Um completo programa de gestão de riscos de TI avalia os riscos relativos a diversas categorias, como as listadas abaixo:
I. Conjunto de riscos relativos às ameaças internas ou externas que podem resultar em acessos não autorizados a alguma
informação. Incluem-se aqui os riscos relativos ao vazamento de dados, privacidade de dados e fraudes. Inclui-se também
uma ampla gama de ameaças externas como ataque por vírus, ataques às aplicações, usuários e informações específicas,
bem como ataque a sistemas que as pessoas confiam e utilizam frequentemente.
II. Trata-se do risco de uma informação apresentar-se inacessível devido a interrupções não planejadas em sistemas. As organizações
têm a responsabilidade de manter seus sistemas de negócio operacionais. Como resultado, precisam reduzir
os riscos de perda ou corrupção de dados e de indisponibilidade de aplicações. E, no caso de uma falha, os negócios devem
ser recuperados em um prazo adequado.
III. É o risco de uma informação apresentar-se inacessível devido a limitações de escalabilidade ou gargalos relativos à comunicação
de dados. Os negócios precisam garantir os requerimentos de volume e desempenho, mesmo durante momentos
de pico. Aspectos relativos ao desempenho devem ser identificados proativamente, antes que os usuários finais
ou aplicações sejam impactados. E, para minimizar os custos, as organizações precisam otimizar seus recursos e evitar
gastos desnecessários em hardware.
IV. É o risco de violação de exigências regulatórias ou de falha no alcance de requerimentos de políticas internas. As empresas
precisam apresentar conformidade a regulações dos mais diversos níveis (federais e estaduais), preservar informações
e prover um eficiente sistema de busca e recuperação de conteúdo quando requerido.
A associação correta das categorias de risco com as definições I, II, III e IV está em: