As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Resposta ao risco de segurança cibernética
As respostas aos riscos positivos e aos riscos negativos são muito diferentes. Para os riscos negativos, é necessário adotar medidas para minimizar o impacto no resultado, mas para os riscos positivos, você deve tomar medidas para maximizar o impacto no resultado. A tabela a seguir mostra as possíveis respostas a riscos positivos e negativos.
| Tipo de tarefa | Resposta | Definição |
|---|---|---|
| Risco positivo | Explorar | Maximize a probabilidade ou a possibilidade de o risco ocorrer para obter seu efeito positivo. |
| Compartilhar | Aloque parte da propriedade ou responsabilidade pelo risco a outra parte. Essa é a mesma abordagem de um risco negativo e tenta controlar perdas ou ganhos potenciais. | |
| Melhorar | Aumente as condições que geram risco para maximizar a oportunidade. | |
| Ignorar | Ignore a possibilidade do risco e não tome nenhuma ação. Essa resposta é comum quando a probabilidade do risco é muito baixa ou quando os benefícios de um possível resultado positivo são mínimos. | |
| Risco negativo | Mitigar | Minimize a probabilidade ou a possibilidade de o risco ocorrer. |
| Transferir | Transfira a responsabilidade pelo risco para outra parte, como comprar uma apólice de seguro para transferir o risco para uma seguradora. | |
| Evitar | Elimine as condições que criam o risco. | |
| Aceitar | Reconheça a existência do risco, mas não tome nenhuma ação. |
Para riscos negativos, as organizações evitam, transferem, mitigam ou aceitam o risco com base em sua tolerância ao risco e apetite. Elas tentam evitar que o risco ocorra e, quando ele ocorre, tentam minimizar seu impacto na missão geral.
A melhor maneira de ilustrar as respostas positivas ao risco é usar exemplos:
-
Explorar: um executivo de segurança descobre que um profissional de segurança bem qualificado decidiu recentemente procurar um novo emprego e organiza um generoso bônus de assinatura para atrair o possível funcionário para sua equipe.
-
Compartilhar: um líder de unidade de negócios gostaria de melhorar a segurança usando um produto de gerenciamento de acesso privilegiado, mas não tem um orçamento suficiente para comprar as ferramentas e os serviços no ano fiscal atual. O líder trabalha com um líder de uma unidade de negócios diferente que comprará e implementará a ferramenta como um projeto piloto e, posteriormente, expandirá a instalação para oferecer suporte às duas unidades de negócios.
-
Melhorar: um funcionário identificou uma oportunidade de automatizar um processo comercial existente para reduzir as ameaças à segurança cibernética, mas isso exige investimentos em tempo e equipamento. Percebendo os benefícios positivos desse processo, o gerente aprova horas extras de trabalho para desenvolver a capacidade e redireciona recursos de hardware e software existentes para permitir que o projeto avance.
-
Ignorar: um executivo financeiro descobre que um funcionário que trabalha no departamento de vendas desenvolveu uma nova aplicação que automatiza uma tarefa tediosa e manual. Recentemente, a aplicação foi autorizada para uso somente no departamento de vendas. O executivo financeiro obtém uma cópia da nova solicitação para obter uma vantagem semelhante em seu departamento, sem autorização explícita.
