciar aqueles riscos em específico. Vale ressaltar que não se pode transferir a responsabilidade de responder pelos serviços prestados por um parceiro. Exemplo: contratação de um parceiro para gerenciar a URA de uma operação de Service Desk do cliente.