FAIR (Factor Analysis of Information Risk)
O que é FAIR (Factor Analysis of Information Risk)?
FAIR (Factor Analysis of Information Risk)Norma internacional aberta para quantificar o risco de informação e ciber-risco em termos financeiros, decompondo o risco em fatores de frequência e magnitude das perdas.
O FAIR, mantido pelo FAIR Institute e normalizado pelo The Open Group (O-RA, O-RT), é o modelo quantitativo de ciber-risco mais utilizado. Decompõe o risco em frequência de eventos de perda (frequência de eventos de ameaça × vulnerabilidade) e magnitude da perda (primária e secundária), com subfatores estimados em intervalos calibrados. Ferramentas como FAIR-U e plataformas comerciais correm normalmente simulações de Monte Carlo para produzir distribuições de perdas, incluindo ALE e curvas de excedência. O FAIR é usado para priorizar investimentos, sustentar o diálogo com conselho e reguladores, fixar apetite ao risco e subscrever seguros cibernéticos, complementando ISO 31000, NIST RMF e referenciais ERM.
● Exemplos
- 01
Análise FAIR de Business Email Compromise para justificar investimento em proteção avançada de e-mail.
- 02
Relatório trimestral de riscos-chave baseado em FAIR para o comité de auditoria.
● Perguntas frequentes
O que é FAIR (Factor Analysis of Information Risk)?
Norma internacional aberta para quantificar o risco de informação e ciber-risco em termos financeiros, decompondo o risco em fatores de frequência e magnitude das perdas. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa FAIR (Factor Analysis of Information Risk)?
Norma internacional aberta para quantificar o risco de informação e ciber-risco em termos financeiros, decompondo o risco em fatores de frequência e magnitude das perdas.
Como funciona FAIR (Factor Analysis of Information Risk)?
O FAIR, mantido pelo FAIR Institute e normalizado pelo The Open Group (O-RA, O-RT), é o modelo quantitativo de ciber-risco mais utilizado. Decompõe o risco em frequência de eventos de perda (frequência de eventos de ameaça × vulnerabilidade) e magnitude da perda (primária e secundária), com subfatores estimados em intervalos calibrados. Ferramentas como FAIR-U e plataformas comerciais correm normalmente simulações de Monte Carlo para produzir distribuições de perdas, incluindo ALE e curvas de excedência. O FAIR é usado para priorizar investimentos, sustentar o diálogo com conselho e reguladores, fixar apetite ao risco e subscrever seguros cibernéticos, complementando ISO 31000, NIST RMF e referenciais ERM.
Como se defender contra FAIR (Factor Analysis of Information Risk)?
As defesas contra FAIR (Factor Analysis of Information Risk) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para FAIR (Factor Analysis of Information Risk)?
Nomes alternativos comuns: FAIR, Análise FAIR.
● Termos relacionados
- compliance№ 889
Análise quantitativa de riscos
Abordagem que exprime probabilidade e impacto em números, normalmente como probabilidades e distribuições de perda monetária, para sustentar decisões orientadas por dados.
- compliance№ 705
Simulação de risco Monte Carlo
Técnica computacional que estima o risco executando milhares de cenários aleatórios a partir de distribuições de probabilidade de entrada, gerando uma distribuição de resultados possíveis.
- compliance№ 935
Avaliação de riscos
Atividade estruturada da gestão de riscos que identifica ameaças, vulnerabilidades e impactos sobre ativos específicos e classifica o risco para apoiar decisões de tratamento.
- compliance№ 936
Gestão de riscos
Processo coordenado de identificar, analisar, avaliar, tratar, monitorizar e comunicar riscos para mantê-los dentro da tolerância definida pela organização.
- compliance№ 383
Gestão de riscos empresariais (ERM)
Abordagem integrada e transversal para identificar, governar e tratar riscos estratégicos, financeiros, operacionais, de conformidade e cibernéticos, alinhada aos objetivos do negócio.
- compliance№ 733
NIST Risk Management Framework
Processo do NIST em sete passos, definido na SP 800-37, para integrar a gestão de riscos de segurança, privacidade e cadeia de fornecimento no ciclo de vida dos sistemas.