A análise de risco consiste em um processo de identificação e avaliação dos fatores de risco presentes e de forma antecipada no Ambiente Organizacional, possibilitando uma visão do impacto negativo causado aos negócios.
Através da aplicação deste processo, é possível determinar as prioridades de ação em função do risco identificado, para que seja atingido o nível de segurança desejado pela organização. Proporciona também informações para que se possa identificar o tamanho e o tipo de investimento necessário de forma antecipada aos impactos na Organização causados pela perda ou indisponibilidade dos recursos fundamentais para o negócio. Sem um processo como este não são possíveis identificar a origem das vulnerabilidades, nem visualizar os riscos.
Utiliza-se como métrica as melhores práticas de segurança dainformação do ercado, apontadas na norma ISO/IEC 17799. A partir destas informações faz-se possível à elaboração do perfil de risco, que segue a fórmula: (Ameaça) x (Vulnerabilidade) x (Valor do Ativo) = RISCO. Atenção: a ISO/IEC 17799 não ensina a analisar o risco, serve apenas como referência normativa.
