O processo de gerenciamento de riscos na segurança da informação envolve uma série de fases interligadas que visam à proteção dos ativos de uma organização. Ele se inicia com a definição do ambiente operacional e dos critérios de avaliação. Em seguida, busca-se identificar e caracterizar os elementos que podem gerar incertezas. Uma etapa subsequente foca na mensuração da extensão potencial desses eventos sobre a organização, avaliando tanto a probabilidade quanto as possíveis repercussões. Esse ciclo é iterativo, permitindo que a organização adapte suas estratégias de segurança continuamente, em resposta às dinâmicas internas e externas.

FERNANDES, Jorge Henrique Cabral. Introdução à Gestão de Riscos de Segurança da Informação. Versão 1.2. Brasília: Gabinete de Segurança Institucional da Presidência da República, Departamento de Segurança da Informação e Comunicações, 2009. (Adaptado)

Qual etapa do gerenciamento de riscos tem como foco a mensuração da probabilidade e dos impactos de ameaças identificadas?

• A fase de análise quantitativa dos riscos, onde se mensura a probabilidade de ocorrência e os impactos potenciais sobre a organização.
• A fase de planejamento estratégico, onde são definidos os recursos e as estruturas organizacionais responsáveis pela segurança da informação.
• A fase de monitoramento contínuo, em que são avaliados os indicadores de desempenho das ações de segurança adotadas anteriormente.
• A fase de auditoria externa, que valida a conformidade da política de segurança com legislações nacionais e internacionais.
• A fase de identificação de riscos, na qual são catalogadas vulnerabilidades internas sem associação direta com ameaças externas.