Conforme a norma ABNT NBR ISO/IEC 27005, no contexto da análise de riscos da organização, a partir da identificação de cenários de incidentes relevantes, de ameaças, de ativos afetados, de vulnerabilidades exploradas e de efeitos para os ativos e processos do negócio, convém que ocorra a