"Você só pode gerenciar o que pode medir. Mas só pode medir o que pode identificar!"

Identificar riscos é o primeiro passo para poder gerenciá-los. Segundo a ISO 31000, a identificação de riscos é o processo de busca, reconhecimento e descrição dos riscos. Envolve a identificação das fontes, eventos, suas causas e suas consequências potenciais e pode compreender dados históricos, análises teóricas, opiniões de pessoas informadas e especialistas, e as necessidades das partes interessadas.

Nem sempre existe consenso na definição de um risco, muitas vezes confunde-se com a descrição de uma fonte (como uma ameaça que possui o potencial de dar origem ao risco), de um agente que causa a ameaça (como um hacker, fenômeno da natureza: chuva, enchente..) ou mesmo os seus efeitos, consequências ou impactos nos objetivos (como danos, perdas ou outros resultados indesejáveis).

A confusão existe devido à relação de causa-efeito de um evento, onde de forma sistêmica em uma cadeia de eventos, um risco pode dar origem a outros riscos em sequência. Por exemplo, a falta de capacitação profissional, que pode ocasionar uma falha operacional, que produz uma perda em um ativo, que gera um esforço para correção ou substituição, que por sua vez constitui uma perda financeira, que pode levar ainda a multas e sanções, etc.

Para facilitar o entendimento, partindo da própria definição de risco, o efeito da incerteza nos objetivos, é preciso estabelecer o contexto no qual o risco existe, incluindo as partes interessadas, proprietário ou responsável por gerenciá-lo. Essencialmente, o risco depende do objetivo afetado, que pode ser estratégico, tático e operacional, possuir diferentes aspectos e categorias, ter aplicação em diferentes níveis (projeto, produto, processos,..) e relacionado a diferentes disciplinas (como finanças, saúde e segurança e metas ambientais).

Uma vez identificado corretamente o risco, pode-se então seguir para os próximos passos do processo de gestão de riscos que é a análise de riscos, compreendendo a natureza e determinando o nível do risco, e a avaliação de riscos que baseado nos critérios decidindo sobre sua aceitação e tomando as decisões para o tratamento.

No padrão Open FAIR™, a Taxonomia de Riscos procura deixar claro os termos e definições utilizados no modelo, partindo da definição direta e consistente do que é risco, e detalhando como mensurá-lo a partir de seus fatores e relações.

Risco é a provável frequência e a provável magnitude da perda futura. (Open FAIR™)

No modelo Open FAIR™, o primeiro passo da análise de riscos é identificar claramente o cenário de perda (escopo da análise), a partir da perspectiva de uma parte interessada, tipicamente o proprietário de um ativo ou aquele que suporta ou é impactado pela perda.

O Cenário de Perda no Open FAIR™ é uma história que forma uma frase:

Um Agente de Ameaças viola ou prejudica um Ativo de informação que causa um Evento de Perda perceptível que tem consequências econômicas diretas (Perda Primária) e pode ter consequências econômicas iniciadas por reações de outros (Perda Secundária).

Uma análise de riscos seja bem-sucedida depende que seu escopo seja bem definido e suficientemente limitado. Um escopo muito amplo pode dificultar a estimativa dos fatores, por exemplo com cenários de múltiplas perdas perceptíveis (confidencialidade, integridade, disponibilidade) ou capacidades de ameaça diferentes, ou muitos ataques contra diferentes ativos com frequências e impactos significativamente distintos. Nestes casos, convém dividir e criar vários cenários para serem analisados separadamente.

"Analisar vários Cenários de Perda focados muitas vezes leva menos tempo e é mais eficiente do que tentar fazer estimativas para cenários mais complexos."

Com um Cenário de Risco bem definido, pode-se agora modelar e avaliar quantitativamente a Frequência e a Magnitude associadas a este cenário. Na figura abaixo, a decomposição do Cenário de Perda pode ser entendida, da esquerda para a direita, como uma cadeia de eventos, começando com um Agente de Ameaça entrando em contato com um Ativo, causando Evento(s) de Perda que tem Consequências Diretas e, eventualmente, Indiretas.