Gestão e Análise de Risco em Segurança da Informação

Prévia do material em texto

61
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Unidade II
3 GESTÃO E ANÁLISE DE RISCO
Risco: apesar de lhe conferirmos a acepção de algo negativo ou perigoso, não nos damos conta de 
que ele está presente no cotidiano não apenas dos seres humanos, como de todos os seres vivos. Não 
seria exagero afirmar que a reação diante de uma situação de risco é quase instintiva, o que nos leva 
à pergunta: os animais irracionais possuem a percepção de uma situação de risco, e, no seu extremo, 
do risco de morte? A resposta a essa pergunta pode causar muitas controvérsias, mas a verdade é a 
seguinte: com aprendizado e experiência de vida, até os animais irracionais reconhecem essas situações 
e tomam determinadas atitudes diante delas. Se os animais irracionais aprendem com o risco, por que 
com o homem racional seria diferente? Os seres humanos desenvolvem estratégias para lidar com essas 
situações de risco desde os primórdios da humanidade e, quanto mais informações sobre a forma e a 
possibilidade desses riscos ocorrerem, maiores serão as chances de êxito no processo de gestão dos riscos.
Outro dado importante é que o risco evolui conjuntamente com a própria transformação tecnológica 
e social, quem viveu no Brasil há 40 anos lembra que o uso do cinto de segurança nos veículos era 
facultativo e mesmo seu uso seria pouco efetivo, uma vez que eram compostos por duas pontas e 
fixavam apenas a cintura do ocupante ao banco do veículo, deixando todo seu tronco livre para ação 
do risco de colisão. Aceitar esse risco nos dias de atuais pode ser considerado uma loucura e passível de 
multa de trânsito, mas, quando analisamos o momento histórico da sociedade daquela época, podemos 
perceber que a tecnologia e até mesmo o conhecimento na época eram limitados.
O aperfeiçoamento da tecnologia automotiva fez os carros andarem cada vez mais rápido o que 
elevou o risco de morte dos ocupantes, obrigando o estudo da probabilidade de o risco se concretizar 
e dos impactos que ele poderia causar aos ocupantes nas mais variadas velocidades, surgindo assim o 
aprendizado sobre as probabilidades de risco de morte em colisões de trânsito. Isso, aliado ao maior 
controle de qualidade na produção, fez a indústria da segurança automotiva evoluir e ter seu trabalho 
amparado na avaliação e gestão de riscos.
No que tange à segurança da informação, os riscos que enfrentávamos há 40 anos eram simplórios 
quando comparados com os riscos atuais, e provavelmente os que enfrentamos hoje serão simplórios daqui 
a alguns anos.
Dessa forma devemos aprender a realizar a análise e gestão de riscos de forma sistemática, levando 
em conta o processo, e não os riscos identificados, pois sabemos que os riscos se transformam, surgem 
ou desaparecem rapidamente. Cabe ressaltar que o risco pode ser negativo ou positivo, por exemplo 
um apostador corre o risco de vencer, todavia, quando estudamos segurança da informação, a análise e 
gestão é focada no risco no seu lado negativo.
62
Unidade II
Quando o assunto é segurança da informação, a análise e avaliação de riscos representam o início 
de tudo, a base para o estabelecimento dos controles tecnológicos, do desenvolvimento das políticas, 
das normas e dos procedimentos corporativos de proteção, levando aos programas de conscientização e 
educação em segurança da informação, proporcionando a robustez necessária aos pilares da segurança 
da informação, a integridade, a disponibilidade e a confidencialidade das informações.
3.1 O que é risco
Compreender o risco na sua essência não é algo complexo, uma vez que lidamos com ele desde 
sempre, segundo a NBR ISO 31000 (ABNT, 2018b), o risco é o efeito da incerteza, sendo que o efeito é 
entendido como um desvio em relação ao esperado. Para Galante (2015), estudar o risco é compreender 
as suas origens determinando as causas, efeitos e potenciais danos nas mais diversas atividades, 
estruturas, projetos e processos, a fim de conseguir, de forma profissional, controlar e/ou mitigar seus 
efeitos sobre o aspecto abordado.
Importante compreender que no final do processo da avalição e análise dos riscos, em qualquer que 
seja o contexto e com o uso de diversas ferramentas, os objetivos centrais almejados são:
Identificar antecipadamente os 
perigos nas instalações, processos, 
produtos e serviços
Verificar os danos eventuais 
(consequências, severidade) e a 
frequência (probabilidade) de ocorrência
Quantificar os riscos associados 
para o homem, o meio 
ambiente e a propriedade
Propor medidas para o seu controle
.
Objetivos do 
estudo 
dos Riscos
Figura 19 – Objetivos de estudo dos riscos
Adaptada de: Galante (2015, p. 15).
Basicamente a busca pela melhor compreensão, tratamento e gestão dos riscos passam por um 
processo, que, de forma bem resumida, pode ser definido em quatro etapas, nas quais iremos nos 
aprofundar no decorrer dos nossos estudos.
Identificar ameaças e vulnerabilidades
Estimar o risco de cada vulnerabilidade 
a ser explorada (probabilidade e 
gravidade do dano)
Decidir sobre a melhor 
forma de tratar o risco 
Figura 20 – Objetivos de estudo dos riscos
63
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
É importante considerar a origem dos riscos e a necessidade de seguir as melhores práticas nas 
análises de riscos; é essencial levar em conta alguns aspectos como a cultura da empresa e sua 
predisposição ao risco, ressaltando que existem ramos de atividade que possuem regulamentações e leis 
rígidas que devem ser cumpridas, o que pode alterar a predisposição a correr riscos. Geralmente áreas 
que influenciam diretamente remetem à economia nacional, a exemplo do Sistema Financeiro Nacional.
Quando o assunto é segurança da informação, as decisões sobre a criação da política, das normas 
e a adoção de controles tecnológicos de segurança são alicerçados e ocorrem após uma análise de 
riscos eficaz, mas não seria exagero afirmar que tudo é amparado em uma prévia análise de riscos. 
Podemos enumerar diversos exemplos, desde atravessar uma rua na faixa de pedestres ou fora dela até 
a decisão sobre a implantação de uma nova plataforma de petróleo. Sim, tomamos decisões o tempo 
todo amparados nas análises de riscos.
As organizações de sucesso possuem análises de riscos sistematizadas e devidamente profissionalizadas, 
a isso se dá o nome de gerenciamento de riscos.
Para a NBR ISO 31000 (ABNT, 2018b), as mais variadas organizações de todos os tipos e tamanhos 
são influenciadas por fatores externos e internos que tornam a tarefa administrativa incerta em relação 
aos objetivos desejados. Lembrando que gerenciar riscos é um processo interativo e que acaba 
ajudando as empresas no processo de definição das estratégias para alcance dos objetivos e na 
tomada de decisões importantes.
Dessa forma a gerência de riscos faz parte da governança e liderança e é parte crucial na 
maneira como a organização é gerenciada em todas as esferas administrativas, levando à melhora do 
processo de gestão.
O gerenciamento dos riscos deve fazer parte de todas as atividades de uma organização e isso inclui 
a interação com as partes interessadas, devendo levar em consideração os cenários externos e internos 
da organização, inclusive o comportamento humano e os fatores culturais.
 Lembrete
Identificar os riscos e desenvolver medidas para evitar suas consequências 
é tão antigo quanto a própria origem do homem, podemos dizer que se 
chegamos até aqui foi porque nossos ancestrais mais remotos entenderam 
rapidamente essa necessidade.
Não seria incorreto afirmar que a gestão de riscos é amparada em princípios, estrutura e em 
processos, conforme as recomendações das melhoras práticas definidas na NBR ISO 31000 (ABNT, 
2018b) e suas correlatas.
64
Unidade II
Evidente que a grande maioria das organizações já exercem atuação total ou parcial nesses 
componentes, todavia, como o processo de gestão de riscos é dinâmico, necessita estar em constante 
melhoria para a eficácia do processo.
Com o intuito de facilitar o entendimento e padronizar ostermos e definições utilizado para análise 
de riscos, a NBR ISO 31000 (ABNT, 2018b) descreve os principais termos utilizados:
Quadro 16 – Termos e definições
Terminologia Descrição
Risco – o efeito da 
incerteza
Nota 1 de entrada: um efeito é um desvio em relação ao esperado. Pode ser positivo, negativo ou 
ambos, e pode abordar, criar ou resultar em oportunidades e ameaças
Nota 2 de entrada: objetivos podem possuir diferentes aspectos e categorias e podem ser aplicados 
em diferentes níveis
Nota 3 de entrada: risco é normalmente expresso em termos de fontes de risco, eventos potenciais, 
suas consequências e suas probabilidades
Gestão de riscos Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos
Parte interessada 
Pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada por uma decisão ou atividade
Nota 1 de entrada: o termo ‘parte interessada” pode ser utilizado como alternativa a “stakeholder”.
Fonte de risco Elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco 
Evento 
Ocorrência ou mudança em um conjunto específico de circunstâncias
Nota 1 de entrada: um evento pode consistir em uma ou mais ocorrências e pode ter vária causas e 
várias consequências
Nota 2 de entrada: um evento pode também ser algo que é esperado, mas não acontece, ou algo que 
não é esperado, mas acontece
Nota 3 de entrada: um evento pode ser uma fonte de risco 
Consequência
Resultado de um evento que afeta os objetivos
Nota 1 de entrada: uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou 
negativos, diretos ou indiretos, nos objetivos
Nota 2 de entrada: as consequências podem ser expressas qualitativa ou quantitativamente.
Nota 3 de entrada: qualquer consequência pode escalar por meio de efeitos cascata e cumulativos.
Probabilidade 
Chance de algo acontecer
Nota 1 de entrada: na terminologia de gestão de riscos, a palavra “probabilidade” é utilizada para se 
referir à chance de algo acontecer, não importando se definida, medida ou determinada, ainda que 
objetiva ou subjetivamente, qualitativa ou quantitativamente, e se descrita utilizando-se termos gerais 
ou matemáticos (como probabilidade ou frequência durante um determinado período de tempo)
Gestão de riscos Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos
Parte interessada 
Pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada por uma decisão ou atividade
Nota 1 de entrada: o termo “parte interessada” pode ser utilizado como alternativa a “stakeholder”
Fonte de risco Elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco 
Controle 
Medida que mantém e/ou modifica o risco
Nota 1 de entrada: controles incluem, mas não estão limitados a qualquer processo, política, 
dispositivo, prática ou outras condições e/ou ações que mantêm e/ou modificam o risco
Nota 2 de entrada: controles nem sempre podem exercer o efeito modificador pretendido ou presumido
Adaptado de: ABNT (2018b).
65
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
As terminologias a presentadas pela ISO 31000 (ABNT, 2018b) são referências aceitas por qualquer 
instituição ao redor do mundo e dessa maneira representa uma linguagem única e internacionalmente 
conhecida para a concepção, identificação, análise, gestão e tratamento dos riscos nas mais variadas 
formas e nos mais diversificados ramos de atividade.
 Observação
É importante conhecer as terminologias de riscos utilizadas para 
identificar os agentes e definições utilizadas pelo mercado, isso ocorre para 
manter padrão conhecido para integração com as demais áreas, parceiros, 
reguladores e auditorias.
3.2 Tratamento dos riscos à segurança da informação
A definição dos critérios para tratamento dos riscos de segurança da informação passa pela 
compreensão dos riscos que envolvem os ativos de informação e por consequência os processos de 
negócio da organização, dessa forma é possível decidir o que fazer em relação a esse risco identificado 
e devidamente categorizado.
Após o processo de identificação e categorização é necessário dar uma resposta ao risco e isso pode 
ocorrer basicamente de quatro formas:
• evitando;
• controlando;
• transferindo;
• aceitando.
Ao contrário do que se possa pensar, nem todo tipo de risco é evitado ou controlado. Analisando 
cada caso, as outras opções podem ser bastante razoáveis.
Quando a opção de resposta ao risco é simplesmente evitá-lo, tecnologias ou processos que 
ofereçam riscos ao negócio não são adotadas. Isso pode parecer impossível, mas não é. Tomemos como 
exemplo uma organização que atua no mercado de fabricação e venda de móveis sob encomenda 
há muitos anos e mantém o nível de demanda relativamente estável por muito tempo. É proposta a 
oferta do serviço de organização por meio da internet, o que envolverá a contratação de profissionais 
qualificados, equipamentos específicos e outros pontos a serem considerados. Essa decisão trará um 
novo risco para a organização, o risco de incidentes de segurança da informação, tais como eventual 
indisponibilidade dos serviços, tentativas de invasão e contaminação por vírus. Quando avaliados todos 
os riscos envolvidos e contrapostos à relevância do processo para o negócio da organização, chega-se à 
66
Unidade II
conclusão de que o novo processo é inviável. Então a organização decide simplesmente continuar como 
está, evitando assim qualquer um dos riscos mencionados.
A decisão pode ser de controlar o risco. Geralmente ocorre quando a maior parte dos riscos não 
pode ser evitada e faz parte do negócio. Sendo assim, nesse caso, uma das opções é tomar ações 
que diminuam as vulnerabilidades dos ativos que suportam os processos. Um bom exemplo seria o 
caso de uma organização que oferece seus serviços pela internet e vem sofrendo invasões regulares. 
A organização não pode deixar de trabalhar nesse modelo, logo a opção é controlar o risco, tentando 
reduzir sua incidência. Dessa forma a organização decide implementar dois controles:
• Um sistema firewall, que impede a invasão dos computadores servidores através de portas lógicas 
eventualmente abertas.
• Um sistema de IDS (intruder detection system), que, a despeito da proteção oferecida pelo firewall, 
continua monitorando as tentativas de ataque e possibilitando o fortalecimento das barreiras de 
defesa, ao passo que as técnicas de ataque se tornam conhecidas.
Existem casos em que o custo do impacto relacionado à concretização do risco é extremamente alto 
e a organização simplesmente não conseguiria absorvê-lo, a melhor saída, então, é a transferência. 
Quando a análise de risco recomenda transferir o risco para outra entidade ou organização, uma das 
maneiras de fazê-lo é pela contratação de um seguro cujo prêmio garanta a cobertura dos danos 
causados com a concretização do risco por meio de incidente de segurança da informação. Outra forma 
de transferência é o repasse do serviço para prestação de outra organização, firmando um contrato de 
prestação de serviço que garanta um nível mínimo de serviço tendo por base um acordo de nível 
de serviço (ANS) ou do inglês um service level agreement (SLA).
Seguindo os exemplos anteriores, em que duas organizações precisavam manter um site na internet, 
uma delas decidiu não seguir para evitar o risco e a outra, que já possuía o site, teve de pensar em 
como controlar o risco, e, em seguida, transferi-lo, contratando uma empresa especializada para 
manter ou até mesmo implantar um serviço ativo e seguro que lhe exija um nível mínimo de serviços e 
garanta um máximo de horas do site inativo por mês ou por ano. Cabe ressaltar que, quanto maior for 
a aderência da contratada às exigências do contratante, maior será a responsabilidade pela segurança e 
consequentemente maior será o custo do contrato.
A última forma de tratar o risco seria o de simplesmente aceitar. Até mesmo isso requer 
procedimentos bem estabelecidos e devidamente alicerçados.Quando analisados, são identificados os 
riscos relevantes, mas que ficam abaixo do risco considerado mínimo, de modo que ações como evitar, 
controlar ou transferir seriam desnecessárias ou até mesmo inviáveis financeiramente. Nesse caso, o 
custo dos controles será alto em relação à probabilidade de algo ocorrer com o ativo identificado.
Com essa análise em mãos é possível direcionar os recursos financeiros de implantação de controles 
para os ativos que também foram identificados como relevantes, mas que apresentam probabilidades 
maiores ou até mesmo danos maiores na ocorrência de incidentes de segurança da informação. Para 
esses casos, resta apenas aceitar, e, quando a organização decide por esse caminho, sua abordagem 
67
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
para o tratamento de risco deverá especificar o que é considerado risco aceitável e o que é considerado 
risco inaceitável. Dessa forma, apenas o risco inaceitável é tratado de alguma maneira, uma vez que 
tratamento implica alterações em processos, procedimentos, implantação de novos controles tecnológicos 
e assim por diante, o que impactaria o negócio; sem contar os custos financeiros envolvidos. O exemplo 
de Campus (2006) pode exemplificar bem essa situação.
Uma organização que tem um arquivo de pastas (físico) contendo 
documentos importantes, mas que fica em uma área de difícil acesso 
(baixa vulnerabilidade), cuja existência é pouco conhecida ou notada (baixa 
ameaça), e que, mesmo em caso de roubo, significaria pouco prejuízo para a 
organização (baixo impacto), por que gastar tempo e recurso para proteger 
esse ativo de informação? Talvez seja este o caso para aceitar esse risco 
(CAMPUS, 2006, p. 70).
Cabe ressaltar que é preciso ter em mente que o risco existe, mesmo nesse caso. Existe uma diferença 
muito grande entre aceitar o risco e ignorá-lo. Ignorar o risco não é uma opção para as organizações no 
cenário atual, podendo ser considerado um despautério administrativo. Conhecer o risco permite o seu 
monitoramento constante e a tomada de ação caso ele venha a crescer.
Evitar: não adotar tecnologias 
ou processos que ofereçam 
riscos ao negócio
Controlar: quando o risco ou a maior 
parte dos riscos não pode ser evitada
Transferir: o risco é extremamente 
alto, a organização não 
conseguiria absorvê-lo
Aceitar: o risco fica abaixo do 
risco considerado mínimo. 
Todavia, não deve ser ignorado
.
Tratamento 
do risco do SI
Figura 21 – Tratamento do risco
Segundo Campus (2006), após efetivado o processo, a análise de risco aponta para as ações mais 
importantes e urgentes e para os controles que precisam ser implementados prioritariamente. Mesmo 
assim, existem mais de uma centena de controles que podem ser implementados e que são propostos 
na norma NBR ISO 27001 e 27002. De forma simples a ISO 27001 (ABNT, 2013a) propõe uma lista de 
controles mínimos a ser considerados e a ISO 27002 (ABNT, 2013b), o formato de implantação 
para esses controles mínimos. Com a análise de riscos concluída e as listas de possíveis controles, será 
possível pensar em duas formas de atuação.
• Implementar todos os controles apontados pela análise de risco.
• Implementar todos os controles da lista.
68
Unidade II
O problema da primeira opção é que há a probabilidade de não serem analisados controles importantes 
para a organização; controles que, por algum motivo, não são indicados pela análise de risco. Erros na 
análise de risco impediriam a implementação de controles que poderiam comprometer o negócio da 
organização. Sendo assim, esse método pode ser eficiente, mas pouco abrangente, pois vários controles 
importantes poderiam ser deixados de fora.
O problema da segunda opção é que a ordem de implementação, apesar de garantir a implementação 
de todos os controles considerados como as melhores práticas de segurança da informação, pode não 
endereçar as necessidades mais urgentes, fazendo com que recursos preciosos sejam desperdiçados em 
ações de baixo impacto. Dessa forma esse método pode ser abrangente, mas pouco eficiente. Uma saída 
para essa situação seria listar todos os controles possíveis e, depois disso, com base na análise de risco, 
selecionar aqueles que devem ser implementados primeiro, considerando:
• A lista de controles e seus objetivos (no quadro foram mencionados apenas 10 controles dos 
134 propostos pela ISO 27002).
• Os motivos da seleção dos controles.
• Os motivos da eventual exclusão de algum controle.
Cabe ressaltar que esse documento dever ser revisitado periodicamente ou assim que a matriz 
de risco da organização sofrer alguma atualização ou alteração, possibilitando, dessa forma, manter 
sempre atualizada.
 Lembrete
A organização deve estabelecer a sua declaração de aplicabilidade, 
que deve refletir os seus processos amparados evidentemente nas 
melhores práticas.
3.3 Sistema de gestão de risco
A gestão de riscos e a segurança da informação são praticamente complementares. A gestão de 
riscos à segurança da informação pode ser considerada a base para todos as ações de segurança da 
informação, pois coloca as ações de proteção aos ativos de informação alinhadas aos riscos emergentes 
e à estratégia corporativa de análise, gestão e tratamento dos riscos.
A NBR ISO 27001 (2018a) auxilia na compreensão da importância das ações para contemplar o risco 
e oportunidades no planejamento da segurança da informação, ressaltando que se deve considerar as 
questões relacionadas a:
• assegurar que o sistema de gestão da segurança da informação possa alcançar seus resultados 
pretendidos;
69
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
• prevenir ou reduzir os efeitos indesejados;
• alcançar a melhoria contínua;
Sendo assim, a organização deve:
• planejar devidamente as ações, para considerar os riscos e oportunidades;
• planejar como integrá-las e implementá-las dentro dos processos do seu sistema de gestão da 
segurança da informação;
• avaliar a eficácia destas ações.
No que tange às avaliações de riscos de segurança da informação, a NBR ISO 27001 (2018a) 
recomenda que a organização defina e aplique um processo de avaliação de riscos de segurança da 
informação que:
• Estabeleça e mantenha critérios de riscos de segurança da informação que incluam os critérios 
de aceitação do risco e os critérios para o desempenho das avaliações dos riscos de segurança 
da informação.
• Assegure que as contínuas avaliações de riscos de segurança da informação produzam resultados 
comparáveis, válidos e consistentes.
• Identifique os riscos de segurança da informação aplicando o processo de avaliação do risco de 
segurança da informação para apontar os riscos associados com a perda de confidencialidade, 
integridade e disponibilidade da informação dentro do escopo do sistema de gestão da segurança 
da informação e identificando os responsáveis dos riscos.
• Analise os riscos de segurança da informação avaliando as consequências potenciais, se os 
riscos identificados forem materializados, e a probabilidade realística da ocorrência dos riscos 
identificados e determinando os níveis de risco.
• Avalie os riscos de segurança da informação comparando os resultados da análise dos riscos com 
os critérios de riscos estabelecidos e priorizando os riscos analisados para o tratamento do risco.
Deve ser mantido devidamente documentado todo o processo de avaliação de risco de segurança 
da informação
No que se refere ao tratamento dos riscos, a NBR ISO 27001 (2018a) recomenda que a organização 
defina e aplique um processo de tratamento de riscos à segurança da informação para:
• Selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, 
levando em consideração os resultados da avaliação do risco.
70
Unidade II
• Determinar todos os controles necessários para implementar as opções escolhidas do tratamento 
do risco da segurança da informação, sendo que as organizações podem projetar os controles, 
conforme requerido, ou identificá-los de qualquer outra fonte.
•Comparar os controles determinados com aqueles identificados nos modelos existentes no mercado 
e definidos na NBR ISO 27001 (2018a) para verificar se algum controle necessário foi omitido. 
Cabe ressaltar que a NBR ISO 27001 (2018a) contém uma lista detalhada dos controles e dos 
objetivos de controle recomendados para garantir que nenhum controle necessário seja omitido, 
sendo que os objetivos de controle estão implicitamente incluídos nos controles escolhidos. Os 
objetivos de controle e os controles listados na NBR ISO 27001 (2018a) não são exaustivos, e 
controles e objetivos de controles adicionais podem ser necessários conforme avanço tecnológico 
ou modelos de marcado.
• Elaborar uma declaração de aplicabilidade que contenha os controles necessários e justificar 
as inclusões, sejam eles implementados ou não, bem como justificar a exclusão de algum dos 
controles listados na NBR ISO 27001 (2018a).
• Preparar um plano para tratamento dos riscos de segurança da informação.
• Obter aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da 
informação e a aceitação dos riscos residuais de segurança da informação.
A organização deve manter todo o processo devidamente documentado relativo ao tratamento dos 
riscos à segurança da informação.
Importante salientar que todas as recomendações constantes no processo de tratamento e a avaliação 
dos riscos de segurança da informação recomendadas na NBR ISO 27001 (2018a) estão alinhadas com 
os princípios e diretrizes gerais definidos na NBR ISO 31000 (ABNT, 2018b).
Segundo Sêmola (2014), assim que aprofundado o aspecto da gestão dos riscos focado na segurança 
da informação, é razoável que cada negócio, independentemente de seu segmento de mercado e ramo 
de atuação, apresente dezenas ou centenas de variáveis que se relacionam direta e indiretamente com 
a definição de seu nível de risco.
Considerada a definição do risco da NBR ISO 31000, que diz que o risco é o efeito da incerteza, 
os riscos à segurança da informação podem de forma lógica ser positivos ou negativos. Identificar 
as variáveis passa a ser a primeira etapa do desafio de implementação de um processo efetivo de 
gestão de riscos. Segundo Sêmola (2014), interpretar a equação nada mais é do que a compreender a 
probabilidade de agentes, que são as ameaças, explorarem vulnerabilidades, expondo ativos a perdas 
de confidencialidade, integridade e disponibilidade e causando impactos nos negócios. Esses impactos 
são limitados por medidas de segurança que protegem os ativos, evitando que as ameaças explorem as 
vulnerabilidades, diminuindo assim o risco.
71
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
R
V A I
M
Risco
Vulnerabilidades Ameaças
X
Impactos
Medidas de segurança
=
X
Figura 22 – Equação do risco à segurança da informação
Adaptada de: Sêmola (2014, p. 56).
Segundo Sêmola (2014), por mais protegidos que estejam os ativos, novas tecnologias, mudanças 
organizacionais, novos processos, produtos e serviços podem criar novas vulnerabilidades, identificar 
ou dar mais ênfase aos que já existiam, assim como novas ameaças podem surgir ampliando 
significativamente a possibilidade de impactos aos ativos de informação. Por isso medidas 
corretivas de segurança precisam ser consideradas, sabendo que sempre haverá a possibilidade de 
impactos no negócio.
As medidas corretivas de segurança devem ser analisadas, pois sempre haverá a possibilidade de 
um incidente ocorrer, por mais que todas as medidas preventivas estejam devidamente implantadas 
e testadas.
Ter em mente que não existe segurança total é fundamental, pois as corporações devem estar 
preparadas para suportar as mudanças e as mais diversas variações da equação, reagindo com velocidade 
e ajustando o risco aos padrões considerados aceitáveis ante à cultura, anseios estratégicos, gestão de 
riscos e aos interessados externos e internos. Tudo isso nos leva à conclusão de que nunca haverá 
um R (risco) igual para todos.
Dessa forma será necessário avaliar o nível de segurança apropriado para cada momento e assim 
refletir sobre os riscos de forma periódica e regular para estabelecer a melhor forma de dosar no 
momento certo esse remédio amargo chamado segurança da informação, que advém da necessidade 
periódica de buscar o peso ideal (nível de risco) para cada momento.
A cada dia é mais importante que as organizações realizem análise de segurança, isso demonstra 
a percepção da necessidade de se identificarem os riscos. Todavia, ainda existe muito a evoluir no 
entendimento do que seja uma análise de risco eficaz. Quando retomado o assunto referente aos pilares 
de sustentação do negócio, observam-se as mais diversas inciativas de mapeamento das vulnerabilidades 
concentradas puramente nos ativos tecnológicos, ou seja, instrumentos dedicados a analisar e identificar 
falhas em computadores, redes e sistemas. Para Sêmola (2014), analisar as vulnerabilidades do ambiente 
tecnológico é importante, mas não é suficiente para, isoladamente, diagnosticar com precisão os riscos 
que envolvem a operação da empresa. Muitas outras fontes convivem com o ambiente tecnológico e, 
conforme sua natureza e negócio, podem ser ainda mais relevantes para a organização.
72
Unidade II
Negócio
Processo 
de negócio
Processos
Ambientes 
físicos
Sistemas
Sistemas
Informações
Pessoas
Processo 
de negócio
Processo 
de negócio
Processo 
de negócio
Figura 23 – Fatores de relevância ao negócio
Nesse sentido há muito a se compreender, os riscos de uma empresa não estão associados ao 
volume de falhas tecnológicas, à qualificação das ameaças, a quem pode explorá-las ou aos impactos 
potenciais. Diagnosticar o risco envolve a análise das mais diversas variáveis que ultrapassam os 
aspectos tecnológicos, deve-se, portanto, considerar os comportamentos das pessoas, aspectos voltados 
ao ambiente físicos, legais e um grande volume de variáveis que interferem direta ou indiretamente na 
proteção do negócio.
Segundo Sêmola (2014), uma alteração de estratégia, a presença de um novo concorrente ou um 
fator representativo na economia pode provocar alterações nos níveis de risco do negócio, tirando a 
organização de seu ponto de risco aceitável.
Nessas condições, a análise de riscos tem que ser encarada como um instrumento primordial para 
compreender a situação atual de segurança da empresa por meio da sinergia e do entendimento dos 
desafios do negócio; do mapeamento das funcionalidades dos processos de negócios; da interligação 
entre eles com a diversidade de ativos físicos, tecnológicos e humanos que hospedam as falhas 
de segurança.
Sendo assim, há que se compreender que existem duas linhas metodológicas para orientar as 
análises de riscos. Quantitativa, que é estruturada para mensurar os impactos financeiros provocados 
por uma situação de quebra de segurança violando os próprios ativos; qualitativa, que é estruturada por 
critérios que permitem estimar os impactos provocados pela exploração de vulnerabilidades por ação de 
uma ameaça. Para Sêmola (2014), as duas abordagens possuem pontos positivos e negativos, todavia, a 
análise quantitativa tem grande grau de subjetividade no processo de violação dos ativos e, ainda, dos 
impactos em cascata, direitos e indiretos potencialmente provocados por uma quebra de segurança. A 
análise quantitativa tem demonstrado eficiência superior.
73
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Quando aplicada a metodologia no mapeamento dos processos de negócio e incorporada no plano 
diretor de segurança, é feito o mapa de relacionamento e dependência dos ativos. Nessa fase, se iniciam as 
atividades de coleta de evidências e identificação de ameaças e vulnerabilidades potencialmente inerentes 
aos ativos. Cabe ressaltar o que menciona Sêmola (2014), segundo o qual é importante compreender 
que a vulnerabilidade isolada não causa qualquer dano ao ativo, apenas aponta uma fragilidade. O dano 
somente acontecerá mediante a exploração da vulnerabilidade por ação de uma ameaça.
Sêmolatambém ressalta os aspectos a serem considerados em uma análise de riscos:
• Relação de relevância que um processo de negócio tem para o negócio.
• Relação de dependência que um ou mais processos de negócio têm do ativo.
• Projeção do impacto resultante da concretização da ação de uma ameaça.
• Probabilidade de a ameaça explorar uma vulnerabilidade.
• Severidade potencial da exploração no ativo.
• Qualificação das vulnerabilidades presentes nos ativos.
• Qualificação das ameaças potenciais.
Com base nessa lista, é possível estruturar um mapa de relacionamento que permite projetar situações 
de causa e efeito. As múltiplas ligações, pontuações e a qualificação das ameaças e vulnerabilidades, 
comparadas aos estudos probabilísticos e impactos, tornam-se elementos que agregam ao cálculo do 
risco. Por se tratar de uma análise que contempla ativos físicos, tecnológicos e humanos dentro da fase de 
identificação das ameaças e vulnerabilidades, deve ser conduzida por entrevistas com os gestores, usuários, 
observação comportamental dos recursos humanos, inspeção física presencial nos ambientes, estudo de 
documentos e análises técnicas dos ativos tecnológicos, com o intuito de coletar evidência da presença 
de falhas. Essas atividades devem ser suportadas por metodologias e instrumentos de apoio, comumente 
baseados em padrões de mercado; por normas específicas, como a para cabeamento estruturado TIA/ EIA 568 
e NBR 14565:2013, e por sistemas especializados em plataformas e tecnologias específicas.
O motivo para as ações presenciais, entrevistas, análises físicas e até mesmo parte das análises 
técnicas se dá pela impossibilidade natural de coletar todas as evidências por meio de dispositivos 
automatizados ou informatizados. Por exemplo, quando analisado um sistema operacional de rede, 
se pode verificar seu universo de potenciais falhas; parte delas pode ser identificada por sistema de 
varredura ou scanner, enquanto outra parte necessita de intervenção humana, seja para coletar, seja 
para mensurar a possibilidade e o impacto potencial.
Existem percepções que nos levam a concluir que uma análise de riscos deve sempre se apoiar 
em recursos humanos com competências variadas; ferramentas automatizadas de apoio à gestão do 
levantamento, principalmente de uma base de conhecimento em segurança incessantemente atualizada. 
74
Unidade II
Assim sendo, é possível afirmar que a base de segurança; a base de conhecimento de vulnerabilidades; 
ameaças e novas tecnologias são os pilares de uma boa análise de risco, pois são responsáveis em 
guardar, gerenciar e suportar as ações de diagnóstico e fornecimento de informações atualizadas que 
possibilitarão aos analistas comprovar as técnicas mais eficientes e localizar as mais recentes falhas e 
dessa forma atingir maior precisão na mensuração do nível de risco da empresa.
Relevância 
dos 
processos 
para os 
negócios
Processos 
de 
negócios
Ativos Vulnerabilidades Ameaças Probabilidade 1 - 5
Severidades
1 - 5 Impactos
Riscos 
do 
ativo
5
Vital
3
Importante
4
Crítico
PIN 1
PIN 2
PIN 3
Servidor
1
Data 
center
Banco de 
dados
Banco de 
dados
1 - Conta Adm 
com Full 
Control
2 - Sistema 
operacional 
desatualizado
Ataque de 
DDOs 
Sabotagem
Vírus
Incêndio
Sabotagem
3 5 Indisponibilidade 
dos serviços e 
dos processos 
de negócos 
dependentes
3,72
Figura 24 – Exemplo de cálculo de risco
Adaptada de: Sêmola (2014, p. 111).
Ba
ix
o
Al
to
Baixa Alta
2 3
1 2
Im
pa
ct
o
Probabilidade
Figura 25 – Exemplo de quadrante de risco
Adaptada de: Sêmola (2014, p. 112).
75
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Aplicado o cálculo da probabilidade e a severidade de uma ameaça em explorar cada uma das 
vulnerabilidades descobertas em cada ativo, pode-se obter o nível de risco final de cada ativo. Segundo 
Sêmola (2014), a partir desse resultado parcial projeta-se o nível de risco de cada processo de negócio, 
considerando os riscos de cada ativo que sustenta o negócio.
Nesse momento, é possível estimar o risco do negócio de uma forma geral, calculando de forma 
ponderada os riscos de cada um dos processos de negócio que o suporta, conforme demonstrado na 
figura anterior.
O resultado atingido permite organizar as prioridades e ter a real dimensão para elaboração do plano 
de ação de curto, médio e longo prazo, baseado na distribuição dos processos de negócio e dos ativos 
no mapa de quadrantes de risco.
Com isso é possível conseguir a orientação necessária para apoiar as decisões e modelar as 
contramedidas específicas a cada área de empresa, propondo medidas para reduzir o risco, transferi-lo 
ou aceitá-lo.
Ressaltando que, em qualquer que seja a situação, limitações orçamentárias, dificuldades técnicas 
ou fatores externos tendem a impedir a implementação de todas as contramedidas especificadas, o que 
força a organização a buscar níveis controlados e em conformidade com a natureza do negócio, o 
chamado posicionamento consciente dos recursos, prevalecendo a máxima da administração de fazer 
mais com menos.
N
ív
el
 d
e 
se
gu
ra
nç
a 
de
se
ja
do
N
ív
el
 d
e 
se
gu
ra
nç
a 
di
ag
no
st
ic
ad
o
N
ív
el
 d
e 
se
gu
ra
nç
a 
ad
m
in
ist
ra
do
N
ív
el
 d
e 
se
gu
ra
nç
a 
es
ta
gn
ad
o
N
ív
el
 d
e 
se
gu
ra
nç
a 
es
ta
gn
ad
o
Fa
lh
a 
de
 
se
gu
ra
nç
a
Ri
sc
o 
to
le
rá
ve
l
Ri
sc
o 
ev
ol
ut
iv
o
Ri
sc
o 
ev
ol
ut
iv
o
GA
P 
de
 g
es
tã
o 
do
 ri
sc
o
Tempo
Figura 26 – Gestão do risco
Adaptada de: Sêmola (2014, p. 113).
76
Unidade II
Conforme mencionado anteriormente, viver é gerenciar riscos e, para as organizações, segurança 
é administrar riscos. Toda corporação possui características singulares, planos e atitudes especificas, 
dessa forma necessitam desenvolver análises de riscos para encontrar o nível de risco mais adequado 
para trabalhar. Para Sêmola (2014), diante desse cenário, a análise de risco é a ferramenta ideal para 
dimensionar a situação de segurança atual, trazendo à consciência os riscos e capacitando a busca de 
soluções que levam o risco ao patamar de risco aceitável, lembrando que esse nível aceitável depende 
muito dos fatores já mencionados, como ramo de atividade, partes interessadas internas e externas que 
definem o que chamamos de apetite ao risco.
A velocidade com que as mudanças ocorrem no ambiente corporativo, influenciadas por fatores 
ambientais, mercadológicos, estratégicos, econômicos, tecnológicos, estruturais, entre outros, fazem 
parte da própria análise de risco e conduz a um processo contínuo de gestão que deve ser capaz 
de diagnosticar novas vulnerabilidades e ameaças, elevando assim os índices de manutenção do 
risco controlado.
Trata-se de uma tendência a realização de análises de riscos amparadas na medição de presença 
ou ausência de controles de segurança, e não apenas nas vulnerabilidades presentes nos ativos como 
fonte principal. Essa opção é um reflexo das consagradas abordagens produzidas pela norma de gestão 
da segurança da informação NBR ISO 27002 e pela norma NBR ISO 31000, que apresentam propostas 
amparadas no interesse e na necessidade principal dos gestores de segurança da informação em proteger 
o ativo sem, no entanto, se preocupar em eliminar ou administrar cada uma das vulnerabilidades de 
forma individual com cada uma das centenas de vulnerabilidades de um sistema operacional. Segundo 
Sêmola, um exemplo seria a preocupação de se concentrar na verificação da presença ou ausência de 
aplicação de patch, ou programa de correção, disponibilizado pelo fabricante. Dessa forma, agrega-se 
no desempenho e na eficácia na obtenção dos resultados e aproxima a organização dos controles 
recomendados pela ISO.
Enquanto as metodologias de análise de riscos não aderem por completo aos controles de segurança 
propostos pelas normas internacionais de segurança, como instrumento de medição e recomendação de 
ações, compete ao security officer caminhar em direção à sintonia com os padrões e melhorespráticas. 
Por causa disso, convém alinhar os resultados da análise de riscos aos controles sugeridos pela 
norma ISO 27002 e identificar o nível de conformidade atingido pela empresa por meio da medição 
de aderência a cada um dos 114 controles de segurança. Assim que estabelecidos os princípios que a 
organização declara como metodologia de análise de riscos, bem como as condições de diagnóstico, de 
mensuração, formato e equação de risco a ser utilizada, definindo assim o padrão corporativo de análise 
de risco e encontrando o chamado risco aceitável ou risco mínimo, caberá à segurança da informação 
acoplar seu modelo dentro do mapa de risco corporativo, para atingir a sinergia de governança necessária. 
Isso é primordial para que o projeto de implantação da gestão de riscos à segurança da informação seja 
conduzido de forma eficaz.
Muitas vezes os princípios para as análises de risco à segurança da informação são academicamente 
perfeitos, todavia não refletem a cultura de riscos corporativa, isso acontece pela tendência natural dos 
gestores de segurança da informação em pensar em riscos mínimos e máximos diferentes dos padrões 
corporativos e da cultura da própria organização. A situação na qual a segurança da informação 
77
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
está inserida, no contexto externo, pode levar esses gestores a pensar o assunto como algo que 
nunca poderá sofrer com vazamentos, invasões ou qualquer tipo de ataque produzidos interna ou 
externamente. Quando pensamos em segurança das informações, pensamos em algo extremamente 
seguro e à prova de qualquer falha, perigo, ameaças e, consequentemente, risco, e isso cria uma 
sensação de extrema responsabilidade nos profissionais de segurança, que tendem a pecar pelo 
excesso em suas análises de risco e nas medidas de proteção. Esse excesso de zelo com a segurança da 
informação acaba levando a conflitos nada produtivos com as áreas de negócio, que definitivamente 
não estão preparadas para pensar na informação como algo a ser protegido, e sim para ser usado 
na alavancagem do próprio negócio. Exemplo desse conflito reflete na análise de risco à segurança 
da informação para os dados a serem colocados em uma contratação de serviço de cloud computer 
(nuvem). Na visão da segurança da informação, os riscos são inúmeros, já na visão de negócios, é uma 
grande oportunidade de custo e benefício. O profissional de segurança deve aprender rapidamente 
que a segurança da informação não pode engessar o negócio ou frear o avanço, o que sobra disso é 
uma equação bem simples: o controle não pode ficar mais caro do que o resultado esperado daquele 
ativo, por isso o alinhamento das gestões de risco corporativa e de segurança é primordial.
Não é tarefa fácil manter a segurança das informações quando os ativos de informação estão 
envoltos em complexas estruturas que demandam altos investimentos para mantê-las a salvo das 
ameaças aos princípios da segurança da informação (confidencialidade, integridade e disponibilidade). 
Quando adicionamos aqui o princípio de legalidade, a situação fica ainda mais complexa. A Lei n. 13.709, 
de 14 de agosto de 2018 (Lei Geral de Proteção de Dados – LGPD) exige o cumprimento de requisitos 
que se transformaram em riscos adicionais à segurança das informações caso não sejam devidamente 
cumpridos. Beal (2008) afirma que é de extrema importância a adoção de um enfoque de gestão baseada 
nos riscos específicos para cada negócio.
Cabe então à segurança da informação identificar as ameaças, mapear as vulnerabilidades e 
analisar os impactos que podem ocorrer comprometendo a segurança das informações, dessa forma 
é possível fundamentar e subsidiar a tomada de decisão sobre o quanto gastar com a proteção dos 
dados corporativos.
Para Beal (2008), a gestão de riscos à segurança da informação é um conjunto de processos que 
permite que as organizações identifiquem e implementem medidas de proteção necessárias para 
diminuir o risco a que estão sujeitos os ativos de informação, com a incumbência de equilibrar os custos 
operacionais e financeiros envolvidos no processo de proteção das informações.
Assim como foi visto na unidade I deste livro-texto, existem termos que devemos conhecer acerca 
dos próprios riscos e em relação aos riscos à segurança da informação. Dessa forma cabe revisitar 
alguns termos e adicionar alguns outros referentes à gestão dos riscos à segurança da informação com 
o intuito de nivelá-los e incorporar os termos da ISO Guide 73 de 2009, que em sua versão em inglês 
estabelece um vocabulário de termos relacionados à gestão de riscos:
78
Unidade II
Quadro 17 – Termos e Definições
Terminologia Descrição
Termos básicos
Consequência Resultado de um evento
Critério de risco Termos de referência pelos quais a relevância do risco é avaliada
Evento Ocorrência de um conjunto particular de circunstâncias, que caracterizam uma única ocorrência ou uma série delas
Fonte Item ou atividade associada a uma consequência potencial
Gestão do risco Coordena atividades para direcionar e controlar uma organização com relação ao risco. A gestão do risco normalmente inclui avaliação, tratamento, aceitação e comunicação do risco
Probabilidade
Associada a um evento, é calculada para determinado período e é definida como número real na escala de 
O a 1. Associada a um evento aleatório, que pode estar relacionado a uma frequência de ocorrência relativa 
de longo prazo ou a um grau de confiança de que um evento ocorrerá (para um alto grau de confiança na 
ocorrência, a probabilidade é próxima de 1)
Risco Combinação da probabilidade de um evento e sua consequência
Termos relacionados às pessoas ou organizações afetadas pelo risco
Comunicação do risco
Troca ou compartilhamento da informação sobre o risco feita entre o tomador de decisão e outros 
stakeholders. A informação pode estar relacionada à existência, natureza, forma, probabilidade, gravidade, 
aceitabilidade, tratamento ou outros aspectos do risco
Parte interessada Pessoa ou grupo que possui interesse no desempenho ou sucesso de uma organização. Exemplos: clientes; proprietários; integrantes da organização; fornecedores; bancos; sindicatos; parceiros; sociedade
Percepção do risco Maneira pela qual um stakeholder vê um risco, com base em um conjunto de valores ou preocupações
Stakeholder
Qualquer indivíduo, grupo ou organização que pode influir, sofrer influência ou perceber-se como sendo 
afetado por um risco. O termo stakeholder inclui, mas tem significado maior do que partes interessadas 
(termo definido na ISO 9000) 
Termos relacionados à avaliação de riscos
Análise de risco
Uso sistemático de informação (dados históricos, análise teórica, opiniões fundamentadas, preocupações dos 
stakeholders) para identificar fontes e estimar o risco. A análise de risco oferece uma base para a avaliação, o 
tratamento e a aceitação do risco
Avaliação do risco (risk 
evaluation)
Processo de comparação do risco estimado com determinado critério de risco para determinar sua 
relevância. A avaliação do risco pode ser usada para subsidiar a decisão de aceitar ou tratar um risco
Estimativa do risco (risk 
estimation)
Processo usado para atribuir valores à probabilidade e às consequências de um risco. A estimativa do risco pode 
considerar custo, benefícios, preocupações de stakeholders e outras variáveis apropriadas para a avaliação do risco
Estudo do risco 
(risk assessment):
Processo global de análise e avaliação do risco. Identificação do risco: processo de localizar, listar e caracterizar 
elementos do risco. Os elementos podem incluir fonte, evento, consequência e probabilidade
Termos relacionados ao tratamento e ao controle do risco
Aceitação do risco Decisão de aceitar um risco
Atenuação Limitação de quaisquer consequências negativas de um evento em particular
Controle do risco Ações para implementação das decisões de gestão do risco. O controle do risco pode envolver monitoração, reavaliação e conformidade com decisões
Evasão do risco Decisãode não se envolver, ou ação de fuga de uma situação de risco
Otimização do risco Processo relacionado a um risco para minimizar as consequências negativas e maximizar as consequências positivas e suas respectivas probabilidades
Redução do risco Ações tomadas para reduzir a probabilidade, as consequências negativas ou ambas, associadas a um risco
Risco residual Risco remanescente após o tratamento do risco
Transferência do risco Compartilhamento com um terceiro do prejuízo da perda ou benefício do ganho em relação a determinado risco (a transferência do risco pode ser feita por meio de seguros ou outros tipos de acordo)
Tratamento do risco Processo de seleção e implementação de medidas para modificar o risco. A expressão tratamento do risco é às vezes utilizada para se referir às próprias medidas de proteção usadas para atenuar, reduzir, transferir ou evitar o risco
Adaptado de: ISO (2009).
79
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
É possível determinar o risco dentro do contexto da segurança da informação alinhado aos termos e 
definições elencados no quadro anterior; a ISO Guide 73 (ISO, 2009) afirma que todo e qualquer tipo de 
situação (ou evento) que possibilitar uma oportunidade de favorecer ou prejudicar o sucesso de projeto, 
processo, produto é considerado risco.
Segundo a Norma ISO Guide 73 (ISO, 2009), é necessário que se estabeleça um vocabulário básico 
para desenvolver o entendimento comum sobre a gestão de riscos em todas as organizações ao redor 
do mundo, sendo necessárias apenas algumas adaptações em expressões regionalizadas para atender às 
necessidades dentro de um domínio específico. Beal (2008) exemplifica com o caso do setor financeiro, 
em que o risco está associado a flutuações monetárias representadas por oportunidades de ganho ou 
perda, e consequentemente o processo de gestão de risco trabalha igualmente com os aspectos negativos 
e positivos da situação de risco. Evidentemente que em outras áreas, como o exemplo da prevenção de 
acidentes, a gestão do risco tem a preocupação de evitar o risco negativo relacionado aos acidentes.
Com os diversos cenários existentes para aplicação da gestão de riscos, faz-se necessário promover 
ajustes na terminologia, alterando-a ou expandindo-a conforme necessário para tratar a questão dentro 
do escopo definido de avaliação e gestão dos riscos.
Quando o assunto é segurança da informação, é necessário que os termos sejam revistos e 
complementados para refletir a necessidade desse escopo:
• Ameaça: expectativa de acontecimento acidental ou proposital, causado por um agente, que pode afetar 
um ambiente, sistema ou ativo de informação.
• Vulnerabilidade: fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque.
• Impacto: efeito ou consequência de um ataque ou incidente para a organização (corresponde ao termo 
consequência da ISO Guide 73, sendo que, para a segurança da informação, está sempre relacionada ao 
aspecto negativo).
Segundo Beal (2008), no contexto da segurança da informação, a ameaça é algo normalmente 
externo ao ativo que se deseja proteger (falha de energia elétrica, vírus, ataques cibernéticos), já a 
vulnerabilidade está relacionada ao próprio ativo, podendo ser originada de diversos fatores diferentes, 
como exemplo falta de conhecimento, falta de atualização no sistema operacional ou falha na 
manutenção. Essas falhas podem comprometer a segurança da informação se forem exploradas por 
alguma ameaça.
 Observação
Os termos assessment e evaluation, usados no ISO Guide 73, têm como 
equivalente em português o termo avaliação. Optou-se pela expressão 
“estudo do risco” para traduzir “risk assessment” que corresponde ao 
processo global de análise e avaliação (evaluation) do risco.
80
Unidade II
Alguns outros termos são importantes para a gestão de riscos à segurança da informação:
• Agente: fonte produtora de um evento que pode ter efeitos adversos sobre um ativo de informação. 
Exemplos de agente: funcionários, meio ambiente, hackers etc.
• Alvo: ativo de informação que pode ser objeto de um ataque/incidente. Exemplos: base de dados, 
equipamentos de hardware, sistema de informação, serviço de comunicação.
• Ataque: evento decorrente da exploração de uma vulnerabilidade por uma ameaça. Exemplos 
de ataque: digitação incorreta de dados pelo usuário, vazamento de água, inclusão indevida no 
sistema de pagamento de compra fictícia.
• Incidente: evento com consequências negativas resultante de um ataque bem-sucedido. Exemplos 
de incidentes: dados incorretos armazenados num sistema, inundação que danifica as máquinas 
do CPD, pagamento indevido em decorrência da inclusão indevida de fatura de compra no sistema. 
Tais incidentes podem não se concretizar, em caso de ataque, se houver controles suficientes 
para interrompê-los (rejeição de dados incorretos inseridos pelo usuário, barreiras e alertas para 
evitar que o vazamento de água atinja os equipamentos, controles gerenciais que impeçam o 
pagamento sem a prévia conferência por um supervisor).
A próxima figura retrata a ligação existente entre os termos relacionados às análises de risco e à 
segurança da informação, em que a ameaça é um elemento do risco que pode ser associado a uma 
probabilidade de atuação, em que o valor compõe o cálculo da estimativa de risco.
Em diversas situações a probabilidade está associada a uma ameaça e é calculada levando em 
consideração a frequência de ocorrência (por exemplo, a frequência de ataques de negação de serviço 
DDOs nas últimas semanas ou meses). Em outras situações os dados da frequência não estão à disposição, 
nesse caso a probabilidade pode ser estimada levando em consideração o grau de confiança atribuída 
à ocorrência (por exemplo, o grau de confiança de que ocorrerá uma ou mais tentativas de invasão a 
determinado sistema).
Por sua vez, as medidas de proteção, que também podem ser chamadas de controles, têm como 
objetivo reduzir o risco por meio da mitigação da probabilidade de concretização de uma ameaça.
Quando nos referimos às vulnerabilidades, precisamos ter em mente que elas sempre podem ser 
exploradas por uma ameaça refletida em incidentes de segurança, causando impactos que, para a gestão 
de riscos à segurança da informação, serão sempre negativos.
81
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Agente
Incidente
Impacto
Alvo
Medidas de 
proteção
Ameaça
Vulnerabilidade
(probabilidade)
Produz
Reduzem
Protege
Aplicadas
Evitam 
Afastam
Explora Ajuda
Foca
Causa
Evitam Gera
Provoca
Ataque
Figura 27 – Relacionamento entre os termos associados aos riscos à segurança da informação
Segundo Beal (2008), é importante compreender a gestão de riscos à segurança da informação 
como um processo contínuo que deve ser melhorado constantemente, dessa maneira é necessário ter 
mapeadas as várias etapas cíclicas que levam à redução do risco, partindo da análise até o tratamento, 
passando pela aceitação e comunicação. Para que tudo isso ocorra de forma eficaz, é aconselhável que 
o processo de gestão de risco seja apresentado ao processo de melhoria contínua chamado de PDCA (do 
idioma inglês, plan, do, check e action, na tradução, planejamento, execução, avaliação e ação corretiva).
AGIR
Action
• Ação corretiva no insucesso
• Padronizar e buscar o sucesso 
aprendendo com os erros
• Verificar se os objetivos 
foram atingidos
• Verificar os indicadores
• Localizar os riscos de SI
• Estabelecer o plano de ação 
para gestão dos riscos de SI
• Executar o plano de 
tratamento dos riscos 
identificados
• Colocar o plano em prática
PLANEJAR
Plan
FAZER
Do
CHECAR
Check
Figura 28 – Ciclo PDCA para gestão de riscos à segurança da informação
82
Unidade II
A gestão do risco é complexa e deve ser tratada por etapas dentro das organizações, levando em 
consideração que faz parte de um ciclo que deve ser constantemente renovado e aperfeiçoado.
Estabelecendo o contexto
Identificndo o risco
Análise do risco
Análise do risco
Tratamento do risco
Aceitação dorisco residual
Co
m
un
ic
aç
ão
 d
o 
ris
co
M
on
ito
ra
çã
o 
e 
av
al
ia
çã
o 
do
s r
es
ul
ta
do
s
Ameaça
Probabildade
Vulnerabilidade
Estimativa de risco Critérios de risco
Grau de 
incerteza
Impacto
Perda 
estimada
Figura 29 – Etapas da gestão de riscos
Adaptada de: Beal (2008, p. 17).
O processo de gestão de risco se inicia com a análise do contexto, do cenário de risco no qual aquele 
artefato a ser analisado está inserido, por exemplo, quando falamos de um escopo de acesso remoto 
externo por funcionários, alguns cenários de risco devem ser traçados, entre eles, a configuração dos 
roteadores dos funcionários, se certificar de que todos estejam devidamente configurados. Uma vez 
determinado o contexto a ser analisado, temos a identificação dos riscos inseridos naquele cenário 
escolhido. Aqui são considerados os elementos-alvos, agentes, ameaças, vulnerabilidades e impactos.
Lembrando que ameaças podem ser classificadas como:
• Ambientais: ameaças naturais, como fogo, chuva, raio, terremoto; decorrentes de condições 
do ambiente, como interferência eletrônica, contaminação por produtos químicos, falhas no 
suprimento de energia elétrica ou no sistema de climatização.
• Técnicas: configuração incorreta de componentes de TI; falhas de hardware e software.
• Lógicas: códigos maliciosos; invasão de sistemas.
• Humanas: erro de operação; fraude; sabotagem.
83
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
As ameaças exploram vulnerabilidades para atingir seus alvos em forma de ataque, já as 
vulnerabilidades demonstram o grau de exposição que um ativo de informação está sujeito. Falhas 
em um ambiente ou sistema ou falta de treinamento dos usuários, por exemplo, representam uma 
vulnerabilidade em relação à ameaça de erro humano, assim como a instalação de um data center no 
subsolo de um prédio produz uma vulnerabilidade associada à ameaça de inundação.
Segundo Beal (2008), são exemplos de vulnerabilidades associadas a ameaças ambientais 
(comumente encontradas em processos de auditoria de riscos físicos em instalações de processamento 
de informações):
• Materiais estocados dentro do data center, aumentando o risco de incêndio.
• Fitas de backup armazenadas em armários sem proteção, dentro de caixas de papelão.
• Excesso de poeira.
• Cabeamento de rede desorganizado e desprotegido.
Vulnerabilidades lógicas observadas em sistemas conectados à internet incluem senhas de 
administrador mantidas de fábrica (não são alteradas na instalação do software); ausência de instalação 
de patches após a descoberta de um bug no sistema; permanência de utilitários e ferramentas de 
administração que tornam o computador inseguro e são desnecessários para o seu funcionamento no 
dia a dia. Hackers dispõem de várias técnicas para descobrir vulnerabilidades dessa natureza e, com esse 
conhecimento, planejar ataques.
No quadro a seguir estão mencionados as ameaças e impactos relacionados a instalações e 
componentes de TI, para exemplificação prática.
Quadro 18 – Lista de ameaças e impactos relacionados a ti
Ameaça Tipo de recurso vulnerável
Impacto para o objetivo de 
confidencialidade
Impacto para 
o objetivo de 
integridade
Impacto para o objetivo 
de disponibilidade
Desastres naturais 
como terremoto, 
nevasca e furacão
Edifícios torres de 
comunicação
Controles físicos de acesso 
podem ser desconsiderados 
durante a recuperação do 
desastre e equipamentos 
descartados podem conter 
informações confidenciais
Falhas ambientais, 
incluindo queda da 
energia elétrica
Hardware
Serviços podem ser 
interrompidos e hardware 
pode ser danificado
Furto Equipamentos valiosos e portáteis
Equipamentos furtados 
podem conter informações 
confidenciais
Serviços podem ser 
interrompidos e dados 
podem ser perdidos
84
Unidade II
Ameaça Tipo de recurso vulnerável
Impacto para o objetivo de 
confidencialidade
Impacto para 
o objetivo de 
integridade
Impacto para o objetivo 
de disponibilidade
Vírus
Principalmente 
computadores 
pessoais conectados 
em rede
Dados podem ser 
corrompidos pelo 
vírus
Computadores infectados 
podem parar de funcionar e 
dados importantes podem 
ser apagados
Hacking Todos os sistemas em rede
O objetivo dos hackers pode ser a quebra do sigilo de informações ou a 
indisponibilidade dos serviços (ataque do tipo DoS, denial of service), a 
alteração ou destruição de dados ou a utilização dos recursos informatizados da 
organização para realizar invasões a terceiros
Código escondido Todo o software
Código não autorizado 
pode levar ao vazamento de 
informações sigilosas, tais 
como senhas de acesso
Funções 
escondidas podem 
manipular dados 
indevidamente
Programas podem ser 
projetados para destruir 
dados ou negar acesso 
autorizado a serviços
Falha de hardware Todo o hardware
Hardware danificado pode 
ser enviado para manutenção 
contendo informação sigilosa
Dados podem 
ser corrompidos 
quando o 
hardware falha
Serviço indisponível
Falha de software Todo o software
A falha dos controles 
de acesso pode levar à 
divulgação indevida de dados e 
informações
Dados podem ser 
corrompidos Serviço indisponível
Erro humano Todos os sistemas
Funcionários podem divulgar 
acidentalmente informações 
sigilosas, por exemplo, 
enviando dados para a 
impressora errada
Funcionários 
podem 
inserir dados 
incorretamente
Funcionários podem 
destruir informações 
acidentalmente, danificar 
hardware ou interromper o 
funcionamento do sistema 
por erro de configuração
Fonte: Beal (2008 p. 20-21).
 Observação
Os gestores de riscos à segurança da informação devem estar atentos 
às principais ameaças que rondam e que podem aumentar os riscos para 
as organizações. Além disso, devem consultar os relatórios de ameaças 
emergentes publicados pelas grandes empresas de consultoria em tecnologia.
A implantação dos processos de gestão de riscos requer aplicação sistemática de políticas, normas, 
procedimentos e práticas para as atividades de comunicação e consulta, estabelecendo o contexto e 
avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos.
A figura a seguir demonstra a sequência lógica dos processos dentro da estrutura da gestão de riscos.
85
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Processo de gestão de riscos
Escopo, contexto e critério
Tratamento de riscos
Processo de avaliação 
de riscos
Identificação de riscos
Análise de riscos
Registro e relato
Co
m
un
ic
aç
ão
 e
 c
on
su
lta
M
onitoram
ento e análise crítica
Avaliação de riscos
Figura 30 – Processos de gestão de riscos
Fonte: ABNT (2018b, p. 9).
Segundo Campos (2006), a definição e direcionamento do sistema de gestão da segurança da 
informação é o primeiro passo para uma governança eficaz, o que exige necessariamente a compreensão 
dos riscos da organização.
Definição 
de escopo
Análise 
de risco
Planejamento de 
tratamento do risco
Figura 31 – Etapas do planejamento do sistema de segurança
Adaptada de: Campos (2006, p. 37).
Para Campus (2006), a gestão e análise de risco deve ser o primeiro passo. O objetivo é definir os 
resultados almejados e, por conseguinte, o que deverá ser feito. As equipes de segurança da informação 
menos experientes, sobretudo aquelas que fazem sua primeira análise de risco, tendem a querer produzir 
resultados em um curto espaço de tempo; a busca por resultados imediatos pode limitar os esforços de 
definição de objetivos e de planejamento. Como se sabe: é difícil chegar quando não se sabe para onde 
vai. Dessa forma, na definição do método de análise de risco, é fundamental ter em mente que existem 
duas categorias, ou métodos, de análise de risco: a qualitativa e a quantitativa. As duas envolvem 
cálculos, mas a qualitativa é a que utiliza cálculos simplificados e, também, é menos precisa do ponto 
de vista financeiro.
86
Unidade II
 Observação
Importante ressaltar que não é uma questão de escolha entre os 
métodos quantitativos ou qualitativos de análise de riscos à segurança 
da informação,e sim uma orientação conforme a modalidade de risco 
analisada, pois ambas possuem benefícios e limitações.
A seguir, se pode comparar os dois modelos:
Quantitativo Qualitativo
Resultados baseados em valores objetivos Resultados baseados em valores subjetivos
Cálculos complexos Cálculos simples
Valores financeiros são atribuídos ao risco Não há valoração do risco
Grande tempo e esforço são necessários para atribuir 
as taxas de risco Menor trabalho para atribuir as taxas de risco
Facilita o cálculo de custo/benefício Dificulta o cálculo de custo/benefício.
Fonte: Campos (2006, p. 45).
Evidentemente que os dados desse quadro são uma parte das duas categorias, como foi visto 
anteriormente, existem diversos outros pontos que devem ser levados em consideração para a seleção 
da melhor metodologia de análise de risco.
Segundo Campos (2006), existem dois pontos que defendem cada um dos métodos com 
argumentos convincentes.
Os dois métodos são práticos e até certo ponto eficazes, e a escolha deve ser realizada com base no 
perfil da organização. Por exemplo, aquelas organizações que nunca fizeram qualquer análise de risco, 
se escolherem pelo método quantitativo, mais complexo, terão maior probabilidade de fracasso em uma 
primeira tentativa. Já as organizações que fazem análise de risco por alguns anos e que precisam avaliar 
seus riscos a partir de uma visão financeira, deverão fazer os empenhos necessários para implementar 
o método quantitativo.
Outro ponto a ser relacionado é o desenvolvimento de uma política para redução dos riscos, em 
que, segundo Campos (2006), deve ser definida de forma prioritária uma política para redução de riscos 
ou um conjunto de conceitos aceitáveis na organização, a se considerarem investimentos de tempo e 
recursos. Obviamente varia de organização para organização, mas algumas diretrizes podem ser utilizadas 
como padrão. Por exemplo, a política pode determinar que: o investimento destinado à redução do 
risco deve ser proporcional ao valor da informação a ser protegida; que os investimentos pretendem 
diminuir os riscos de forma gradual; os investimentos em redução dos riscos não devem exceder a 5% 
do faturamento da organização; os riscos relacionados com a disponibilidade da informação devem ser 
considerados prioritários em relação àqueles relacionados com confidencialidade e disponibilidade.
87
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Segundo Campos (2006), essas e outras prioridades devem estar devidamente definidas no estágio 
inicial do projeto, com o direcionamento de esforços de todos as partes envolvidas, até mesmo quando 
são definidas logo no início do projeto. Novas necessidades podem surgir durante a realização da análise 
de riscos, o que é totalmente viável.
A definição dos critérios para identificação e aceitação do risco são a base para a decisão sobre o nível 
do risco. Dessa forma os critérios devem ser estabelecidos para conduzir os trabalhos de identificação e 
avaliação do risco. Entre os critérios definidos, é necessário compor aqueles que hierarquizarão as ameaças, 
vulnerabilidades e impactos. Outras considerações podem ser realizadas quanto aos critérios do risco.
A organização precisa definir que nível de risco é aceitável e a partir de que nível o risco passa 
a ser inaceitável e precisa ser tratado. Algumas questões necessitam ser avaliadas para se chegar a 
um indicador de risco. Por exemplo, a organização pode definir que riscos com nível a partir de 20% 
precisam ser tratados, ao passo que riscos abaixo desse percentual podem ser ignorados ou aceitos.
Após a definição dos critérios de análise e níveis de aceitação de risco, é necessário que as ameaças 
sejam graduadas quanto ao grau de exposição que apresentam para o ativo em avaliação. Por exemplo, 
um sistema de firewall ligado diretamente à internet está mais exposto a ataques de crackers do que um 
servidor de correio eletrônico protegido por esse firewall dentro da rede local.
A tabela a seguir é um exemplo de como podem ser definidos os critérios para classificação da 
ameaça quanto ao grau de exposição que ela oferece para os ativos de informação. Repare que os 
critérios apresentados são exatamente os mesmos do quadro anterior, que mostra a matriz de relevância 
do processo. Isso se dá em virtude da padronização dos critérios.
Tabela 2 – Sugestão de matriz graduação das ameaças
Ameaça
Grau Faixa percentual
Mínima 1 20
Baixa 21 40
Média 41 60
Alta 61 80
Máxima 81 100
Fonte: Campos (2006 p. 46).
Seguindo o exemplo apresentado e considerando os ativos de informação envolvidos, temos:
• sistema firewall;
• servidor de correio eletrônico.
88
Unidade II
E a seguinte ameaça:
• invasor externo (hacker).
Poderíamos dizer, então, que o grau de exposição da ameaça seria de 100%, ou seja, o máximo para 
o primeiro ativo, enquanto que de apenas 30%, ou seja, baixo, para o segundo ativo.
Segundo Campos (2006), similarmente aos critérios anteriormente expostos, podem ser estabelecidos 
critérios para as vulnerabilidades. Sendo assim, algumas vulnerabilidades contam com alguma forma 
de controle, ou seja, são baixas, e enquanto outras vulnerabilidades não receberam qualquer tipo de 
controle e devem ser definidas como altas. A tabela a seguir mostra uma proposta para critério 
de graduação das vulnerabilidades.
Tabela 3 – Sugestão de matriz graduação das vulnerabilidades
Vulnerabilidade 
Grau Faixa percentual
Mínima 1 20
Baixa 21 40
Média 41 60
Alta 61 80
Máxima 81 100
Fonte: Campos (2006, p. 47).
Importante ressaltar que o padrão de nomenclatura para relevância, ameaça e vulnerabilidade 
devem ser os mesmos de modo a permitir comparativos. Nesse exemplo, consideremos os seguintes 
ativos de informação:
• servidor de arquivos;
• servidor de correio eletrônico.
E a seguinte vulnerabilidade:
• portas TCP do protocolo TCP/IP.
Na suposição de que no primeiro ativo todas as portas TCP estejam fechadas, podemos concluir que 
se trata de uma vulnerabilidade mínima, talvez 5%, enquanto no segundo ativo, na hipótese de que pelo 
menos as portas SMTP e POP estejam abertas, inferimos que se trata de uma vulnerabilidade pelo menos 
média, talvez 50%.
Segundo Campos (2006), os critérios para impacto deverão ser estabelecidos, lembrando que o 
impacto se refere ao dano ou prejuízo causado ao negócio por um incidente. Certamente existem diversas 
89
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
formas de relacionar as informações – consequentemente, os ativos que as suportam – ao negócio; 
uma das mais utilizadas relaciona as informações aos processos do negócio, como foi demonstrado na 
figura anterior. Dessa maneira, é possível identificar qual processo será prejudicado por um incidente 
e, conhecendo a relevância do processo, é possível determinar o impacto do incidente de segurança. 
Podemos citar como exemplo a relação do nível de impacto à duração da interrupção de determinado 
processo de negócio, dessa forma pode-se continuar em operação sem prejuízo.
Na tabela a seguir, está disposto o modelo de graduação utilizado para quantificar a análise dos 
impactos. Repare que os números se mantêm em relação às demais análises anteriormente apresentadas.
Tabela 4 – Sugestão de matriz – graduação das vulnerabilidades
Impacto
Grau Faixa percentual
Mínima 1 20
Baixa 21 40
Média 41 60
Alta 61 80
Máxima 81 100
Fonte: Campos (2006, p. 48).
Usemos o exemplo anterior de ativos para exemplificar esse conceito:
• servidor de arquivos;
• servidor de correio eletrônico.
Se na organização em questão os processos são fortemente baseados na troca de mensagens 
eletrônicas entre as áreas, poderíamos supor que a interrupção desse serviço não seria tolerada por 
mais que um dia, o que classificaria o grau do impacto em 75%, por exemplo. Já quanto ao servidor de 
arquivos usado com menos frequência e intensidade – a organização suportaria ficar sem seus serviços 
por alguns dias ou até uma semana –, talvez pudéssemos classificar o grau de impacto em 55%.
Quando nosreferimos a esse método, citamos apenas um exemplo simples de consideração dos 
conceitos. Evidentemente que um método mais adequado para medir os prejuízos financeiros de um 
incidente pode representar uma tarefa bem mais complexa.
Segundo Campos (2006), para a definição dos critérios para cálculo do risco, outras definições devem 
ser utilizadas na identificação e avaliação dos riscos, com destaque para o critério de composição; 
deve-se saber como o risco é visto pela organização, em outras palavras, qual é a fórmula para o risco. 
Embora existam os defensores de outros modelos, não existe um consenso definitivo e suficientemente 
convincente, cada organização deve avaliar a melhor maneira de compor a fórmula que melhor lhe 
90
Unidade II
atenda. Dessa forma, ao definir a fórmula, é necessário estabelecer as variáveis a serem utilizadas, entre 
elas, recomendam-se, no mínimo:
• probabilidade: se refere à chance de o incidente acontecer;
• impacto: se refere ao impacto no negócio provocado pelo incidente, caso ocorra;
• ocorrências: refere-se ao número de vezes que o incidente ocorreu no passado;
• relevância do processo: refere-se à importância do processo para o negócio da organização.
3.4 Implantação do sistema de gestão de risco
O projeto de implantação pode ser significativamente facilitado quando se estabelece uma 
metodologia de implantação ágil, que leva a um processo estruturado e gerido de forma organizada. O 
modelo a ser apresentado analisará as competências e pode seguir a gestão de projetos por competências 
demonstrada pelo Centro de Educação Corporativa da Boston University, uma proposta derivada do 
próprio PMBOK, que enfatiza as competências necessárias para a obtenção de sucesso em projetos.
Nessa etapa, deve-se concentrar em todas as competências para o gerenciamento do projeto de 
implantação da análise de riscos à segurança da informação. Conforme já o afirmamos, essa fase 
pode ser suprida com o gerenciamento complexo apresentado na metodologia proposta pelo PMBOK 
(PMI, 2013) e aprimorado no Centro de Educação Corporativa da Boston University. Todavia, como 
mencionado, existem várias metodologias de projetos e algumas se apresentam como mais simples e 
mais flexíveis em controles e atividades. Como exemplo temos o Control objectives for information and 
related technologies (Cobit), um modelo (framework) de boas práticas criado pela Information systems 
audit and control association (Isaca) para a governança de tecnologia de informação. Foi desenvolvido 
o modelo de identificação pela análise das capacidades; quando definidas e analisadas, as capacidades 
levam a um diagnóstico preciso. Ressaltando que isso não substitui a gestão de projetos, todavia, facilita 
a criação das competências, levando mais rapidamente a um plano de implantação.
As capacidades a serem analisadas são cinco: governança, organização, processos, tecnologia e 
métrica, que ao final resultam em um plano de ação factível e orientado a projetos. A abordagem 
teórica a seguir foi baseada no projeto-alvo da análise e implantação da gestão de riscos à segurança 
da informação.
Para compreender como o modelo é estabelecido, devemos verificar como funciona a estrutura de 
análise, em que é realizada uma análise da situação atual sobre a capacidade. Após a análise, a situação 
é comparada com um modelo de negócio ou de melhores práticas. No nosso projeto, utilizaremos o 
Standard of good practice for information security (ISF) de 2018. O comparativo entre a situação atual e 
o ISF levará a direcionadores que devem ser implantados para melhora da maturidade e da performance, 
no nosso caso, da gestão e análise de riscos à segurança da informação. A seguir estudaremos cada uma 
das capacidades.
91
GESTÃO DA SEGURANÇA DA INFORMAÇÃO
 Saiba mais
Investimentos em tempo e dinheiro devem ser dispendidos para a 
implantação de um sistema de gestão de riscos à segurança das informações 
e cibernética, mas de nada adiantam os investimentos, se a implantação 
não estiver alinhada à estratégia organizacional. Para saber mais acesse:
ROSTI, A. A importância de a gestão de riscos cibernéticos fazer 
parte da estratégia das empresas. SafeWay, 25 set. 2020. Disponível em: 
https://bit.ly/3fIBbGX. Acesso em: 2 jun. 2021.
Capacidade de governança
Responsável pela gestão geral da gestão do risco. Nessa capacidade, devem ser analisados os 
seguintes itens: políticas, normas, controles e elementos de conformidade.
Capacidade de organização
Responsável pela gestão das pessoas envolvidas no sistema de gestão da segurança da informação. 
Devem ser analisados os seguintes itens: papéis, responsabilidades, habilidades e competências.
Capacidade de processo
Responsável em operacionalizar a execução das atividades da gestão de risco. Devem ser analisados 
os seguintes itens: fluxos, workflows, procedimentos e atividades.
Capacidade de tecnologia
Fornece as especificações em alto nível e tipos de tecnologias, de maneira a suportar tecnicamente 
o tema gestão e análise de riscos à segurança da informação. Devem ser analisados os seguintes itens: 
ferramentas, aplicações e infraestrutura.
Capacidade de métrica
Fornece os indicadores que medem a capacidade da gestão e análise de risco em atender aos seus 
destinos estratégicos e ao tema estratégico. Cada indicador deve ser relativo ao atendimento aos controles e 
direcionadores indicados nas demais capacidades analisadas e deve fornecer informações para que os gestores 
da organização possam tomar decisões referentes ao modelo operacional de segurança da informação e de 
gestão e análise de riscos à segurança da informação. Deve propor: relatórios, KPIs, KRIs e dashboards.
Após completadas as análises das capacidades, a tarefa de desenvolver um plano de implantação 
fica facilitada, uma vez que o gestor do projeto vai endereçar suas ações nas melhores práticas ainda 
92
Unidade II
não implantadas ou parcialmente implantadas, lembrado que deve existir uma base de controles para 
ser feita a comparação com os processos já implantados. O resultado dessa análise pode definir os 
requisitos do projeto de implantação da gestão e análise de riscos à segurança da informação.
Capacidade 
de 
governança
Capacidade 
de 
organização
Capacidade 
de 
processo
Capacidade 
de 
tecnologia
Capacidade 
de métrica
Modelo 
de análise 
das cinco 
capacidades
• Política
• Normas
• Controles
• Elementos de conformidade
• Papéis
• Responsabilidades
• Competências
• Habilidades
• Fluxos
• Workflows
• Procedimentos
• Atividades
• Ferramentas
• Aplicações
• Infraestrutur
• Relatórios
• KPIs
• KRIs
• Dashboards
Figura 32 – Modelo de análise das cinco capacidades
A gestão e análise dos riscos são parte integrante da estratégia organizacional e sua implantação 
requer acompanhamento e aval da alta direção. Sendo assim, o primeiro passo é definir o objetivo da 
atividade ou área, o que se pretende ter implantado ao final, ou seja, o que deve estar operacionalizando, 
ressaltando que o objetivo e o escopo do projeto podem ser coisas distintas. Como exemplo de objetivo 
para o nosso projeto, temos: gerir, identificar, avaliar e categorizar os riscos vinculados à segurança 
da informação e cibernética nos produtos, serviços, processos e projetos da organização, suportando 
os gestores na tomada de decisão; estabelecer critérios e programa de compliance e conformidade de 
segurança da informação e cibernética, amparado nas políticas e normas corporativas de segurança da 
informação e cibernética, leis, regulamentações, autorregulamentação e padrões de mercado. Apesar 
de parecer um escopo bem ambicioso, os objetivos refletem o que recomenda a NBR ISO 31000 (ABNT, 
2018b), que estabelece os seguintes focos estratégicos:
• Instaurar cultura corporativa consciente do risco. Ela deve ser institucionalizada para auxiliar a 
organização a reduzir os riscos de segurança da informação, por meio da implantação de políticas 
e procedimentos adequados para todos os funcionários