A avaliação dos riscos de segurança é uma consideração sobre o impacto nos negócios causado por falha de segurança, e da probabilidade dessa falha ocorrer, considerando as ameaças e as vulnerabilidades mais frequentes e os controles já implementados.

Também há fatores críticos de sucesso?
A implementação da segurança da informação dentro de uma organização possui alguns fatores críticos de sucesso:

• Política de segurança, objetivos e atividades, que reflitam os objetivos do negócio. • Enfoque para a implementação da segurança coerente com a cultura organizacional. • Comprometimento e apoio da direção. • Bom entendimento dos requisitos de segurança, avaliação e gerenciamento de risco. • Divulgação eficiente da segurança para todos os gestores e funcionários. • Distribuição das diretrizes sobre as normas e política de segurança da informação para todos os envolvidos. • Educação e treinamento adequados.

A área de segurança é relativamente nova e carece de profissionais com qualificação adequada para o exercício de suas atividades. A NBR ISO/IEC 17799, além de definir procedimentos e metas em relação à segurança das informações, orienta o trabalho desses profissionais.