GESTÃO E ANÁLISE DE RISCOS Livro-Texto - Unidade II

Prévia do material em texto

52
Unidade II
Unidade II
3 INTRODUÇÃO À GESTÃO DO RISCO À SEGURANÇA DA INFORMAÇÃO
3.1 Terminologia de análise de risco à segurança da informação
Não é tarefa fácil manter a segurança das informações quando os ativos de informação estão 
envoltos em complexas estruturas que demandam altos investimentos para mantê-las a salvo das 
ameaças aos princípios da segurança da informação (confidencialidade, integridade e disponibilidade). 
Quando adicionamos aqui o princípio de legalidade, a situação fica ainda mais complexa, a Lei n. 13.709 
– Lei Geral de Proteção de Dados (LGPD) traz a exigência de cumprir requisitos que se transformaram 
em riscos adicionais à segurança das informações caso não sejam devidamente cumpridos. Beal (2008) 
afirma que é de extrema importância para atingir os objetivos a adoção de um enfoque de gestão 
baseada nos riscos específicos para cada negócio.
Cabe, então, à segurança da informação identificar as ameaças, mapear as vulnerabilidades e 
analisar os impactos que podem ocorrer, comprometendo a segurança das informações. Dessa forma, 
é possível fundamentar e subsidiar a tomada de decisão sobre o quanto gastar com a proteção dos 
dados corporativos.
Para Beal (2008), a gestão de riscos à segurança da informação é um conjunto de processos que 
permite que as organizações identifiquem e implementem medidas de proteção necessárias para 
diminuir o risco a que estão sujeitos os ativos de informação, com a incumbência de equilibrar os custos 
operacionais e financeiros envolvidos no processo de proteção das informações.
Assim como já foi visto, existem termos de que devemos ter conhecimento sobre os próprios 
riscos e em relação aos riscos à segurança da informação. Dessa forma, cabe revisitar alguns termos e 
adicionar outros referentes à gestão dos riscos à segurança da informação com o intuito de nivelá-los 
e incorporá-los. A ISO Guide 73, de 2009, em sua versão em inglês, estabelece um vocabulário de termos 
relacionados à gestão de riscos:
Quadro 5 – Termos e definições
Terminologia Descrição
Básicos
Consequência Resultado de um evento
Critério de risco Termos de referência pelos quais a relevância do risco é avaliada
Evento Ocorrência de um conjunto particular de circunstâncias que caracterizam uma única ocorrência ou uma série delas
53
GESTÃO E ANÁLISE DE RISCOS
Terminologia Descrição
Fonte Item ou atividade associada a uma consequência potencial
Gestão do risco
Coordena atividades para direcionar e controlar uma organização com relação ao risco. A gestão do 
risco normalmente inclui avaliação do risco, tratamento do risco, aceitação do risco e comunicação do 
risco
Probabilidade
Associada a um evento é calculada para determinado período de tempo, e é definida como número 
real na escala de O a 1 associado a um evento aleatório, que pode estar relacionado a uma frequência 
de ocorrência relativa de longo prazo ou a um grau de confiança de que um evento vai ocorrer (para 
um alto grau de confiança na ocorrência, a probabilidade é próxima de 1)
Risco Combinação da probabilidade de um evento e sua consequência
Relacionados às pessoas ou organizações afetadas pelo risco
Comunicação do risco
Troca ou compartilhamento da informação sobre o risco feita entre o tomador de decisão e outros 
stakeholders. A informação pode estar relacionada a existência, natureza, forma, probabilidade, 
gravidade, aceitabilidade, tratamento ou outros aspectos do risco
Parte interessada
Pessoa ou grupo que possui interesse no desempenho ou sucesso de uma organização. Exemplos: 
clientes, proprietários, integrantes da organização, fornecedores, bancos, sindicatos, parceiros, 
sociedade
Percepção do risco Maneira pela qual um stakeholder vê um risco, com base em um conjunto de valores ou preocupações
Stakeholder
Qualquer indivíduo, grupo ou organização que pode influir, sofrer influência ou perceber-se como 
sendo afetado por um risco. O termo stakeholder inclui, mas tem significado maior do que as partes 
interessadas (termo definido na ISO 9000)
Relacionados à aviação de riscos
Análise de risco
Uso sistemático de informação (dados históricos, análise teórica, opiniões fundamentadas, 
preocupações dos stakeholders) para identificar fontes e estimar o risco. A análise de risco oferece 
uma base para a avaliação, o tratamento e a aceitação do risco
Avaliação do risco (risk 
evaluation)
Processo de comparação do risco estimado com determinado critério de risco para determinar sua 
relevância. A avaliação do risco pode ser usada para subsidiar a decisão de aceitar ou tratar um risco
Estimativa do risco 
(risk estimation)
Processo usado para atribuir valores à probabilidade e às consequências de um risco. A estimativa do 
risco pode considerar custo, benefícios, preocupações de stakeholders e outras variáveis apropriadas 
para a avaliação do risco
Estudo do risco (risk 
assessment):
Processo global de análise e avaliação do risco. Identificação do risco: processo de localizar, listar 
e caracterizar elementos do risco. Os elementos podem incluir fonte, evento, consequência e 
probabilidade
Termos relacionados ao tratamento e ao controle do risco
Aceitação do risco Decisão de aceitar um risco
Atenuação Limitação de quaisquer consequências negativas de um evento em particular
Controle do risco Ações para implementação das decisões de gestão do risco. O controle do risco pode envolver monitoração, reavaliação e conformidade com decisões
Evasão do risco Decisão de não se envolver, ou ação de fuga de uma situação de risco
Otimização do risco Processo relacionado a um risco para minimizar as consequências negativas e maximizar as consequências positivas e suas respectivas probabilidades
Redução do risco Ações tomadas para reduzir a probabilidade, as consequências negativas ou ambas, associadas a um risco
Risco residual Risco remanescente após o tratamento do risco
Transferência do risco
Compartilhamento com um terceiro do prejuízo da perda ou benefício do ganho em relação a 
determinado risco (a transferência do risco pode ser feita por meio de seguros ou outros tipos de 
acordo)
Tratamento do risco
Processo de seleção e implementação de medidas para modificar o risco. A expressão tratamento do 
risco é às vezes utilizada para se referir às próprias medidas de proteção usadas para atenuar, reduzir, 
transferir ou evitar o risco
Adaptado de: ISO (2009).
54
Unidade II
É possível determinar o risco dentro do contexto da segurança da informação alinhado aos termos 
e às definições elencados no quadro anterior. A ISO Guide 73 (ISO, 2009) afirma que todo e qualquer 
tipo de situação (ou evento) que possibilitar uma oportunidade de favorecer ou prejudicar o sucesso de 
projeto, processo, produto é considerado “risco”.
A norma ISO Guide 73 (ISO, 2009) continua alertando para o fato de que é necessário que se 
estabeleça um vocabulário básico para desenvolver o entendimento comum sobre a gestão de riscos em 
todas as organizações ao redor do mundo, sendo necessárias apenas algumas adaptações em expressões 
regionalizadas para atender às necessidades dentro de um domínio específico. Beal (2008) exemplifica 
esse fato com o caso do setor financeiro, em que o risco está associado a flutuações monetárias 
representadas por oportunidades de ganho ou perda, e, consequentemente, o processo de gestão de 
risco considera igualmente com os aspectos negativos e positivos da situação de risco. É evidente que, 
em outras áreas, como no exemplo da prevenção de acidentes, a gestão do risco tem a preocupação em 
evitar o risco negativo relacionado aos acidentes.
Com os diversos cenários existentes para a aplicação da gestão de riscos, faz-se necessário promover 
ajustes na terminologia, alterando-a ou expandindo-a conforme necessário, a fim de tratar a questão 
dentro do escopo definido de avaliação e gestão dos riscos.
Quando o assunto é segurança da informação, é necessário que os termos sejam revistos e 
complementados para refletir a necessidade desse escopo:
• Ameaça: expectativade acontecimento acidental ou proposital causado por um agente, que 
pode afetar um ambiente, sistema ou ativo de informação.
• Vulnerabilidade: fragilidade que poderia ser explorada por uma ameaça para concretizar 
um ataque.
• Impacto: efeito ou consequência de um ataque ou incidente para a organização (corresponde ao 
termo, consequência da ISO Guide 73, sendo que, para a segurança da informação, está sempre 
relacionada ao aspecto negativo).
Segundo Beal (2008), no contexto da segurança da informação, a ameaça é algo normalmente 
externo ao ativo que se deseja proteger (falha de energia elétrica, vírus, ataques cibernéticos); já a 
vulnerabilidade está relacionada ao próprio ativo, podendo ser originada de diversos fatores diferentes, 
como falta de conhecimento, falta de atualização no sistema operacional, falha na manutenção, 
entre outros. Essas falhas podem comprometer a segurança da informação se forem exploradas por 
alguma ameaça.
55
GESTÃO E ANÁLISE DE RISCOS
 Observação
Os termos assessment e evaluation, usados no ISO Guide 73, têm como 
equivalente em português a palavra “avaliação”. Optou-se pela expressão 
“estudo do risco” para traduzir risk assessment, que corresponde ao processo 
global de análise e avaliação (evaluation) do risco.
Alguns outros termos são importantes para gestão de riscos à segurança da informação:
• Agente: fonte produtora de um evento que pode ter efeitos adversos sobre um ativo de informação. 
Exemplos de agente: funcionários, meio ambiente, hackers etc.
• Alvo: ativo de informação que pode ser objeto de um ataque/incidente. Exemplos: base de dados, 
equipamentos de hardware, sistema de informação, serviço de comunicação.
• Ataque: evento decorrente da exploração de uma vulnerabilidade por uma ameaça. Exemplos 
de ataque: digitação incorreta de dados pelo usuário, vazamento de água, inclusão indevida no 
sistema de pagamento de compra fictícia.
• Incidente: evento com consequências negativas resultantes de um ataque bem-sucedido. 
Exemplos de incidentes: dados incorretos armazenados num sistema, inundação que danifica as 
máquinas do CPD, pagamento indevido em decorrência da inclusão indevida de fatura de compra 
no sistema. Tais incidentes podem não se concretizar, em caso de ataque, se houver controles 
suficientes para interrompê-los (rejeição de dados incorretos inseridos pelo usuário, barreiras e 
alertas para evitar que o vazamento de água atinja os equipamentos, controles gerenciais que 
impeçam o pagamento sem a prévia conferência por um supervisor).
A próxima figura retrata a ligação existente entre os termos relacionados às análises de risco e à 
segurança da informação, em que a ameaça é um elemento do risco que pode ser associado a uma 
probabilidade de atuação, o valor compõe o cálculo da estimativa de risco.
Em diversas situações, a probabilidade está associada a uma ameaça e é calculada considerando a 
frequência de ocorrência (por exemplo, a frequência de ataques de negação de serviço DDOs nas últimas 
semanas ou meses); em outras situações, os dados da frequência não estão à disposição, nesse caso, a 
probabilidade pode ser estimada considerando o grau de confiança atribuída à ocorrência, por exemplo, 
o grau de confiança de que vai ocorrer uma ou mais tentativas de invasão a determinado sistema.
Por sua vez, as medidas de proteção, que também podem ser chamadas de controles, têm como 
objetivo reduzir o risco por meio da mitigação da probabilidade de concretização de uma ameaça.
56
Unidade II
Quando nos referimos às vulnerabilidades, temos de ter em mente que elas sempre podem ser 
exploradas por uma ameaça refletida em incidentes de segurança, causando impactos que, para a gestão 
de riscos à segurança da informação, serão sempre negativos.
Reduzem
Aplicadas
!
Agente
Ameaça
Incidente
Impacto
Vulnerabilidade
AtaqueExplora
Provoca
% (probabilidade)
Produz
Protege
Foca
Causa
Gera
Evitam
Evitam 
Afastam
Ajuda
Medidas 
de proteção
Alvo
Figura 17 – Relacionamento entre os termos associados aos riscos à segurança da informação
Segundo Beal (2008), é importante compreender a gestão de riscos à segurança da informação 
como um processo contínuo que deve ser melhorado constantemente, dessa maneira, é necessário ter 
mapeadas as várias etapas cíclicas que levam à redução do risco, partindo da análise ao tratamento, 
passando pela aceitação e comunicação. Para que tudo isso ocorra de forma eficaz, é aconselhável que 
o processo de gestão de risco seja apresentado ao processo de melhoria contínua chamado de PDCA, 
do idioma inglês plan, do, check e action, traduzindo para o português: “planejamento”, “execução”, 
“avaliação” e “ação corretiva”.
Action
Agir
Plan
Planejar
Check
Checar
Do
Fazer
• Ação corretiva 
no insucesso
• Padronizar 
e treinar no 
sucesso
• Localizar 
problemas
• Estabelecer 
planos de ação
• Verificar 
atingimento 
de meta
• Acompanhar 
indicadores
• Execução do 
plano
• Colocar o plano 
em prática
Figura 18 – Ciclo PDCA para gestão de riscos à segurança da informação
57
GESTÃO E ANÁLISE DE RISCOS
Avaliação do risco
Tratamento do risco
Aceitação do risco residual
Co
m
un
ic
aç
ão
 d
o 
ris
co
M
on
ito
ra
çã
o 
e 
av
al
ia
çã
o 
do
s r
es
ul
ta
do
s
Identificando o risco
Análise do risco
Estabelecendo o contexto
Ameaça ImpactoVulnerabilidade
Estimativa de risco Critérios de risco
Probabilidade Grau de incerteza Perda estimada
Figura 19 – Etapas da gestão de riscos
A gestão do risco é complexa e deve ser tratada por etapas dentro das organizações, considerando 
que faz parte de um ciclo que deve ser constantemente renovado e aperfeiçoado.
O processo de gestão de risco inicia-se com a análise do contexto, do cenário de risco ao qual 
aquele artefato a ser analisado está inserido. Por exemplo, quando falamos de um escopo de acesso 
remoto externo por funcionários, alguns cenários de risco devem ser traçados, como a configuração 
dos roteadores dos funcionários. Será que todos estão devidamente configurados? Uma vez 
identificado o contexto a ser analisado, temos a identificação dos riscos inseridos naquele cenário 
escolhido, aqui são considerados os elementos-alvo agentes, ameaças, vulnerabilidades, impactos.
Lembrando que ameaças podem ser classificadas como:
• Ambientais: naturais, como fogo, chuva, raio, terremoto, ou decorrentes de condições do 
ambiente, como interferência eletrônica, contaminação por produtos químicos, falhas no 
suprimento de energia elétrica ou no sistema de climatização.
• Técnicas: configuração incorreta de componentes de TI, falhas de hardware e software.
58
Unidade II
• Lógicas: códigos maliciosos, invasão de sistemas.
• Humanas: erro de operação, fraude, sabotagem.
As ameaças exploram vulnerabilidades para atingir seus alvos em forma de ataque, já as 
vulnerabilidades demonstram o grau de exposição a que um ativo de informação está sujeito, falhas 
em um ambiente ou sistema. A falta de treinamento dos usuários, por exemplo, representa uma 
vulnerabilidade em relação à ameaça de erro humano, assim como a instalação de um data center no 
subsolo de um prédio produz uma vulnerabilidade associada à ameaça de inundação.
Segundo Beal (2008), são exemplos de vulnerabilidades associadas a ameaças ambientais comumente 
encontradas em processos de auditoria de riscos físicos em instalações de processamento de informações:
• Materiais estocados dentro do data center, aumentando o risco de incêndio.
• Fitas de backup armazenadas em armários sem proteção, dentro de caixas de papelão.
• Excesso de poeira.
• Cabeamento de rede desorganizado e desprotegido.
Vulnerabilidades lógicas observadas em sistemas conectados à internet incluem senhas de 
administrador mantidas de fábrica não alteradas na instalação do software, ausência de instalação 
de patches após a descoberta de um bug no sistema e permanência de utilitários e ferramentas de 
administração que tornam o computador inseguro e não são necessários para o seufuncionamento no 
dia a dia. Hackers dispõem de várias técnicas para descobrir vulnerabilidades dessa natureza e, com esse 
conhecimento, planejar ataques.
No quadro a seguir, estão mencionados as ameaças e os impactos relacionados a instalações e 
componentes de TI, para exemplificação prática.
Quadro 6 – Lista de ameaças e impactos relacionados à TI
Ameaça Tipo de recurso vulnerável
Impacto para o objetivo 
de confidencialidade
Impacto para 
o objetivo de 
integridade
Impacto para o objetivo 
de disponibilidade
Desastres naturais 
como terremoto, 
nevasca e furacão
Edifícios torres de 
comunicação
Controles físicos de acesso 
podem ser desconsiderados 
durante a recuperação do 
desastre, e equipamentos 
descartados podem conter 
informações confidenciais
Ameaça Tipo de recurso vulnerável
Impacto para o objetivo de 
confidencialidade
Impacto para 
o objetivo de 
integridade
Impacto para o objetivo de 
disponibilidade
Falhas ambientais, 
incluindo queda 
da energia elétrica
Hardware
Serviços podem ser 
interrompidos e hardware 
pode ser danificado
59
GESTÃO E ANÁLISE DE RISCOS
Ameaça Tipo de recurso vulnerável
Impacto para o objetivo 
de confidencialidade
Impacto para 
o objetivo de 
integridade
Impacto para o objetivo 
de disponibilidade
Furto Equipamentos valiosos e portáteis
Equipamentos furtados 
podem conter informações 
confidenciais
Serviços podem ser 
interrompidos e dados 
podem ser perdidos
Vírus
Principalmente 
computadores 
pessoais conectados 
em rede
Dados podem ser 
corrompidos pelo 
vírus
Computadores infectados 
podem parar de funcionar, 
e dados importantes podem 
ser apagados
Hacking Todos os sistemas em rede
O objetivo dos hackers pode ser a quebra do sigilo de informações ou a 
indisponibilidade dos serviços (ataque do tipo DoS, Denial of Service), a 
alteração ou destruição de dados ou a utilização dos recursos informatizados 
da organização para realizar invasões a terceiros
Código escondido Todo o software
Código não autorizado 
pode levar ao vazamento 
de informações sigilosas, 
tais como senhas de acesso
Funções 
escondidas 
podem 
manipular dados 
indevidamente
Programas podem ser 
projetados para destruir 
dados ou negar acesso 
autorizado a serviços
Falha de hardware Todo o hardware
Hardware danificado 
pode ser enviado para 
manutenção contendo 
informação sigilosa
Dados podem 
ser corrompidos 
quando o 
hardware falha
Serviço indisponível
Falha de software Todo o software
A falha dos controles 
de acesso pode levar à 
divulgação indevida de 
dados e informações
Dados podem ser 
corrompidos Serviço indisponível
Erro humano Todos os sistemas
Funcionários podem 
divulgar acidentalmente 
informações sigilosas, por 
exemplo, enviando dados 
para a impressora errada
Funcionários 
podem 
inserir dados 
incorretamente
Funcionários podem 
destruir informações 
acidentalmente, danificar 
hardware ou interromper o 
funcionamento do sistema 
por erro de configuração
Fonte: Beal (2008 p. 20-21).
 Lembrete
Os gestores de riscos à segurança da informação devem estar atentos 
às principais ameaças que rondam e que podem aumentar os riscos para as 
organizações, devem, assim, consultar os relatórios de ameaças emergentes 
publicados pelas grandes empresas de consultoria em tecnologia.
 Saiba mais
O vídeo a seguir demonstra de forma objetiva as definições relacionadas 
aos riscos à segurança da informação:
ANÁLISE de risco: você já faz todo o tempo, talvez não tenha percebido. 
27 nov. 2020. 1 vídeo (39 min.). Publicado por Fique Seguro; Fabio Sobiecki. 
Disponível em: https://bityli.com/NS513. Acesso em: 14 abr. 2021.
60
Unidade II
3.2 Estabelecendo a metodologia de análise e avaliação de risco
O estabelecimento de uma metodologia de análise e avaliação de risco à segurança da informação 
requer aculturamento prévio da organização para não ser implantada de forma brusca, causando 
rejeição e impactos negativos, transformando algo benéfico em uma prospecção de fracasso.
Segundo Beal (2008), devemos decompor o risco em seus componentes e implantá-lo de forma 
gradual na organização, processo por processo, etapa por etapa.
A avaliação de risco e os componentes dessa decomposição, que levam à gestão do que Beal (2008) 
chama de “características mensuráveis” desses componentes, conduzem a uma estimativa do valor do 
risco, que depois será comparado com uma referência corporativa denominada de “critério de risco” a 
fim de determinar a sua relevância e auxiliar a tomada de decisão entre aceitar ou tratar o risco.
Atualmente existem diversas metodologias destinadas para realização de análise e avaliação de 
riscos, mas todas se classificam em dois modelos: quantitativa ou qualitativa.
 Observação
O desenvolvimento dos critérios de risco é influenciado por uma série de 
fatores, tais como políticas, objetivos e metas organizacionais, expectativas 
de clientes e stakeholders, e requisitos legais.
Quando a escolha da empresa leva ao método quantitativo de avaliação de riscos, a análise, segundo 
Galante (2015), tende a ser tratada de forma a quantificar as vulnerabilidades e/ou os impactos causados, e 
isso vem do conceito de que o risco é resultado da combinação de dois componentes básicos: a frequência 
de ocorrência e a severidade/impacto do evento; isso pode causar uma confusão, levando a erros conceituais 
entre análise de risco e análises de vulnerabilidades, que são coisas distintas.
Para Beal (2008), os métodos quantitativos de avaliação de risco à segurança da informação são bem 
aceitos quando se busca o equilíbrio entre custos de implementação e às medidas de segurança, em que 
é possível estimar o custo da não implantação de controles de segurança.
Anteriormente, estudamos o método de análise quantitativa de risco pelo cálculo da Expectativa de 
Perda Anual (ALE, do inglês Annual Loss Expectation).
O formato de cálculo do ALE vem da multiplicação da perda projetada para um incidente pela 
frequência esperada de ocorrência desse incidente.
A metodologia sustenta-se no princípio de que, durante um período de 12 meses, “n” incidentes vão 
ocorrer para cada tipo de ameaça, em que “n” pode ser uma fração, nos casos de incidentes menos frequentes.
61
GESTÃO E ANÁLISE DE RISCOS
Contando que para a segurança da informação cada incidente vai resultar em um prejuízo médio “i”, 
o cálculo do ALE será a resultante da equação “n x i”, assim, é possível decidir sobre os investimentos em 
segurança. Segundo Beal (2008), as medidas de proteção com um custo anual de “X” seriam justificadas 
em sua implementação caso representem uma expectativa de redução da ALE maior que “X”.
Os métodos quantitativos não são bem vistos pelos estudiosos, isso ocorre pelo simples motivo da 
dificuldade de obter resultados representativos, em que são necessários obrigatoriamente um controle 
confiável dos incidentes de segurança passados e os impactos financeiros a eles causados para assim 
garantir o processo. Mas, mesmo a área de gestão de incidentes sendo bem estruturada, existem prejuízos 
difíceis de contabilizar por não serem totalmente subjetivos, como exemplo, osdanos de imagem, em que temos 
exemplos extremos: o portal Yahoo tinha uma valor estimado de 125 bilhões de dólares, após um vazamento 
de dados e alguns desastres administrativos, foi vendido por menos de 5 bilhões; em contrapartida, 
o Facebook já teve os dados de seus clientes vazados algumas vezes e não amargou prejuízos dessa 
magnitude. Isso ocorre por inúmeras variáveis, que não se limitam apenas ao vazamento, é claro; 
decisões incorretas na estratégia de negócios também compõem esse prejuízo, mas fica difícil associar o 
quanto o fator financeiro remete ao vazamento de dados, o que torna os cálculos quantitativos de risco 
algo extremamente complexo, mesmo porque as condições e os cenários se alteram constantemente.
Beal (2008) afirma que a necessidade de medir os impactos monetários nem sempre representa uma 
expectativa realista e cita o exemplo da análise da expectativaanual de perda associada à interrupção 
do serviço em um site de comércio eletrônico, que, até certo ponto, seria simples, mas mesmo que fosse 
possível calcular a média do tempo previsto até a recuperação do serviço e a perda de receita a ela 
associada, como seria possível assegurar que o impacto financeiro causado resuma-se à perda imediata 
de receita? Pode ser que alguns ou muitos clientes insatisfeitos mudem de fornecedor após sofrerem 
uma ou mais falhas no serviço, dificilmente seria possível estimar de forma confiável essa perda com 
números exatos para adicionar ao cálculo da ALE, principalmente se as condições externas tiverem se 
alterado, como, por exemplo, se algum recente e poderoso concorrente tiver adentrado o mercado.
Embora existam muitas dificuldades, alguns estudiosos, como Schneier (2000), acreditam que esse 
tipo de análise pode ser importante para dar perspectiva às questões de segurança. Grandes falhas 
de segurança serão aceitáveis se a probabilidade de ataque em relação a elas estiver perto de zero, já 
pequenas falhas podem ter de ser eliminadas se forem objeto de 10 milhões de ataques por dia. Schneier 
(2000) ilustra esse ponto comparando duas situações:
• O risco de espionagem por um concorrente interessado em roubar os novos planos de design da 
empresa pode ter uma perda associada de US$ 10 milhões, mas se a frequência estimada 
de ocorrência for de, por exemplo, 0,001 (0,1% de probabilidade de ocorrência), o ALE cai para 
US$ 10 mil, desestimulando grandes investimentos em minimizar esse risco.
• A perda esperada para um incidente de invasão por hackers pode ser de apenas US$ 10 mil (custo 
estimado de contratar alguém para identificar e corrigir o problema e outras despesas envolvidas), 
mas se a frequência de ocorrência for alta, por exemplo, 3 vezes por dia, ou 1.000 por ano, a ALE 
62
Unidade II
seria de U$ 10 milhões, suficiente para justificar, por exemplo, a implantação de um hardware de 
U$ 25 mil para proteger a rede.
Os métodos qualitativos utilizam a descrição literal e integral dos riscos para avaliá-los, existem 
muitos métodos de avaliação quantitativa de riscos, a maioria utiliza questionários e matrizes de risco, 
assim como o exemplo do quadro a seguir.
Quadro 7 – Matriz de risco quantitativo
Gravidade do 
impacto
Probabilidade de ocorrência do incidente
F
Impossível
E
Improvável
D
Remota
C
Ocasional
B
Provável
A
Frequente
I
Catástrofe
II
Alta
III
Média
IV
Baixa
Imperativo reduzir o risco
Medidas de proteção adicionais requeridas
As medidas básicas de proteção adotadas pela organização são consideradas suficientes para manter os 
riscos em níveis aceitáveis
Adaptado de: Beal (2008).
No quadro anterior, está exemplificada a probabilidade de um incidente que apresenta seis níveis 
estimados de acordo com a frequência esperada da ocorrência ao longo do tempo em um período 
ou no nível de confiança na ocorrência do incidente; já a gravidade do impacto pode ser classificada 
de catastrófica quando o dano representa o fracasso da organização; a baixa, quando representa um 
ataque bem-sucedido que não foi capaz de provocar efeitos adversos consideráveis. Dessa forma, 
a matriz demonstra a combinação dessas duas esferas, confrontadas com critérios de risco previamente 
definidos, e leva à identificação dos riscos que, necessariamente, têm de ser reduzidos (nesse exemplo, 
pertencentes às células marcadas em vermelho e verde no quadro) pelo uso de medidas de proteção 
complementares aos controles básicos adotados pela organização.
Não é uma tarefa fácil para o profissional de segurança da informação identificar o método mais 
adequado para realizar a análise de riscos, e mesmo optar pelo uso do método quantitativo ou qualitativo 
entre as inúmeras abordagens ofertadas no mercado.
Os métodos de avaliação de risco geralmente têm um tema específico, por exemplo, tecnológico, 
ambiental, de segurança, de mercado, de crédito, entre outros. Não é incomum que uma análise de risco 
completa exija a combinação de diferentes métodos avaliativos, segundo Beal (2008), isso ocorre com a 
intenção de garantir uma análise mais abrangente do ambiente físico e lógico a ser protegido. A utilização 
63
GESTÃO E ANÁLISE DE RISCOS
dos métodos quantitativos é recomendada sempre que for cogitada a adoção de medidas de proteção de alto 
custo para a organização, e, nesse caso, uma estimativa de perda esperada pode ser comparada com o custo 
da solução almejada. Assim, é possível chegar à conclusão sobre o investimento proposto para reduzir o risco.
Galante (2015) expõe que a avaliação de risco qualitativa pode ser aplicada de forma preliminar 
a outras ferramentas de análise e avaliação de risco em que podem ser agrupadas, formando o que 
ele chama de RAC (risk assessement code – código de graduação do risco), que possibilita comparar e 
constatar diversos riscos entre si, evidentemente, partindo do pressuposto de que foram utilizados os 
mesmos critérios. Ainda segundo Galante (2015), a ferramenta de avaliação de risco qualitativa mais 
utilizada é a APR (análise preliminar de risco).
Segundo Beal (2008), os métodos qualitativos podem auxiliar as organizações que não dispõem de 
recursos financeiros, tecnológicos e de pessoas para executar a avaliação de risco aprimorada, trata-se 
de uma forma de análise simplificada que pode ser desenvolvida mediante a classificação do risco em 
critérios objetivos previamente estabelecidos para as principais ameaças identificadas.
No quadro a seguir, está exposto um processo de análise e avaliação de risco que inclui a tarefa 
de reunião extensiva de dados, agrupamento, processamento e relatório. Existem várias metodologias 
e ferramentas que podem levar à redução dos esforços de cálculo e de documentação, e podem ser 
essenciais para uma avaliação de risco detalhada e abrangente devido ao grande volume de dados 
coletados, armazenados, processados e documentados.
 Lembrete
É importante compreender que algumas análises de riscos podem ser 
simplesmente inviáveis sem a utilização de ferramentas automatizadas 
de análise de dados, que devem analisar centenas de milhares de dados e 
ramificações de dados.
Mesmo sendo de extrema utilidade, não substitui a necessidade de pessoal qualificado e experiente, 
e, portanto, não oferece soluções em si mesma, apenas uma estrutura na qual se ampara o trabalho.
O uso de cores e números na identificação do risco qualitativo pode ser recomendado para o rápido 
entendimento dos gestores.
Quadro 8 – Exemplo de critério de riscos qualitativos
Risco identificado Análise do ambiente
Confidencialidade, 
integridade e 
disponibilidade
Pontuação do risco
Baixo de 0 a 2 - verde 
Médio igual a 3 - Amarelo
Alto de 4 a 5 - Vermelho
Incidentes 
naturais: desastres 
causados por 
fogo, inundação, 
terremoto, furacão
As instalações estão situadas num local seguro, 
protegido contra incêndio. Não existe histórico da 
inundação, terremoto e furacão na área
Integridade e 
disponibilidade 0
As instações apresentam problemas na rede elétrica 
e não possuem dispositivos de segurança contra 
incêndio. Os principais recursos estão no subsolo e 
correm risco quando há muita chuva
Integridade e 
disponibilidade 4
64
Unidade II
Risco identificado Análise do ambiente
Confidencialidade, 
integridade e 
disponibilidade
Pontuação do risco
Baixo de 0 a 2 - verde 
Médio igual a 3 - Amarelo
Alto de 4 a 5 - Vermelho
Falhas ambientais 
como temperatura 
excessiva e queda 
de energia elétrica
A organização está dotada de equipamentos 
nobreak, geradores e ar-condicionado, e não existe 
histórico de falhas ambientais
Disponibilidade 0
Problemas com a rede elétrica e outras falhas 
ambientais têm-se mostrado frequentes e com 
sérias consequências para a disponibilidade dos 
sistemas
Disponibilidade 4
Furto
Não existem equipamentos portáteis do tipo 
notebook, e a segurança interna é bastante rígida, 
não havendo histórico de furto de equipamentos ou 
componentes
Confidencialidade,integridade e 
disponibilidade
0
O acesso de estranhos não é controlado, os 
funcionários utilizam notebooks em viagens, ou já 
foram registradas ocorrências de furto ou perda de 
equipamento
Confidencialidade, 
integridade e 
disponibilidade
5
Adaptado de: Beal (2008).
Segundo Beal (2008), qualquer que seja a abordagem escolhida, é importante que as avaliações de 
risco sejam efetuadas por pessoas capacitadas com as seguintes habilidades:
• entendimento aprofundado do papel e da importância dos ativos de informação sob análise para 
a organização;
• formação técnica nas áreas que estão sendo avaliadas;
• experiência de aplicação de princípios, procedimentos e práticas de segurança da informação;
• experiência na metodologia de análise e avaliação de risco a ser empregada, e conhecimento das 
suas limitações.
Não é incomum análises de riscos fadadas ao fracasso, um exemplo dessa situação descrita por Beal 
(2008) mostra que os gestores devem estar atentos a essas falhas, que podem levar ao insucesso das 
avaliações de risco e podem, como consequência, levar à proteção inadequada dos ativos informacionais.
 
Uma avaliação do risco realizada numa empresa fortemente dependente 
da TI para realizar seus negócios pontuou como desprezível o risco de 
danos causados por água em suas instalações, já que a empresa se 
localizava em um andar intermediário de um edifício, o que a colocava a 
salvo de eventuais enchentes e não apresentava nenhuma vulnerabilidade 
aparente nas instalações hidráulicas. O resultado da análise de risco levou 
à realização de investimentos em outras áreas de proteção física, como 
alarme contra incêndio e controle eletrônico de acesso às instalações 
computacionais, mas um vazamento de água ocorrido num final de 
semana em outra empresa do andar superior acabou provocando uma 
65
GESTÃO E ANÁLISE DE RISCOS
infiltração no teto da sala de servidores. Foram necessários vários dias para 
recuperar todos os serviços, em função dos danos causados ao hardware 
pela água (BEAL, 2008, p. 26).
3.3 Tratamento dos riscos à segurança da informação
Para melhor eficácia das análises de risco à segurança da informação, os testes de simulação de 
ataque ajudam a verificar o nível de proteção existente na organização naquele determinado instante.
Esses testes verificam a qualidade dos controles elaborada pela simulação de ataque internos e 
externos que podem ser abrangentes ou ter um objetivo fixo, como exemplo, verificar as permissões de 
acesso aos sistemas ou o grau de conhecimento dos funcionários sobre segurança da informação, suas 
ameaças e ataques.
Exemplos de testes de ataque podem utilizar especialistas para confrontar as permissões consentidas 
tentando invasões a sistemas por ataques de escalonamento de permissões de acesso, verificando, 
assim, falhas na segregação de funções ou permissões consentidas incorretamente e no caso do teste 
de ataque ao programa de educação e conscientização em segurança da informação, em que é possível 
realizar testes de engenharia social para descobrir senhas, testes de envio de phishing aos funcionários 
ou tentativas de acesso físico enganando funcionários.
Após análises, avaliações, categorizações e testes referentes aos riscos identificados, é necessário 
classificar e adotar as medidas mais adequadas aos ativos de informações a serem protegidos, lembrando 
que essa decisão deve considerar os mais diversos fatores estudados anteriormente, mas principalmente 
o custo da proteção em relação ao valor da perda pelo impacto e o próprio valor do ativo a ser protegido, 
tudo isso relacionado à frequência, ou seja, à probabilidade de ocorrer.
Muitas classificações estão disponíveis para as medidas de proteção a serem utilizadas para reduzir 
os riscos de segurança da informação. Beal (2008) sugere a seguinte classificação:
• Medidas preventivas: controles que diminuem a probabilidade de uma ameaça ocorrer ou que 
reduzem o nível de vulnerabilidade do ambiente/ativo/sistema, reduzindo, assim, a probabilidade 
de um ataque e/ou sua capacidade de gerar efeitos negativos na organização.
• Medidas conetivas ou reativas: reduzem o impacto de um ataque/incidente. São medidas 
tomadas durante ou após a ocorrência do evento.
• Métodos detectivos: expõem ataques/incidentes e disparam medidas reativas, tentando evitar a 
concretização do dano, reduzi-lo ou impedir que se repita.
66
Unidade II
 Ameaças + Vulnerabilidades Ataque Incidente Impacto
Métodos detectivos
Medidas preventivas
Medidas reativas
Invasão
Acesso indevido
Inserção incorreta 
de dados
Monitoração da rede
Sistemas de detecção de intrusos
Auditorias
Desencadeiam
Exploram Realizam
Ação legal
Restauração do serviço
Procedimento de resposta a 
incidentes
Erro humano
Desastres naturais
Fraudes, invasão, 
espionagem etc.
Destruição de dados
Perda de integridade
Divulgação indevida
Quebra de equipamento
Pessoal mal treinado
Instalações desprotegidas
Controles inadequados
Política de segurança
Controles de acesso físicos e lógicos
Programas de conscientização e treinamento
Prejuízo financeiro
Prejuízo de imagem
Perda de eficiência
Figura 20 – Componentes do risco e medidas de proteção usadas para reduzi-lo
Para a medida executada, a análise e avaliação de risco, é necessário definir o que deverá ser realizado, 
ou seja, a melhor decisão sobre as medidas a serem tomadas. No próximo quadro, está demonstrado 
como podem ser tomadas essas decisões e as medidas de segurança da informação.
Quadro 9 – Exemplos de medidas preventivas e reativas
Ameaça Medidas preventivas Medidas reativas Métodos detectivos
Fraude 
Supervisão gerencial, 
segregação de funções, 
controle efetivo de senhas e 
permissões de acesso
Interrupção de 
pagamentos suspeitos, 
investigação interna, 
denúncia à polícia
Auditoria de logs, análise de trilhas de 
auditoria, conciliação de valores
Furto de 
equipamentos Controles de entrada e saída
Investigação interna, 
denúncia à polícia
Inventário periódico, controle de 
entrada e saída
Fonte: Beal (2008, p. 28).
A ABNT NBR ISO 27001 (2018) considera como fundamentais para o tratamento dos riscos a visão 
legal, a proteção de dados e a privacidade das informações pessoais, a salvaguarda dos documentos 
organizacionais e dos direitos à propriedade intelectual e, do ponto de vista das melhores práticas, 
a elaboração da política de segurança da informação, bem como a formalização de uma norma de gestão 
de riscos corporativos e a definição de um programa de conscientização e educação em segurança da 
informação, visando o aculturamento e a definição dos papéis e responsabilidades referentes à gestão 
dos riscos corporativos.
67
GESTÃO E ANÁLISE DE RISCOS
Segundo Beal (2008), esses aspectos de segurança devem ser considerados sabendo que nem todos 
os controles estabelecidos na ABNT NBR ISO 27001 (2018) devem ser implantados. Isso depende da 
estrutura e da cultura organizacional, bem como da análise de custo-benefício da implantação, e, com 
a certeza, de que todos os requisitos identificados estejam definidos em diretrizes internas, na legislação 
vigente ou na própria avaliação de risco, bem como nos impactos financeiros e não financeiros (para a 
credibilidade, imagem, entre outros associados).
3.3.1 Critérios de aceitação de risco
Após selecionadas as medidas de proteção a serem aplicadas, é necessário que seja estabelecido 
um plano corporativo de comunicação para o risco residual com o aval da alta direção, de modo a 
garantir que seja entendido e aceito pelos responsáveis da organização, e, no caso de não aceitação, 
medidas devem ser implementadas em forma de controles adicionais escolhidos para diminuir o risco 
remanescente. Por exemplo, uma solução com mais um fator de autenticação chamado de “duplo fator 
de autenticação implantada de forma complementar” e redução do risco de comprometimento de um 
dos fatores.
Segundo Beal (2008), ao decidir pela aprovação ou não por uma solução, a executiva precisaconsiderar o risco associado a uma falha de segurança leve de comprometimento de um dos fatores de 
autenticação que pode comprometer vários outros ambientes computacionais, e não apenas alguns dos 
recursos. Sendo assim, é possível, no entanto, que este possa ser minimizado por medidas adicionais, 
como a criação de dois fatores de autenticação, revezando-os: “o que você é – biometria”; o “que você 
tem – token, certificado digital”; ou “o que sabe – senha”.
A decisão tem um custo de implantação que também deve ser considerado e devidamente aprovado 
pela alta direção, tudo isso também deve ser comunicado, demonstrando onde os riscos interligam-se e 
quais os sistemas que podem ser comprometidos. Uma vez que a aceitação de um risco pode comprometer 
outros ativos ou sistemas, tudo isso deve estar devidamente mapeado aos gestores para quando a decisão 
final for tomada. O entendimento claro das implicações de segurança devem mais do que facilitar 
as decisões e subsidiá-las de forma completa, e, quando for o caso, devem demonstrar as despesas 
adicionais necessárias para implantação dos controles que garantam a manutenção dos riscos dentro 
dos níveis anteriormente definidos, os chamados níveis aceitáveis de risco.
Dessa forma, a gestão de riscos deve ser desenvolvida de maneira que esteja permanentemente 
interativa e cíclica, e assim acompanhar as mudanças nos sistemas e na forma como são usados 
nos perfis dos usuários, no ambiente, na tecnologia, nas ameaças, nas vulnerabilidades e em 
temas variáveis pertinentes, que não tornem obsoletos os requisitos de segurança estabelecidos. 
A organização deve programar revisões periódicas da análise de risco e recalcular as estimativas de risco 
sempre que seja constatada alguma mudança organizacional com implicações sobre a segurança dos seus 
ativos de informação.
68
Unidade II
4 FERRAMENTAS DE ESTUDO DO RISCO
Conforme vimos, no processo de gestão de risco, um procedimento muito importante é a avaliação 
de risco, que é realizada por meio da utilização de ferramentas que devem representar o cenário a ser 
avaliado. É muito comum que as fases da análise e da avaliação sejam tratadas pela mesma ferramenta, 
juntando a análise e a avalição dos riscos em um único procedimento. Podemos destacar como literatura 
as obras de Hammer (1993) e Hammer e Price (2000), que são mencionadas em diversos artigos e 
manuais de avaliação de risco. Isso se deve porque os estudos de Hammer sobre os conceitos de 
risco serviram de base para a criação das ferramentas de análise e avaliação de riscos disponíveis. 
Esses autores demonstraram vários conceitos de ferramentas de análise e avaliação de risco, que, vistas 
de maneira geral, podem ser categorizadas em duas formas:
• Análise de risco em árvores.
• Análise de risco em planilhas.
Os esquemas de análise de risco em árvores estão focados na determinação da cadeia de eventos, 
bem como em trabalhar, determinar, a frequência de ocorrência (probabilidade) para um risco. A TNO, 
em seu “Red Book” (Schuller et al., 1997), apresenta a técnica de análise de árvore de falhas, que é 
um exemplo válido da técnica da “análise de árvores”. Árvores de falha podem aumentar seu nível de 
complexidade por meio de uma abordagem estatística baseada na média e no desvio padrão para cada 
probabilidade utilizada nos cálculos.
O outro esquema a ser considerado está representado em forma de planilha. Entre os diversos 
esquemas de planilha, os mais utilizados para identificação preliminar dos riscos estão em Defence 
(1980; 1993; 2000; 2012). Outras ferramentas de análise por planilha têm o objetivo de estabelecer o 
entendimento do risco e estabelecer uma hierarquia entre os vários e diferentes riscos, permitindo a 
implementação de um conjunto mais eficiente de ações mitigadoras. Muitos sistemas de avalição de 
risco são ferramentas sob forma de planilhas.
Existe uma enorme variedade de regimes de matrizes de risco, mas Galante (2015) destaca a APR.
 
A maioria dos modelos de análise de risco aborda o problema usando o 
princípio da compartimentação, estudando os subsistemas e subcomponentes, 
em nome da simplicidade em cenários (sistemas) complexos. Esta 
“compartimentalização” é feita através do estabelecimento das fronteiras do 
cenário. Essas fronteiras podem definir subáreas para a análise, subsistema, 
subcomponente ou mesmo dividir o “alvo” da análise usando “nós” (pontos 
notáveis através do fluxograma do processo (GALANTE, 2015, p. 84).
Ainda Segundo Galante (2015), um bom exemplo de técnica é o HazOp (estudo de perigos e 
operabilidade), que utiliza o princípio de “nós” para “cortar” os fluxos de matéria e energia e analisar 
o risco envolvido em cada etapa da atividade (assumindo que nenhum risco elencado “ocorreu” no 
“nó” anterior).
69
GESTÃO E ANÁLISE DE RISCOS
Mas também existem outras técnicas que, ao contrário do HazOp, são de análise e avaliação de risco e 
abordam o problema de forma sistêmica: como a soma de seus subsistemas onde há seus componentes, 
como exemplo da FMEA e APR.
Mesmo assim, o HazOp pode ser utilizado em uma forma híbrida, onde se usam as premissas de 
investigação do HAzOp com matrizes de risco da APR.
A escolha da abordagem profissional nos estudos de risco pode levar às ferramentas de avaliação 
disponíveis, proporcionando resultados de saída que podem resultar em saídas qualitativas ou 
quantitativas do risco. Quando a escolha é a abordagem qualitativa, não existirá hierarquia entre os 
diversos riscos avaliados, sendo vagos com o risco; ainda tem o fato de que pode falhar em estabelecer 
qual a prioridade de implementação entre as ações de mitigação selecionadas.
Dessa forma, as ferramentas de análise e avaliação de risco podem ser classificadas, simultaneamente, 
em duas categorias distintas:
• Qualitativa ou quantitativa.
• Planilha ou árvore.
Quadro 10 – Classificação das ferramentas de análise de risco
Análise sob forma de planilha Análise sob a forma de árvore 
Análise qualitativa
HazOp
FMEA
Série de risco 
Análise quantitativa
APR
Matriz de relevância 
Árvore de eventos
Fonte: Galante (2015, p. 85).
A decisão sobre a ferramenta a ser utilizada independe de esta seguir uma abordagem qualitativa 
ou quantitativa, dependerá da disponibilidade de dados anteriores, bem como pessoal qualificado para 
realizar a análise.
Evidentemente que, em qualquer caso, a análise quantitativa deve ser preferida em vez de 
qualquer análise qualitativa pelos motivos anteriormente expostos; todavia isso depende muito, 
como vimos anteriormente, às vezes, são extremamente complexas e, muitas vezes, inconclusivas as 
análises quantitativas de riscos à segurança da informação devido às dificuldades de conseguir os 
valores exatos dos impactos e dos incidentes de segurança da informação. Mas, quando analisadas 
as ferramentas de análise e avaliação de risco de uma maneira geral, se podem combinar os pontos 
fortes de cada uma devidamente adaptados ao cenário estudado.
70
Unidade II
Quadro 11 – Abordagem das ferramentas de análise de risco
Formato da análise Descrição
Análise em planilhas
Destacam-se o HazOp e o FMEA. O HazOp é muito apropriado quando existe qualquer 
processo de fluxo para aplicarem-se os “nós”. Sabe-se que um diagrama de caixas 
pode representar cada fase de cada tarefa e, dessa forma, pode ser usado como um 
“fluxograma” para efeitos de aplicação do HazOp, assumindo-se que os níveis de risco 
justifiquem essa abordagem. O FMEA foca em analisar o modo de falha de um sistema, 
portanto, é mais adequado para máquinas ou equipamentos
Análise em árvore 
Todas as ferramentas de avaliação dessa categoria prestam-se para definir uma 
cadeia de eventos, ignorando as consequências desse evento. Essa análise pode ser 
realizada qualitativamente (estabelecimento de nexo causal) ou quantitativamente. 
Nas abordagens quantitativas, busca-se determinar um valor para a frequência 
(probabilidade) de ocorrência de um evento. Ferramentas de análise de risco que se 
enquadremnessa categoria ignoram o componente “severidade” do risco
Esquemas matriciais
A forma desse sistema de abordagem dos riscos torna-o o mais flexível de todos 
eles. Essas ferramentas tratam as componentes do risco (frequência e severidade) 
independentemente, combinando-as para determinar o RAC (Risk Assessment Code). 
Destaca-se a técnica da APR conforme apresentada na MIL STD 882 (DEFENCE, 1993; 
2000; 2012) como exemplo de esquema matricial
Adaptado de: Galante (2015, p. 86).
Entre as mais variadas ferramentas ou metodologias aplicadas atualmente em análise de riscos, 
bem como para estabelecer medidas redutoras, entre as técnicas de análise mais comuns aplicadas em 
estudos iniciais de risco, se podem destacar:
• Matriz de relevância.
• Estudo de causas e efeitos.
• Análise probabilística de segurança (APS).
• Análise preliminar de perigos (APP).
• Estudo de perigos e operabilidade (HazOp).
• Análise de modos e efeitos de falhas (FMEA).
Segundo Vincoli (2006), destaca-se, todavia, que, ao longo dos anos, muitos métodos e técnicas 
têm sido desenvolvidos para a gestão dos riscos de processos, favorecendo, inclusive, a melhoria deles. 
Mesuram-se as seguintes metodologias para identificação e análise de riscos:
• Análise Preliminar de Risco (APR) ou Preliminary Hazard Analysis (PHA).
• Análise de Perigo de Sistema (APS) ou System Hazard Analysis (SHA).
• Análise de Perigo do Subsistema (APSS) ou Sub-System Hazard Analysis (SSHA).
71
GESTÃO E ANÁLISE DE RISCOS
• Análise de Perigo da Operação e Suporte ou Operating and Support Hazard Analysis (O&SHA).
• Análise Crítica dos Efeitos dos Modos de Falhas (FMECA) ou Failure Mode and Effect Analysis (FMEA).
• Análise de Árvore de Falhas (AAF) ou Fault Tree Analysis (FTA).
• Análise/Avaliação do Perigo Funcional ou Fault (or Functional) Hazard Analysis (FHA).
• Management Oversight and Risk Tree (MORT).
• Energy Rrace and Barrier Analysis (ETBA).
• Sneak Circuit Analysis (SCA).
• Software Hazard Analysis (SWHA).
• Common Cause Failure Analysis (CCFA).
• Análise de Causa e Efeito ou Cause and Effect Analysis (CEA).
• Análise de Árvore de Eventos (AAR) ou Event Tree Analysis (ETA).
• Análise por Situação Numérica Aleatória ou Random-Number Simulation Analysis (RNSA).
• Listas de verificação (checklists).
• Estudo “E se...” ou What if Study.
• Análise Preliminar de Perigos (APP).
• Análise de Modos de Falhas e Efeitos (AMFE, ou FMEA, em inglês).
A ferramenta da matriz de relevância é uma técnica de priorização que, segundo Haddad et al. (2012), 
os riscos que foram anteriormente identificados são preliminarmente avaliados utilizando um formato 
de hierarquização e posteriormente ponderados com os números dos ativos de informação expostos, 
estabelecendo as relevâncias dos ativos de informação em risco.
A principal vantagem dessa ferramenta é que ela é extremamente útil quando existem diversos 
ativos a serem avaliados e devidamente mitigados. Nesse contexto, utiliza-se a matriz de relevância para 
evitar a aplicação de recursos em riscos menos relevantes, mesmo que aparentemente mais severos.
O estudo de causa e efeito, segundo Galante (2015), é uma técnica que objetiva a definição de 
um nexo causal entre os riscos e suas consequências. Essa técnica considera a aplicação de perguntas 
como “o que acontecerá se”, e, dessa forma, determina o risco de maior importância. Na elaboração das 
72
Unidade II
sequências, os riscos são apresentados em uma ordem, e, a partir dos riscos iniciais, todos os riscos são 
mapeados e contribuem na ordem que vai levar finalmente ao risco principal e aos possíveis danos.
Quando a análise probabilística de segurança é utilizada, se pode afirmar que a análise de 
eventos estuda a sucessão de causas primordiais para a concretização de um incidente e um impacto. 
Dessa forma, é estruturada a sucessão de todas as causas prováveis, em que é devidamente calculada a 
probabilidade de cada causa acontecer de forma isolada, e por meio da análise matemática calcula-se 
a possibilidade de o evento selecionado ocorrer. Essa análise pode ser utilizada em estudos de grande 
importância, tais como, por exemplo, cálculos de risco de acidentes nucleares.
Segundo Galante (2015), a análise preliminar de riscos (APR) busca compreender os perigos potenciais 
resultantes da instalação de novas unidades, sistemas ou da operação de unidades e sistemas em produção. 
Essa metodologia se preocupa em examinar possíveis eventos identificados, causas, métodos de detecção 
disponíveis e seus efeitos sobre o ambiente. Muito além disso, são sugeridas medidas preventivas e/ou 
redutoras dos perigos com a intenção de eliminar as causas ou mitigar as consequências dos cenários 
de incidentes identificados.
Por meio da APR, são levantadas as causas que ocasionam a ocorrência de cada um dos incidentes e 
suas respectivas consequências. Isso relacionado à disponibilidade de informações, em que é realizada a 
avaliação pseudo-quantitativa da frequência da ocorrência do cenário de incidente e de severidade/impacto 
das consequências associadas ao risco.
Para Galante (2015), o estudo de perigos e operabilidade, conhecido como HazOp, tem como 
objetivo identificar as ameaças e os problemas de operabilidade de uma instalação de processo. Nessa 
metodologia, que é bem estruturada, utilizam-se procedimentos geradores de questões sistemáticas, 
valendo-se do uso apropriado de um conjunto de palavras comuns aos riscos.
O desenvolvimento dessa técnica é a investigação de forma criteriosa e metódica de cada seguimento 
de um processo com o intuito de descobrir todos os possíveis desvios das condições normais de operação, 
identificando as causas responsáveis por esses desvios e as respectivas consequências. A vantagem 
dessa análise é estar relacionada com a sistematicidade, flexibilidade e abrangência para a identificação 
de perigos e problemas operacionais. Todavia, deve-se lembrar que essa metodologia demanda muito 
tempo, dedicação e conhecimentos sólidos sobre o processo analisado.
Em relação à análise de modos e efeitos de falhas (FMEA), a sigla vem do inglês faltare mode and 
effects analysis. É uma técnica para ser aplicada principalmente a componentes cujo objetivo principal é 
detalhar cada um dos componentes de um sistema levantado a probabilidade de ocorrer falhas naqueles 
de sistemas complexos. As probabilidades levantadas por meio dessa técnica serão de grande valia na 
confecção da técnica da árvore de falhas.
Segundo Galante (2015), é importante integrar a análise de risco ao processo de gestão. Uma forma 
eficiente de realizar o programa de gestão do risco é utilizando ferramentas de análise de risco para identificar 
os pontos fortes a melhorar na metodologia adotada. Assim, os riscos identificadosserão analisados, 
a princípio, com o uso de ferramentas mais simples de maneira a reduzi-los. Conforme são avaliados em 
73
GESTÃO E ANÁLISE DE RISCOS
cada fase do modelo de gestão de ferramentas mais complexas, estas serão aplicadas para complementar 
os conhecimentos sobre os riscos.
Existem diversas formas de estruturar um programa de gestão de risco. Uma muito eficiente é 
utilizando a técnica de “What if” (ou dos estudos de causa e efeito) na primeira fase e a APR nas fases 
posteriores (matricial ou simples). Sendo assim, a “What if” se comportará como um filtro para a APR. 
Na figura a seguir, está descrito o procedimento, em forma de fluxograma, que detalha de maneira 
lúdica o processo.
 Lembrete
O desenvolvimento da matriz de relevância tem o objetivo de estabelecer 
prioridade de tratamento dos riscos identificados atacando aqueles que 
hierarquicamente são mais latentes.
Risco aceitável
Risco representativo
Risco representativo
Análise dos riscos por meio da 
APR simples
Desprezar o risco ou aguardar 
fase de reavaliação
Análise dos riscos por meio da 
série de riscos
Análise dos riscos por meio da 
APR matricial (empregando 
categorias de frequência e 
severidade)
Redefinir o graude significância dos 
riscos identificados de forma a elevar 
o quantitativo de riscos a serem 
analisados
Análise dos riscos por meio da 
APR simples
Elaborar e implementar plano de 
ação objetivando mitigar 
os riscos
Figura 21 – Fluxograma escalonado para estudo do risco
S
S N
N
N
S
74
Unidade II
 Observação
É possível consultar de forma ampla a análise de riscos à segurança 
da informação nos balanços patrimoniais das organizações. Elas declaram 
anualmente suas políticas de gestão e tratamento dos riscos aos interessados 
demonstrando a seriedade com que o assunto é tratado.
Na figura a seguir, está disposta em forma de fluxograma uma metodologia completa de riscos.
Definição do escopo 
das análises
Realização das análises
preliminares de risco (APR)
Realização das análises 
dos riscos selecionados 
usando HazOP
Detalha as processos além 
de gerar os conhecimentos 
dos diversos riscos para cada 
combinação de desvio de 
palavra-chave
Gerados os conhecimentos dos 
diversos riscos, suas causas e 
consequências prováveis
Análise dos riscos 
cibernéticos
Análise da
frequência
Análise por meio 
da metodologia de 
árvore
Análise da 
severidade
Determinação 
das severidades 
usando modelagens 
matemáticas do 
fenômeno
Análise dos riscos à 
segurança da informação
Análise da 
vulnerabilidade
Determinação das respostas 
dos cenários utilizando 
modelos de Probit
Seleção dos riscos mais 
relevantes, os quais são 
analisados com ferramentas 
superiores à APR
Figura 22 – Fluxograma: metodologia de avaliação completa de risco
Segundo Galante (2015), analisar e gerenciar os riscos em eventos complexos não é tarefa simples 
ou óbvia, depende diretamente dos aspectos do risco e do cenário em questão.
A abordagem preliminar para analisar e avaliar os riscos é estudar a fonte deles. No caso de um 
ataque de DDoS, essa fonte se caracteriza pelo fato de o servidor web estar exposto na própria internet. 
75
GESTÃO E ANÁLISE DE RISCOS
A análise preliminar objetiva estabelecer os contextos nos quais essa fonte está inserida, bem como 
entender suas características. Nesse caso, uma técnica de análise de risco do tipo planilha é indicada em 
detrimento da técnica da APR. Os resultados obtidos pela APR indicam quais as causas e consequências 
prováveis de um incidente que envolve a fonte dos riscos, incluindo quais são as prováveis causas de 
ataques desse tipo. Na sequência do processo de gestão dos riscos, os conhecimentos obtidos através da 
APR podem ser usados como base para análises de riscos com maiores graus de complexidade.
Segundo Galante (2015), por a fonte dos riscos (redes botnet, ativistas e exposição) assemelharem-se 
às instalações de redes de perímetro, o HazOp destaca-se entre todas as ferramentas de análise de riscos 
disponíveis. Segundo Rausad, Hoyland e Hazop (2011), Galante (2015), Costa e Nóbrega (2014), Preston 
e Tyler (2000), Kletz (1997) e Dunjó et al. (2010), o HazOp, apesar de apresentar resultados qualitativos, 
demonstra resultados detalhados das causas e consequências de falhas em cada ativo de informação, 
configuração dos servidores web, sistemas operacionais de servidor, Firewall e demais ativos do sistema 
no qual a aplicação está inserida. Assim, o gestor de riscos já dispõe de dados suficientes sobre causas e 
consequências envolvendo o servidor web para decidir e implementar medidas mitigadoras. Contudo, esses 
resultados ainda são de natureza qualitativa e focados na análise da fonte do risco.
Segundo Galante (2015), esses resultados qualitativos podem ser desdobrados em resultados 
específicos e quantitativos. Sendo assim, as “causas” e “consequências” (efeitos) são tratadas de forma 
isolada. As “causas” podem ser estudadas valendo-se das ferramentas do tipo “árvore”. Os resultados obtidos 
nas APR e no HazOp são utilizados para definir quais hipóteses de incidentes devem ser consideradas, 
e, para cada hipótese, é desenvolvida uma “árvore”. Caso as análises preliminares e do HazOp forem 
desenvolvidas corretamente, a hipótese de um ataque foi devidamente considerada. Primeiramente essa 
“árvore” desenvolve-se estabelecendo a sucessão de causas que conduzem à materialização da hipótese 
do incidente-alvo do escopo. No caso do servidor web, terminado o desenvolvimento de várias árvores 
de causas e efeitos, estas podem ser analisadas.
Essa análise ajuda a definir quais norteiam as sequências dos eventos de hipóteses dos incidentes 
principais (entre as quais, o DDoS deve ser incluído). Dessas árvores, será, então, desencadeada a análise 
de causas qualitativas para quantitativas. Esse processo ocorre determinando, definindo e arbitrando as 
probabilidades de ocorrência de cada causa-base identificada nas árvores. Quando todas as causas-base 
estiverem com seus valores e probabilidades definidos, a árvore de causas pode ser calculada e um valor 
para a probabilidade de ocorrência da hipótese de incidente pode ser determinado. Nesse momento, 
já é possível apresentar um valor de probabilidade para a ocorrência de cada hipótese do incidente 
relacionado nas análises de planilha.
Para Galante (2015), a probabilidade se relaciona com a variável “frequência” do risco. Falta agora 
decidir modelar a “severidade” de cada hipótese de incidente. As hipóteses de incidente podem ou não 
ter a severidade modelada. Dependendo das relevâncias dessas hipóteses de incidentes, os resultados 
das análises de planilha e árvore podem ser suficientes para permitir ao gestor de riscos implementar 
as medidas mitigadoras e de controle necessárias. Mas, caso a severidade seja de interesse para a 
hipótese de incidente (DDoS), a modelagem passa pelo cálculo efetivo do fenômeno. Esse cálculo 
passa pela solução dos sistemas de equações de Probit. A partir dessa informação, é possível decidir 
que hipótese usar e como, próximo ao evento real, serão os resultados da simulação.
76
Unidade II
 Saiba mais
O vídeo a seguir demostra de maneira simplificada o cálculo da 
probabilidade:
CÁLCULO de probabilidades. 25 jun. 2016. 1 vídeo (9 min.). Publicado 
por Equaciona com Paulo Pereira. Disponível em: https://bit.ly/3a6opPp. 
Acesso em: 14 abr. 2021.
4.1 Mapa de riscos: ferramenta de identificação
Segundo Galante (2015), os mapas de riscos são instrumentos de identificação de riscos presentes em 
qualquer tipo de risco a ser analisado. O mapa de riscos é de elaboração obrigatória caso a organização 
queira ter uma forma de visualização rápida dos riscos mais relevantes.
O mapeamento de riscos visa avaliar o tipo de risco e o grau de severidade presente, qualitativamente. 
Os mapas de riscos podem ser complexos ou simples, abranger grandes estruturas ou até mesmo 
processos específicos de segurança.
Não existe um padrão de mapa de riscos a ser seguido. Dessa forma, serão abordadas mais de uma 
opção para elaborá-los.
Uma das formas para estabelecer os mapas de risco é a classe de risco em que os procedimentos de 
elaboração dos mapas de riscos encontram-se determinados em documentos regulatórios. Nesse caso, 
usava-se o código de cores para as cinco categorias de riscos:
Muito 
alto
Alto
Moderado
Baixo
Muito baixo
Figura 23 – Classes de riscos
77
GESTÃO E ANÁLISE DE RISCOS
Quando o mapa é desenvolvido, a identidade visual para cada classe de risco é de extrema importância 
no cumprimento dos objetivos a fim de facilitar a identificação dos riscos por qualquer pessoa que os 
observe. Sendo assim, o emprego do código de cores é um recurso de grande valia.
Quadro 12 – Grupos de riscos
Grupo 1
Muito alto
Grupo 2
Alto
Grupo 3
Moderado
Grupo 4
Baixo
Grupo 5
Muito baixo
Vírus Interno Ramsomware Atentado à bomba Maremoto
Humano Perda de dados Botnet Pichação Tsunami
Invasão Indisponibilidade Malwares Enchentes Furacão
SQL injection Multas Falta de energia Greves Tornado
RAT Falta de conformidade Ausência de backup Terrorismo cracker Terremoto
Os graus de risco devem ser gerados e comparados entre si ou usando as ferramentas deanálise de risco ou 
gerando um valor consensual. O mais preciso seria obter o grau de risco através da matriz de decisão gerada 
utilizando análises de frequência e severidade, porém essas análises demandam tempo, dedicação e 
estudos. De forma mais geral, os responsáveis pelo mapeamento de riscos em empresas utilizam-se de 
valores consensuais e graduados em três níveis: pequeno, médio e grande.
4.2 Matriz de relevância
Segundo Galante (2015), a metodologia da matriz de relevância é uma valiosa ferramenta na determinação 
de priorização entre os vários riscos, perigos e setores dentro de um determinado sistema ou processo. 
A abordagem da matriz de relevância fundamenta-se no conceito de risco como uma função do seu 
impacto e da probabilidade de ocorrência. Quando utilizada a matriz de relevância, o fator probabilístico 
é representado pelo número de ativos de informação expostos ao risco, enquanto o fator impacto é 
matematicamente representado por uma classificação numérica dos riscos, a ser detalhado posteriormente.
A aplicação do método de construção da matriz de relevância inicia-se dividindo a empresa/local/cenário 
a ser analisado em partes (chamadas de “setores”); segue-se a isso a identificação dos riscos da 
empresa/local/cenário. Cada setor será representado como uma linha na matriz de relevância seguida pelo 
número de ativos de informação inventariada no setor. As colunas são ordenadas para os riscos identificados, 
sendo uma coluna (Ha) para cada risco, variando de 1 até x.
Quando encerrada a construção dos contornos da matriz de relevância, inicia-se a etapa de 
preenchimento da matriz. No preenchimento, é necessário observar o binômio ativo-setor, determinado um 
“código de risco” (do inglês RAC – Risk Assessment Code). O código de risco deve seguir um critério simples 
que varia de acordo com o cenário, com a disponibilidade de dados ou mesmo com a precisão requerida.
O importante é que os critérios devem ser consistentes em toda a matriz, bem como serem capaz 
de fornecer uma classificação numérica. Quando se refere a riscos inerentes, os critérios podem ser 
estabelecidos com base na percepção do risco e nos limites de tolerância estabelecidos previamente 
pela organização.
78
Unidade II
Quadro 13 – Proposta de códigos de risco
Código do risco Descrição
0 Risco inexistente 
1 Baixa exposição ao risco
2 Exposição moderada ao risco
3 Alta exposição ao risco
4 Exposição muito alta ao risco
5 Exposição intolerável ao risco 
É importante salientar que os critérios para definição da proposta de códigos de risco podem, 
dependendo da área de atuação, ter uma imposição legal, mas, no caso da segurança da informação, 
essa proposta deve partir de uma comissão interdepartamental que vai em conjunto definir um modelo 
alinhado com a estratégia corporativa estabelecida para os códigos de risco.
Segundo Galante (2015), quando o assunto é a matriz de relevância, os riscos são analisados em 
cada ativo de informação. Cada posição determinada dentro da matriz corresponde ao risco de um 
determinado ativo de informação, ou seja, o valor escrito na posição (i, j) da matriz representa o código 
de risco (R) que melhor representa a exposição ao risco “j” enfrentada pelos ativos de informação no 
setor “1”. Na matriz de relevância, os setores (S) e o número de ativos de informação (W) formam as 
linhas e os perigos (H), as colunas, conforme pode ser evidenciado no quadro a seguir.
Quadro 14 – Exemplo de matriz de relevância
Setor Risco identificado
Descrição 
Nome
Ativo de 
informação H1 H2 H3 ...... Hx
S1 W1 R1.1 R1.2 R1.3 ........ R1.x
S2 W2 R2.1 R2.2 R2.3 ....... R2.x
S3 W3 R3.1 R3.2 R3.3 ........ R3.x
...... ...... ....... ......... ....... ......... .......
Sy Wy Ry.1 Ry.2 Ry.3 ......... Ry.x
Após a matriz de relevância, a próxima etapa é calcular as frequências de risco, a frequência de 
exposição e a percentagem de relevância. A frequência de risco representa medidas da intensidade da exposição 
total para um dado risco, enquanto a frequência de exposição avalia que setor representa um ambiente 
mais nocivo aos ativos de informação.
4.3 Análise preliminar de riscos (ARP)
Segundo Galante (2015), a APR é uma ferramenta de estudo de risco amparada em uma metodologia 
multicritério fundamentada para identificar, analisar e avaliar (classificar), preliminarmente, os riscos 
existentes em processos, equipamentos ou sistemas em produção. No contexto da APR, um cenário de 
79
GESTÃO E ANÁLISE DE RISCOS
incidente é definido como o conjunto formado pelo perigo identificado e suas causas e consequências 
prováveis. A ferramenta da APR destina-se a avaliações de risco, e consequente priorização desses riscos 
por meio de análises multicritério. A correta aplicação da APR prevê a decomposição do risco em suas 
variáveis fundamentais (frequência, severidade/impacto e cenário):
Risco = Frequência, Severidade/Impacto, Cenário
Figura 24 – Variáveis da aplicação da APR
A decomposição do risco infere a possibilidade de analisar cada variável de forma separada e 
ignorando interferências. Os produtos dessas análises serão utilizados para atribuir ao risco o valor do 
risco conhecido como RAC — Risk Assessement Code (código de gradação do risco). Esse valor para 
o risco serve para comparar dois ou mais riscos, auxiliando a tomada de decisão.
O estabelecimento do valor do risco passa por análises multicritérios, as quais ponderam de forma 
isolada a frequência de ocorrência do risco e as consequências, caso se materializem (severidade/impacto).
O resultado dessas ponderações é imputado na matriz de risco, que gera como resultado um “valor” 
para o risco (RAC). No entanto, enquanto as duas primeiras variáveis independentes (frequência e 
severidade/impacto) têm implicação direta sobre o RAC, o cenário tem um impacto menos imediato. 
O cenário é ponderado quando da elaboração dos critérios a serem empregados no estudo (matriz de 
risco, categorias de frequência e de severidade/impacto).
As matrizes de risco abrem caminho para relacionar frequência e severidade/impacto ao 
risco, usando-se de categorias predeterminadas (parametrização) para os componentes do risco 
(GALANTE, 2015). No quadro 15, encontram-se as categorias de frequência (parametrização da 
frequência) sugeridas, enquanto o quadro 16 apresenta as categorias de severidade (parametrização 
das severidades), o que possibilita “converter” uma “causa para o risco” em um parâmetro de frequência 
e uma “consequência esperada da materialização do risco” em um parâmetro de severidade/impacto. 
Ressalta-se que os exemplos aqui dispostos representam um modelo reconhecido internacionalmente 
e sugerido na obra de Galante (2015). Esse modelo deverá ser adaptado à realidade de cada organização, 
considerando seu porte e ramo de atividade, e sua estrutura de análise de riscos deve ser devidamente 
alinhada à estratégia de análise e gestão de riscos.
Quadro 15 – Categoria de frequência
Categoria Denominação Descrição Faixa de frequência
A Improvável Extremante improvável, podendo o evento não ocorrer Frequência menor que 10.000 M
B Remota Improvável, mas possível de ocorrer na vida útil do ativo/processo Frequência entre 1.000 M e 10.000 M
C Ocasional Espera-se que ocorra durante a vida útil do ativo/processo Frequência entre 100 M e 1.000 M 
80
Unidade II
Categoria Denominação Descrição Faixa de frequência
D Provável Ocorrerá várias vezes durante a vida útil de um ativo/processo Frequência entre 10 M e 100 M
E Frequente
Provável de ocorrer diversas vezes 
durante a vida útil de um 
ativo/processo 
Frequência superior a 10 M
Adaptado de: Galante (2015, p. 127).
Quadro 16 – Categoria de severidade
Categoria Denominação Descrição Faixa de Frequência
1 Catastrófica Pode provocar a interrupção total e irreversível da atividade Superior a 1 milhão de R$
2 Crítica Pode a interrupção total mais reversível da atividade Entre 200 mil e 1 milhão de R$
3 Marginal Pode provocar a interrupção parcial da atividadeEntre 10 mil e 200 mil R$ 
4 Desprezível Pode provocar a interrupção momentânea da atividade Entre 2 mil e 10 mil R$
Adaptado de: Galante (2015, p. 127).
Assim que definidos os parâmetros de frequência e severidade/impacto, estes podem ser integrados 
usando-se a matriz de risco disposta na figura 25, na legenda do quadro 17, na qual é possível obter 
um valor para o risco. O valor desse risco aplica-se ao comparar e contrastar dois ou mais riscos entre 
si, estabelecendo relevâncias.
Frequência
A B C D E
Se
ve
rid
ad
e/
im
pa
ct
o
1 12 8 4 2 1
2 15 10 6 5 3
3 17 14 11 9 7
4 20 19 18 16 13
Figura 25 – Variáveis da aplicação do APR
81
GESTÃO E ANÁLISE DE RISCOS
Quadro 17 – Legenda da matriz de severidade/impacto
Prioridade (risco) Categoria de risco Indicação na matriz de risco
1-5 Muito alto
6-9 Alto
10-17 Moderado
18-20 Baixo
Para Galante (2015), cabe ressaltar que a definição das categorias de frequência, severidade/impacto e a 
própria matriz de risco devem ser modificadas para se adequarem ao cenário de aplicação, complementando 
a compreensão de risco como função de frequência, severidade/impacto no cenário analisado.
Quando apresentado o conceito da matriz de risco, cabe esclarecer os entendimentos que existem 
na base de sua elaboração. As metodologias de análise de risco utilizam multicritério para estabelecer o 
valor do risco (categoria de risco). Esse valor para o risco serve para comparar dois ou mais riscos entre 
si, possibilitando tomada de decisão.
Essas matrizes de risco possibilitam relacionar frequência e severidade associadas ao risco, usando-se 
categorias predeterminadas (parametrização) para esses componentes do risco. Na figura 26, estão 
sugeridas as categorias de frequência (parametrização da frequência) adaptadas, e o quadro 18 apresenta 
as categorias de severidade (parametrização das severidades), o que possibilita “converter” uma “causa 
para o risco” em um parâmetro de frequência e uma “consequência esperada da materialização do risco” 
em um parâmetro de severidade A matriz de risco da figura 24 pode ser reescrita para uma versão mais 
didática no quadro 17 sem perder a qualidade dos resultados. Essa versão é demostrada na imagem 
da figura 25.
Frequência
A B C D E
Se
ve
rid
ad
e/
im
pa
ct
o
1 2 3 4 5 5
2 1 2 3 4 5
3 1 1 2 3 4
4 1 1 1 2 3
Figura 26 – Matriz de risco
82
Unidade II
Quadro 18 – Legenda da matriz de riscos
Severidade/impacto Frequência Risco
1
2
2
4
Catastrófica, crítica 
Marginal e desprezível
A
B
C
D
E
Improvável
Remota
Ocasional
Provável
Frequente
1
2
3
4
Baixo
Moderado
Alto
Muito alto
Observando a matriz de riscos da figura anterior, podemos perceber que o “risco” é uma variável 
dependente de duas variáveis independentes (“frequência” e “severidade/impacto”), sendo assim, o risco 
deve ser evidenciado de forma tridimensional.
É recomendado que seja devidamente estudado e comparado os dados da APR e dessas análises 
poderão ser identificadas as categorias de frequência e severidade/impacto compatíveis, todavia, a matriz 
de risco apresenta 20 níveis de risco agrupados em 4. Sendo assim, a diferença não vai incompatibilizar 
as aplicações, tendo em vista que os níveis de risco se aplicam à confecção de planos de ação.
Ressalta-se que as matrizes de risco devem ser selecionadas e elaboradas observando o cenário 
em estudo. As matrizes das figuras 25 e 26 apresentam certo grau de complexidade na seleção das 
frequências e severidades/impacto, dados os vários níveis. Uma opção mais simples de matriz é a 
da figura 27:
Se
ve
rid
ad
e/
im
pa
ct
o 3 3+1=4 3+2=5 3+3=6
2 2+1=3 2+2=4 2+3=5
1 1+1=2 1+2=3 1+3=4
1 2 3
Figura 27 – Matriz de risco 3x3
Segundo Galante (2015), a aplicação da metodologia de frequência pode ser utilizada para sistemas 
em início de desenvolvimento ou na fase inicial do projeto, quando apenas os requisitos básicos do 
sistema e os insumos estão em definição. Também pode ser útil como parte da revisão geral de segurança 
de sistemas e suas informações já em operação.
O uso do APR auxilia na seleção das áreas envolvidas e em qualquer outra área técnica que requeira 
maior detalhe na análise dos riscos ou de confiabilidade que devam ser encorpadas a qualquer momento. 
A APR pode ser considerada a precursora de outras análises.
83
GESTÃO E ANÁLISE DE RISCOS
A análise preliminar dos perigos é a metodologia estruturada para identificar, preliminarmente, 
os riscos decorrentes do ambiente físico e de novas unidades/sistemas ou da operação de 
unidades/sistemas existentes. Esta ferramenta pode ser aplicada nas etapas iniciais de um projeto, 
quando, por exemplo, pode ser muito útil para a seleção da localização de uma planta ou de um 
estudo de processo. A APR objetiva analisar cenários onde existem perigos ainda desconhecidos, já 
que na etapa preliminar normalmente existe pouca informação disponível sobre os procedimentos de 
operação. Algumas vezes, a APR é considerada como uma revisão dos pontos de perigo, pois abrange 
os eventos perigosos cujas causas tenham origem na instalação analisada, englobando tanto as falhas 
de componentes ou sistemas como eventuais erros operacionais ou de manutenção (falhas humanas).
Para concluir, a APR é um método de avaliação de riscos por estabelecimento de prioridades. 
As prioridades são determinadas usando-se modelos matriciais multicritérios, os quais consistem em 
decompor o risco em seus componentes fundamentais e analisá-las separadamente. As componentes 
do risco são a extensão dos danos (severidades/impactos) e as frequências de ocorrências. Ressalta-se 
que a aplicação correta dessa ferramenta permite, ainda, orientar (ordenar) as ações mitigadoras a 
serem implementadas. Isso é feito por meio da priorização dos riscos, seguido do relacionamento das 
causas e consequências que foram usadas para “gerar” o risco em questão.
Segundo Galante (2015), referente à metodologia empregada, quando os riscos são identificados, suas 
causas potenciais, os efeitos, a gravidade dos incidentes, as severidades/impactos e perdas, as possíveis 
ações corretivas e/ou preventivas serão listadas. O trabalho se completa utilizando a experiência passada 
obtida do maior número possível de fontes de informação, incluindo experiências de operações com 
sistemas similares. O estudo do risco usando a metodologia da APR desenvolve-se através de etapas:
Definição dos objetivos e 
do escopo da análise
Elaboração das 
estatísticas dos cenários 
identificados por 
categoria de risco 
(frequência e severidade)
Análise dos resultados e 
preparação do relatório
Definição das fronteiras 
do processo/instalação 
analisada
Realização da APR 
Preenchimento da 
planilha
Coleta de informações 
sobre a região, a 
instalação e os 
perigos envolvidos
Subdivisão do processo/
instalação em módulos 
de análise
Figura 28 – Etapas da metodologia APR
Os resultados da análise incluirão as recomendações para reduzir, eliminar ou controlar os riscos nas 
etapas seguintes do projeto.
84
Unidade II
Segundo Galante (2015), a metodologia APR se desenvolve, a princípio, reunindo todas as informações 
disponíveis sobre os sistemas e sobre as experiências vivenciadas em análises de risco em sistemas 
similares. Entre as informações, devem constar os conceitos básicos e as definições do processo. Assim 
sendo, ameaças comuns devem ser conhecidas, assim como todo o tipo de especificações de tecnologias 
de segurança, especialmente aquelas mais robustas.
O conhecimento de qualquer incidente ocorrido no passado é de extrema importância para a 
realização da APR. O processo de execução da APR consiste em identificar os riscos, os eventos e outros 
eventos que possam ter como consequência um resultado não desejado. Os objetos de análise devem 
também identificar os critérios de projeto ou as alternativas que possam eliminar, reduzir ou controlar 
esses riscos dentro de um nível aceitável de custo para investimento. Evidentemente, é necessário 
experiência