Tratamento de riscos
O que é Tratamento de riscos?
Tratamento de riscosDecisão e ações para modificar um risco, normalmente aceitando-o, mitigando-o, transferindo-o ou evitando-o, com base nos critérios de risco da organização.
O tratamento de riscos é o passo do ciclo de gestão em que cada risco avaliado recebe uma resposta. As opções clássicas são: aceitar (conviver com o risco residual), mitigar (aplicar controlos para reduzir probabilidade ou impacto), transferir (seguros, cláusulas contratuais, outsourcing) ou evitar (parar ou redesenhar a atividade). Os planos de tratamento definem responsáveis, custos, prazos, risco residual alvo e controlos retirados de referenciais como o Anexo A da ISO/IEC 27001 ou da NIST SP 800-53. O plano é acompanhado no registo de riscos e revisto quando os controlos falham, as ameaças mudam ou os objetivos de negócio evoluem. Um tratamento eficaz é proporcional ao risco e alinhado com apetite e tolerância.
● Exemplos
- 01
Implementar MFA e acesso condicional para mitigar o risco de tomada de conta.
- 02
Contratar um seguro de ciber-risco para transferir parte da perda por ransomware.
● Perguntas frequentes
O que é Tratamento de riscos?
Decisão e ações para modificar um risco, normalmente aceitando-o, mitigando-o, transferindo-o ou evitando-o, com base nos critérios de risco da organização. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Tratamento de riscos?
Decisão e ações para modificar um risco, normalmente aceitando-o, mitigando-o, transferindo-o ou evitando-o, com base nos critérios de risco da organização.
Como se defender contra Tratamento de riscos?
As defesas contra Tratamento de riscos costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Tratamento de riscos?
Nomes alternativos comuns: Resposta ao risco, Plano de mitigação.