UMA ANÁLISE COMPARATIVA NA UTILIZAÇÃO DE UM PLANO DE CONTENÇÃO DE RISCOS DA SEGURANÇA DA INFORMAÇÃO BASEADO NA NORMA ISO/IEC 27005:2008 E NO FRAMEWORK RISK IT BY ISACA

A informação é o ativo mais importante no universo das empresas; seja pública ou privada, percebe-se a falta de estrutura do universo corporativo para lidar com a segurança das suas informações. A falta de conhecimento das vulnerabilidades e ameaças e, consequentemente, o despreparo para os impactos negativos que venham a ocorrer por eventos não esperados, evidenciam a necessidade, que se faz fundamental, da implantação de uma política de gestão de segurança pautada em um Plano de Continuidade do Negócio, bemcomo um Plano de Controle e Contenção de Riscos. A associação desses dois documentos com aplicações e controles bem definidos proporciona para a empresa um cenário mais estável, contribuindo para decisões importantes na esfera da Governança e da Gestão daSegurança da Informação (SGSI). O presente artigo segue a metodologia de revisão bibliográfica e tem o objetivo de mostrar as particularidades dos modelos supracitados, proporcionando ao leitor uma visão mais refinada da ISO 27005 e do framework RISK IT, elucidando suas semelhanças e diferenças de utilização, o que contribuirá para decisão do modelo a ser implantado em determinada empresa.