Pode-se responder ao risco de cinco formas diferentes: evitando, transferindo, reduzindo, aceitando e ignorando.

As ameaças precisam ser definidas quanto ao grau de exposição que apresentam para o ativo em questão. Quando se define o grau da ameaça, deseja-se determinar o quanto existe daquela ameaça, independente do ativo ao qual se está referindo para aquela ameaça.

Além de avaliar as ameaças e vulnerabilidades, é importante chegar a um indicador de impacto, ou seja, do prejuízo estimado para um incidente de segurança da informação envolvendo um determinado ativo de um determinado processo de negócio.

A avaliação do risco propriamente dita nada mais é do que comparar a estimativa de risco contra os critérios de risco para determinar os níveis de riscos de incidentes de segurança da informação. Normalmente, quanto maior o impacto e a probabilidade, maior será o risco.

A análise de risco é a parte principal do sistema de gestão da segurança da informação, pois sem essa análise seria praticamente impossível determinar o conjunto adequado de medidas de segurança e garantir qualquer nível de sinergia nas ações tomadas.

a identificação de consequências.

a definição e mensuração da efetividade de controles.

a detecção de erros no resultado de processamento de informações.

o contato com autoridades.

os acordos de confidencialidade.

clientes, fornecedores e questões legais.

escopo, prazos e recursos.

recursos humanos, prazos e agências governamentais.

recursos financeiros, fornecedores e questões ambientais.

questões regulatórias, escopo e fornecedores.

elaborar os planos de contingência, cujo objetivo é obter um controle preciso dos riscos presentes.

minimizar os problemas que possam surgir, eventualmente, em função dos riscos existentes.

registrar todas as ações tomadas no decorrer da concretização de um risco de forma a evitar problemas semelhantes no futuro.

detectar os perigos potenciais que possam vir a prejudicar as operações da empresa, como, a execução de um projeto de TI.

elaborar as medidas mais adequadas a serem tomadas quando da concretização de um risco, dentro do plano de contingência.

Convém que a análise/avaliação de riscos considere apenas os recursos de processamento das informações, e inclua os resultados específicos da segurança da informação. Os processos de negócio não são relevantes nesse contexto.

Os resultados da análise/avaliação de riscos ajudarão a direcionar e a determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação, e para a implementação dos controles selecionados para a proteção contra estes riscos.

A análise/avaliação de riscos deve contemplar todos os riscos internos e externos que podem afetar a continuidade do negócio, porém, não deve ser repetida periodicamente.

Uma vez que os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, é necessário que controles sejam implementados para assegurar que todos os riscos sejam eliminados, ou seja, reduzidos zero.

A seleção de controles de segurança da informação depende exclusivamente das decisões da organização, baseadas nos critérios para aceitação de risco. Nesse contexto, as legislações e regulamentações nacionais são irrelevantes.

identificação, catalogação e acompanhamento.

identificação, análise e monitoração de riscos.

estratégias de prevenção, estratégias de minimização e planos de contingência.

mapeamento, testes e solução.

métodos de prevenção, monitoração e solução.