Avançado Governança e Compliance

Gestão de risco — identificar, avaliar, tratar e aceitar risco

Gestão de risco é o processo sistemático de entender o que pode dar errado, qual o impacto e como tratar isso de forma proporcional. Não existe segurança sem risco gerenciado — existe segurança cara, lenta e mal direcionada. A ISO 27005 e o NIST SP 800-30 são as referências mais usadas na área.

Conceitos Fundamentais

Risco = Probabilidade × Impacto

Ameaça: o que pode causar dano (ex.: ransomware, funcionário desonesto)
Vulnerabilidade: fraqueza que a ameaça pode explorar (ex.: backup ausente)
Ativo: o que precisa ser protegido (ex.: banco de dados de clientes)
Controle: medida que reduz probabilidade ou impacto

Etapas do Processo

1. Identificação de Ativos

Liste ativos de informação por categoria:

Dados: base de clientes, contratos, credenciais
Sistemas: ERP, e-mail, servidores de produção
Processos: onboarding, faturamento, suporte
Pessoas: administradores, desenvolvedores, fornecedores
Infraestrutura: data center, rede, endpoints

Atribua um responsável (owner) a cada ativo. Sem dono, sem accountability.

2. Avaliação de Risco

Use uma matriz de risco com escala definida. Exemplo com escala 1–3:

         IMPACTO
         Baixo(1) Médio(2) Alto(3)
PROB.
Alto(3)    3        6        9   ← inaceitável
Médio(2)   2        4        6   ← atenção
Baixo(1)   1        2        3   ← aceitável

Exemplo:
Ativo: servidor de produção
Ameaça: ataque de ransomware
Vulnerabilidade: backup não testado, RDP exposto
Probabilidade: 3 (alta — ambiente exposto)
Impacto: 3 (alto — parada total de operação)
Risco bruto: 9 → inaceitável

3. Opções de Tratamento

OpçãoQuando usarExemplo
MitigarRisco alto, controle viávelInstalar EDR, segmentar rede
TransferirImpacto financeiro, seguro viávelCyber insurance, terceirizar
AceitarRisco baixo ou custo > impactoRisco residual documentado
EvitarAtividade é mais perigosa que valiosaDescontinuar serviço legado

4. Plano de Tratamento de Risco (PTR)

Risco ID: R-042
Ativo: servidor de produção (192.168.1.10)
Risco bruto: 9
Controle planejado: fechar RDP na borda, implantar VPN com MFA
Responsável: Maria Silva (Infra)
Prazo: 30/07/2026
Risco residual esperado: 4 (médio)
Aprovação: diretoria em 25/06/2026

5. Aceitação de Risco

Riscos residuais após tratamento precisam ser formalmente aceitos pela liderança. Documente:

  • Qual risco está sendo aceito
  • Por quê (custo/benefício, prazo, viabilidade)
  • Quem aceita (cargo e assinatura)
  • Por quanto tempo (reavaliação periódica)

Monitoramento Contínuo

Risco muda. Novos ativos surgem, ameaças evoluem, negócio muda. Estabeleça:

  • Revisão anual completa do inventário de riscos
  • Reavaliação disparada por incidentes significativos
  • KRIs (Key Risk Indicators): alertas de limiar, ex. número de tentativas de acesso não autorizado por semana
  • Integração com o processo de gestão de mudanças: toda mudança relevante em TI deve passar por avaliação de risco

Ferramentas Comuns

  • Planilha estruturada (mínimo viável para PMEs)
  • GRC tools: ServiceNow GRC, Archer, MetaCompliance
  • Open source: MONARC, SimpleRisk