Capa do Ebook gratuito Governança de Segurança da Informação na Prática (ISO 27001/27002 sem burocracia)

Governança de Segurança da Informação na Prática (ISO 27001/27002 sem burocracia)

Novo curso

19 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Gestão de riscos aplicada ao dia a dia do negócio

Capítulo 4

Tempo estimado de leitura: 14 minutos

+ Exercício

Gestão de riscos, no contexto de segurança da informação, é a prática de tomar decisões conscientes sobre o que pode dar errado, qual seria o impacto para o negócio e quais ações valem a pena para reduzir a probabilidade ou o dano. Na prática, isso significa sair do modo “apagar incêndio” e passar a operar com prioridades claras: proteger o que sustenta receita, operação, reputação e conformidade, sem tentar “blindar tudo” ao mesmo tempo.

Aplicar gestão de riscos ao dia a dia do negócio não é preencher planilhas por obrigação. É criar um ciclo simples e repetível para: (1) entender o contexto e os ativos que importam, (2) identificar cenários de risco reais, (3) medir risco de forma consistente, (4) escolher tratamentos viáveis, (5) acompanhar se o risco está diminuindo de fato. O valor aparece quando as decisões ficam mais rápidas e justificáveis: por que investir em MFA agora? Por que aceitar um risco em um sistema legado? Por que priorizar correção de uma vulnerabilidade específica?

Conceito de risco: o que realmente importa medir

Risco é a combinação entre a chance de um evento acontecer e o impacto caso aconteça. Em segurança da informação, o evento costuma ser um cenário envolvendo ameaça explorando uma vulnerabilidade e afetando um ativo. Para o dia a dia, é útil pensar em risco como uma frase completa, por exemplo: “Se um atacante obtiver credenciais de um usuário do financeiro (ameaça), poderá acessar o ERP sem MFA (vulnerabilidade) e alterar dados de pagamento (evento), causando fraude e paralisação de pagamentos (impacto)”.

Alguns pontos tornam o conceito prático:

  • Ativo: não é só “servidor”. Pode ser processo (faturamento), informação (base de clientes), serviço (e-commerce), integração (API de pagamento), ou capacidade (time de suporte).
  • Impacto: deve ser descrito em linguagem de negócio: perda financeira, indisponibilidade, multas, perda de clientes, atraso em entregas, aumento de custo operacional, dano reputacional.
  • Probabilidade: pode ser estimada por histórico, exposição (internet vs interno), facilidade de exploração, atratividade do alvo, maturidade de controles e volume de mudanças.
  • Controle: é o que reduz probabilidade (prevenção/detecção) ou reduz impacto (resposta/continuidade).

Uma armadilha comum é confundir risco com vulnerabilidade (“tem CVE, então é risco alto”) ou com controle (“não tem criptografia, então é risco”). Vulnerabilidade é uma condição; risco é o efeito provável no negócio, considerando contexto e impacto.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Como trazer risco para a rotina sem burocracia

Para funcionar no cotidiano, a gestão de riscos precisa caber em três lugares onde decisões já acontecem:

  • Projetos e mudanças: novas integrações, novos fornecedores, novas funcionalidades, migrações.
  • Operação: incidentes, vulnerabilidades, acessos, exceções, auditorias, demandas de clientes.
  • Planejamento: orçamento, roadmap de tecnologia, priorização de melhorias, continuidade do negócio.

O segredo é ter um método leve, com critérios claros e artefatos mínimos. Em vez de “um grande assessment anual”, use avaliações pequenas e frequentes, focadas em decisões reais.

Passo a passo prático: ciclo de gestão de riscos no dia a dia

1) Defina o contexto e o escopo de forma objetiva

Comece pelo que está sendo decidido. Exemplos de escopo prático:

  • “Avaliar risco de liberar acesso remoto para equipe comercial.”
  • “Avaliar risco de integrar o CRM ao provedor de disparo de e-mail.”
  • “Avaliar risco de manter um sistema legado sem suporte por mais 6 meses.”

Defina também limites: quais áreas, quais sistemas, quais dados, qual período. Isso evita virar um inventário infinito.

2) Identifique ativos e objetivos de negócio ligados ao escopo

Liste os ativos essenciais e conecte com objetivos do negócio. Exemplo (integração CRM + e-mail):

  • Ativo: base de leads e clientes no CRM.
  • Objetivo: aumentar conversão e retenção com campanhas.
  • Dependências: API do CRM, credenciais de integração, templates, lista de opt-out.
  • Criticidade: alta (impacta receita e conformidade com privacidade).

Uma forma simples é perguntar: “Se isso parar por 1 dia, o que acontece?” e “Se isso vazar, o que acontece?”.

3) Modele cenários de risco (ameaça + vulnerabilidade + impacto)

Evite listas genéricas (“phishing”, “malware”) sem ligação com o processo. Escreva 5 a 10 cenários curtos e específicos. Exemplos:

  • Credenciais da integração vazam e permitem extração da base de e-mails.
  • Erro de configuração na API expõe dados pessoais em logs acessíveis por terceiros.
  • Fornecedor sofre incidente e dispara e-mails indevidos, gerando bloqueio de domínio e perda de entregabilidade.
  • Falha no mecanismo de opt-out causa envio para quem não consentiu, gerando reclamações e sanções.

Para acelerar, use perguntas-guia:

  • Quem pode se beneficiar atacando isso (fraude, extorsão, concorrência, oportunistas)?
  • Onde há “atalhos” (contas compartilhadas, chaves long-lived, permissões amplas)?
  • Quais pontos de falha única (um admin, um servidor, uma integração sem monitoramento)?
  • O que muda com frequência (deploys, regras, scripts)? Mudança frequente aumenta risco.

4) Estime impacto com critérios de negócio (não só técnicos)

Crie uma escala simples (por exemplo, 1 a 5) com descrições objetivas. Exemplo de impacto:

  • 1 (baixo): retrabalho local, sem impacto em clientes, custo < R$ 5 mil.
  • 2: atraso pontual, impacto em poucos clientes, custo < R$ 25 mil.
  • 3: indisponibilidade de serviço por horas, impacto em receita do dia, custo < R$ 100 mil.
  • 4: paralisação relevante, perda de clientes, notificação regulatória provável, custo < R$ 500 mil.
  • 5 (crítico): interrupção prolongada, grande vazamento, impacto reputacional amplo, custo > R$ 500 mil.

O valor está na consistência. Mesmo que os números sejam aproximados, a escala permite comparar riscos diferentes e priorizar.

5) Estime probabilidade com sinais observáveis

Probabilidade também pode ser 1 a 5, baseada em evidências. Exemplo:

  • 1: cenário raro, alta barreira técnica, controles fortes, pouca exposição.
  • 2: possível, mas exigiria condições específicas.
  • 3: plausível; já ocorreu no setor ou há exposição moderada.
  • 4: provável; controles fracos, alta exposição, mudanças frequentes.
  • 5: muito provável; já há incidentes, exploração ativa, ou ausência de controles básicos.

Sinais úteis para calibrar probabilidade:

  • Serviço exposto à internet e sem MFA.
  • Chaves de API sem rotação e com permissões amplas.
  • Ausência de logging e alertas para ações críticas.
  • Dependência de fornecedor sem SLA claro e sem evidências de controles.
  • Histórico de incidentes semelhantes na empresa ou no setor.

6) Calcule o nível de risco e priorize

Uma matriz simples funciona bem: Risco = Impacto x Probabilidade. Exemplo com escala 1–5 gera valores 1–25. Defina faixas:

  • 1–5: baixo (monitorar)
  • 6–10: médio (planejar melhoria)
  • 11–15: alto (tratar com prioridade)
  • 16–25: crítico (ação imediata ou decisão formal de aceitação)

O importante é que a priorização resulte em ações. Se tudo vira “alto”, a escala não está discriminando bem; ajuste critérios.

7) Escolha a estratégia de tratamento (com exemplos)

Para cada risco relevante, escolha uma estratégia:

  • Mitigar: implementar controles para reduzir probabilidade/impacto.
  • Aceitar: reconhecer e manter o risco, com justificativa e prazo.
  • Transferir: repassar parte do impacto (seguro, contratos, cláusulas, terceirização).
  • Evitar: mudar o plano para eliminar o cenário (não fazer a integração, descontinuar funcionalidade).

Exemplos práticos de mitigação no cotidiano:

  • Risco: credenciais de integração vazarem. Mitigação: usar OAuth/short-lived tokens, rotação automática, segredo em cofre, escopo mínimo, alertas de uso anômalo.
  • Risco: alteração indevida de dados financeiros. Mitigação: MFA, segregação de funções, aprovação em duas etapas, trilha de auditoria, alertas para mudança de favorecido.
  • Risco: indisponibilidade do e-commerce. Mitigação: redundância, monitoramento, testes de carga, plano de rollback, DR para componentes críticos.

Exemplo de aceitação bem feita: “Sistema legado sem suporte por 6 meses, risco alto de vulnerabilidade. Aceitar temporariamente porque migração está em andamento; compensar com segmentação de rede, restrição de acesso, monitoramento e janela de manutenção semanal. Revisão em 30 dias.”

8) Transforme controles em tarefas executáveis e mensuráveis

Um risco só “baixou” quando algo mudou no ambiente. Para cada ação, defina:

  • O que: implementar MFA no ERP para perfis financeiros.
  • Como medir: % de usuários do grupo com MFA habilitado; número de logins sem MFA (deve ser zero).
  • Prazo: data.
  • Evidência: relatório do IdP, print de configuração, log de auditoria.
  • Dependências: janela de mudança, comunicação, suporte.

Evite ações vagas como “melhorar segurança” ou “reforçar monitoramento”. Especifique o resultado observável.

9) Registre e acompanhe em um “registro de riscos” leve

Um registro de riscos pode ser simples, desde que consistente. Campos mínimos recomendados:

  • ID
  • Descrição do cenário
  • Ativo/processo
  • Impacto (1–5) e justificativa
  • Probabilidade (1–5) e justificativa
  • Nível de risco
  • Tratamento escolhido
  • Ações e prazos
  • Status (aberto, em tratamento, mitigado, aceito)
  • Data de revisão

O registro vira uma fila priorizada de decisões e melhorias, não um arquivo morto.

Como encaixar gestão de riscos em situações comuns do negócio

Risco em projetos: “security by design” sem travar entrega

Em projetos, o objetivo é identificar riscos cedo, quando é barato corrigir. Um ritual prático é fazer uma avaliação rápida em dois momentos:

  • Antes de construir (30–60 min): identificar principais cenários e requisitos mínimos (ex.: autenticação, logs, segregação).
  • Antes de ir para produção (check final): validar que os controles combinados foram implementados e que não surgiram novos riscos.

Exemplo: lançamento de funcionalidade de “exportar dados” no portal do cliente. Cenários típicos:

  • Exfiltração por usuário malicioso (exportação em massa).
  • Link de exportação compartilhável sem expiração.
  • Dados sensíveis incluídos por erro de filtro.

Controles práticos: limite de volume, rate limit, logs e alertas, expiração de links, mascaramento de campos, autorização por perfil.

Risco em mudanças e operação: vulnerabilidades e patches com foco em impacto

Nem toda vulnerabilidade é prioridade máxima. Para decidir rápido, conecte a vulnerabilidade ao cenário:

  • O componente é exposto à internet?
  • Há exploit ativo?
  • O ativo suporta processo crítico?
  • Existe compensação (WAF, segmentação, controle de acesso)?

Exemplo: CVE crítica em servidor interno sem acesso externo, mas com credenciais administrativas amplas. Pode ser “alto”, mas talvez não “crítico” se houver segmentação e monitoramento. Já a mesma CVE em um serviço público com autenticação fraca tende a ser “crítico”.

Uma prática útil é classificar correções por “risco operacional”:

  • Correção imediata: risco crítico e alta exposição.
  • Correção programada: risco alto, mas com controles compensatórios.
  • Aceitação temporária: quando o patch quebra compatibilidade; documentar compensações e prazo.

Risco em fornecedores: decisões objetivas sem questionários intermináveis

Para o dia a dia, foque em riscos do uso do fornecedor, não em maturidade genérica. Três perguntas resolvem boa parte:

  • Que dados/processos o fornecedor acessa ou processa?
  • Qual seria o impacto se ele vazar dados ou ficar indisponível?
  • Quais controles mínimos precisam existir para esse nível de impacto?

Exemplo: fornecedor de folha de pagamento. Impacto alto por dados sensíveis e dependência mensal. Controles mínimos práticos: MFA, criptografia em trânsito e repouso, segregação de ambientes, logs de acesso, SLA de disponibilidade, canal de notificação de incidentes, backup e retenção, evidência de testes de restauração.

Risco em exceções: quando “não dá para fazer agora”

Exceções acontecem: prazo curto, legado, limitação técnica. O risco vira gerenciável quando a exceção tem:

  • Escopo claro (o que está fora do padrão).
  • Justificativa de negócio.
  • Controles compensatórios.
  • Prazo de validade e plano de correção.
  • Revisão periódica.

Exemplo: “Sem MFA para um sistema legado”. Compensações: acesso apenas via VPN, lista de IPs permitidos, contas nominativas, senha forte e rotação, captures de logs, alerta para login fora do horário, revisão semanal de acessos.

Ferramentas e modelos simples para acelerar

Matriz de risco (modelo rápido)

Impacto (1-5) x Probabilidade (1-5) = Nível (1-25)  Faixa: 1-5 baixo | 6-10 médio | 11-15 alto | 16-25 crítico

Modelo de descrição de risco (frase pronta)

Se [ameaça] explorar [vulnerabilidade] em [ativo/processo], então [evento] pode ocorrer, causando [impacto no negócio].

Checklist de evidências (para não virar “achismo”)

  • Inventário mínimo do ativo (onde está, quem usa, dependências).
  • Diagrama simples do fluxo (mesmo que seja um desenho em caixa e seta).
  • Configurações-chave (MFA, permissões, exposição).
  • Logs disponíveis e quem monitora.
  • Backups e teste de restauração (quando aplicável).

Exemplo completo: risco aplicado a um processo real (pagamentos)

Contexto: empresa realiza pagamentos a fornecedores via ERP. Há usuários do financeiro e aprovação por e-mail.

Ativos: dados bancários de fornecedores, módulo de pagamentos, credenciais de usuários, trilha de auditoria.

Cenário 1: “Se um atacante comprometer a conta de e-mail de um aprovador e o processo aceitar aprovação por e-mail sem verificação forte, então pagamentos podem ser aprovados indevidamente, causando perda financeira e disputa com fornecedores.”

  • Impacto: 4 (fraude + interrupção de pagamentos + possível notificação).
  • Probabilidade: 3 (phishing é comum; aprovação por e-mail é fraca).
  • Nível: 12 (alto).
  • Tratamento: mitigar.
  • Ações: substituir aprovação por e-mail por aprovação no ERP com MFA; habilitar alertas para alteração de favorecido; exigir dupla aprovação acima de um valor; treinar time para identificar solicitações fora do padrão.
  • Métricas: % de aprovações realizadas no ERP; número de pagamentos acima do limite sem dupla aprovação (zero).

Cenário 2: “Se um usuário do financeiro tiver permissões excessivas (criar fornecedor e aprovar pagamento), então uma conta comprometida pode executar fraude completa sem detecção rápida.”

  • Impacto: 5.
  • Probabilidade: 3.
  • Nível: 15 (alto).
  • Tratamento: mitigar.
  • Ações: revisar perfis e remover conflito de funções; criar trilha de auditoria e revisão semanal; alertas para criação/alteração de dados bancários.

Note como o foco não é “implementar controle X porque a norma diz”, e sim reduzir cenários específicos que ameaçam dinheiro e continuidade.

Indicadores práticos para saber se a gestão de riscos está funcionando

Indicadores devem mostrar redução de exposição e melhoria de decisão, não volume de documentos. Exemplos:

  • % de projetos com avaliação de risco antes de produção.
  • Tempo médio para decidir tratamento de riscos críticos (dias).
  • Quantidade de riscos críticos abertos por mais de X dias.
  • % de ações de tratamento concluídas no prazo.
  • Redução de incidentes repetidos ligados a riscos já identificados.
  • Cobertura de controles-chave em ativos críticos (ex.: % com MFA, % com logs centralizados).

Se os indicadores não mudam, geralmente o problema está em: cenários genéricos demais, ações pouco executáveis, falta de priorização, ou ausência de revisão periódica.

Rotina recomendada (cadência) para manter o ciclo vivo

  • Semanal: revisar novos riscos vindos de incidentes, mudanças e vulnerabilidades críticas; atualizar status das ações.
  • Quinzenal: revisar riscos altos em andamento e remover bloqueios (dependências de TI/negócio).
  • Mensal: reavaliar riscos aceitos temporariamente e verificar se compensações estão ativas.
  • Trimestral: revisar critérios de impacto/probabilidade e ajustar com base em eventos reais (incidentes, auditorias, mudanças no negócio).

Essa cadência mantém a gestão de riscos conectada ao que está acontecendo, sem exigir um “projeto paralelo” de documentação.

Agora responda o exercício sobre o conteúdo:

Qual abordagem melhor representa a aplicação prática de gestão de riscos no dia a dia do negócio em segurança da informação?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A gestão de riscos prática busca decisões conscientes e priorizadas, usando um ciclo leve (contexto, cenários, impacto x probabilidade, tratamento e acompanhamento). O valor está em orientar ações e comprovar redução real de risco, não em reagir a tudo ou gerar burocracia.

Próximo capitúlo

Inventário e classificação de ativos com donos e critérios objetivos

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store