Junto ao catálogo de riscos é necessário classificar também a probabilidade, o impacto e os controles. O CIS (Center for Internet Security) divulga frequentemente estatísticas e números tanto da ocorrência de ataques (a maior parte deles envolve dados pessoais), como a eficácia dos controles e medidas de segurança do CIS CSC v8 (falamos sobre este framework em alguns artigos). A figura a seguir mostra os 5 principais ataques e a eficácia dos controles implementados tanto do Grupo de Implementação 1 (IG1) como de todas as medidas de segurança.

Estes processos não são simples e exigem experiência para interpretar e implementar, um trabalho conjunto entre as áreas de proteção de dados e segurança da informação pode ajudar a chegar a ótimas definições tanto para a gestão de riscos quanto de incidentes.

A ANPD expandiu o prazo para a consulta pública pública sobre o "Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais" para 15 de junho. Vale conhecer e colaborar. (link no comentário)

Obrigado,

Abraço,

FNery.

Descrição da imagem no DALL-E: "Usando metodologias ágeis, uma equipe diversificada e motivada de pessoas de diferentes raças, tamanhos e idades colabora para implementar projetos inovadores em um escritório moderno, cercado por post-its vibrantes nas paredes - capturados em uma pintura em aquarela."

Comentários: ANPD prorroga prazo da consulta pública sobre o Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-prorroga-prazo-da-consulta-publica-sobre-o-regulamento-de-comunicacao-de-incidente-de-seguranca-com-dados-pessoais