FAIR (Factor Analysis of Information Risk)
O que é FAIR (Factor Analysis of Information Risk)?
FAIR (Factor Analysis of Information Risk)Norma internacional aberta para quantificar o risco de informação e ciber-risco em termos financeiros, decompondo o risco em fatores de frequência e magnitude das perdas.
O FAIR, mantido pelo FAIR Institute e normalizado pelo The Open Group (O-RA, O-RT), é o modelo quantitativo de ciber-risco mais utilizado. Decompõe o risco em frequência de eventos de perda (frequência de eventos de ameaça × vulnerabilidade) e magnitude da perda (primária e secundária), com subfatores estimados em intervalos calibrados. Ferramentas como FAIR-U e plataformas comerciais correm normalmente simulações de Monte Carlo para produzir distribuições de perdas, incluindo ALE e curvas de excedência. O FAIR é usado para priorizar investimentos, sustentar o diálogo com conselho e reguladores, fixar apetite ao risco e subscrever seguros cibernéticos, complementando ISO 31000, NIST RMF e referenciais ERM.
● Exemplos
- 01
Análise FAIR de Business Email Compromise para justificar investimento em proteção avançada de e-mail.
- 02
Relatório trimestral de riscos-chave baseado em FAIR para o comité de auditoria.
● Perguntas frequentes
O que é FAIR (Factor Analysis of Information Risk)?
Norma internacional aberta para quantificar o risco de informação e ciber-risco em termos financeiros, decompondo o risco em fatores de frequência e magnitude das perdas. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa FAIR (Factor Analysis of Information Risk)?
Norma internacional aberta para quantificar o risco de informação e ciber-risco em termos financeiros, decompondo o risco em fatores de frequência e magnitude das perdas.
Como se defender contra FAIR (Factor Analysis of Information Risk)?
As defesas contra FAIR (Factor Analysis of Information Risk) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para FAIR (Factor Analysis of Information Risk)?
Nomes alternativos comuns: FAIR, Análise FAIR.