1. IMPACTO
1.1. São consequencias tangíveis e intangíveis decorrentes de uma ou mais vulnerabilidades
2. EVENTO DE SEGURANÇA
2.1. Ocorrência que indica uma possível violação da política da segurança
3. INCIDENTE DE SEGURANÇA
3.1. É uma ou uma séria de eventos inesperados ou indesejados com grande chance de comprometer o negócio ou segurança da informação.
4. PLANO DE CONTINUIDADE
4.1. REATIVOS servem para remediar uma situação indesejada causada por um evento ou incidente de segurança. É utilizado um plano de contingência com o intuito de minizar o impacto ao negócio
4.2. PAC Plano de Administração de Crises
4.3. PCO Plano de Continuidade Operacional
4.4. PRD Plano de Recuperação de Desastres
5. GUT
5.1. Gravidade
5.2. Urgência
5.3. Tendência
6. RISCO
6.1. Modificação do Risco
6.1.1. Alteração do nível do risco através de inclusão, exclusão ou alteração de controle. A forma mais comum de modificação é a mitigação de riscos. A periodicidade de trocas de senhas é uma forma de inserir controles para a alteração de Riscos
6.2. Retenção de Riscos
6.2.1. Quando o risco é aceitável. É necessário continuar monitorando para que o risco continue controlado e se mantenha dentro dos parâmetros aceitáveis
6.3. Ação de Evitar o Risco
6.3.1. Evitar a atividade que origina o risco. Esta ação é tomada quando o custo para tratar o risco é alto demais. Exemplo: trocar um Datacenter de lugar pelo risco de inundação.
6.4. Compartilhamento do Risco
6.4.1. Quando há contratação de terceiros que têm a capacidade de gerenciar aqueles riscos em específico. Vale ressaltar que não se pode transferir a responsabilidade de responder pelos serviços prestados por um parceiro. Exemplo: contratação de um parceiro para gerenciar a URA de uma operação de Service Desk do cliente.
6.5. R= VxAxI/ M
7. AMEAÇAS
7.1. ATIVAS aproveitam-se das vulnerabilidades causando impactos
8. VULNERABILIDADES
8.1. PASSIVO pode ser mensurado e administrado
9. POLÍTICA DA SEGURANÇA DA INFORMAÇÃO
9.1. PREVENTIVOS são usadas para evitar que incidentes ocorram
9.1.1. Treinamento de Pessoas são importantes para que sigam as recomendações da políticas, evitam que eventos ocorram e incidentes causem impacto ao negócio. Os impactos podem ser tagíveis - perdas financeiras como também intangíveis, compromentendo a imagem de qualidade da empresa
9.2. Contém diretrizes, normas e procedimentos
10. CIDAL
10.1. CONFIDENCIALIDADE evita que alguém não autorizado acesse
10.2. INTEGRIDADE garante que a informação não possa ser alterada ou corrompida
10.3. DISPONIBILIDADE tem que existir, ser autentica e ser íntegra
10.4. AUTENTICIDADE garante que a informação vem da fonte declarada
10.4.1. Assinatura digital é uma validação de autenticidade
10.5. LEGALIDADE é a quebra de acordos jurídicos ou tássitos
11. ADMINISTRAÇÃO DE CRISE
11.1. PAC
11.1.1. Plano de Administração de Crises
11.1.1.1. Administra a situação da crise. Exemplo: comunica os clientes do que ocorreu e informa o plano de contingência
11.2. PCO
11.2.1. Plano de Continuidade Operacional
11.2.1.1. É o plano onde garante uma continuidade para a operação ou sistema
11.3. PRD
11.3.1. Plano de Recuparação de Desastre
11.3.1.1. Plano para que haja uma recuperação onde um incidente ocorreu e precisa ser recuperado.