Tratamento de riscos
O que é Tratamento de riscos?
Tratamento de riscosDecisão e ações para modificar um risco, normalmente aceitando-o, mitigando-o, transferindo-o ou evitando-o, com base nos critérios de risco da organização.
O tratamento de riscos é o passo do ciclo de gestão em que cada risco avaliado recebe uma resposta. As opções clássicas são: aceitar (conviver com o risco residual), mitigar (aplicar controlos para reduzir probabilidade ou impacto), transferir (seguros, cláusulas contratuais, outsourcing) ou evitar (parar ou redesenhar a atividade). Os planos de tratamento definem responsáveis, custos, prazos, risco residual alvo e controlos retirados de referenciais como o Anexo A da ISO/IEC 27001 ou da NIST SP 800-53. O plano é acompanhado no registo de riscos e revisto quando os controlos falham, as ameaças mudam ou os objetivos de negócio evoluem. Um tratamento eficaz é proporcional ao risco e alinhado com apetite e tolerância.
● Exemplos
- 01
Implementar MFA e acesso condicional para mitigar o risco de tomada de conta.
- 02
Contratar um seguro de ciber-risco para transferir parte da perda por ransomware.
● Perguntas frequentes
O que é Tratamento de riscos?
Decisão e ações para modificar um risco, normalmente aceitando-o, mitigando-o, transferindo-o ou evitando-o, com base nos critérios de risco da organização. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Tratamento de riscos?
Decisão e ações para modificar um risco, normalmente aceitando-o, mitigando-o, transferindo-o ou evitando-o, com base nos critérios de risco da organização.
Como funciona Tratamento de riscos?
O tratamento de riscos é o passo do ciclo de gestão em que cada risco avaliado recebe uma resposta. As opções clássicas são: aceitar (conviver com o risco residual), mitigar (aplicar controlos para reduzir probabilidade ou impacto), transferir (seguros, cláusulas contratuais, outsourcing) ou evitar (parar ou redesenhar a atividade). Os planos de tratamento definem responsáveis, custos, prazos, risco residual alvo e controlos retirados de referenciais como o Anexo A da ISO/IEC 27001 ou da NIST SP 800-53. O plano é acompanhado no registo de riscos e revisto quando os controlos falham, as ameaças mudam ou os objetivos de negócio evoluem. Um tratamento eficaz é proporcional ao risco e alinhado com apetite e tolerância.
Como se defender contra Tratamento de riscos?
As defesas contra Tratamento de riscos costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Tratamento de riscos?
Nomes alternativos comuns: Resposta ao risco, Plano de mitigação.
● Termos relacionados
- compliance№ 936
Gestão de riscos
Processo coordenado de identificar, analisar, avaliar, tratar, monitorizar e comunicar riscos para mantê-los dentro da tolerância definida pela organização.
- compliance№ 935
Avaliação de riscos
Atividade estruturada da gestão de riscos que identifica ameaças, vulnerabilidades e impactos sobre ativos específicos e classifica o risco para apoiar decisões de tratamento.
- compliance№ 937
Registo de riscos
Inventário vivo dos riscos identificados com descrição, responsável, pontuações, tratamento e estado, usado para acompanhar a exposição da organização ao longo do tempo.
- compliance№ 923
Risco residual
Risco que permanece após a aplicação dos controlos e tratamentos planeados, que a organização deve aceitar, transferir ou continuar a tratar.
- compliance№ 557
ISO/IEC 27001
Norma internacional que define os requisitos de um Sistema de Gestão de Segurança da Informação (SGSI) e permite certificação formal das organizações.
- compliance№ 737
NIST SP 800-53
Publicação do NIST que fornece um catálogo abrangente de controlos de segurança e privacidade para sistemas federais dos EUA e muitos adotantes do setor privado.
● Veja também
- № 934Apetite ao risco
- № 938Tolerância ao risco