FBC 826

GESTÃO DE RISCOS
CIBERNÉTICOS
FOCO NOS NEGÓCIOS
JOIAS DA COROA
Antonio Celso Ribeiro Brasiliano
GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 1

GESTÃO DE RISCOS
CIBERNÉTICOS
FOCO NOS NEGÓCIOS
JOIAS DA COROA

Título Original: Gestão de Riscos Cibernéticos | Foco nos negócios - Joias da coroa
© Copyright by Antonio Celso Ribeiro Brasiliano
1a edição, abril de 2023
Todos os direitos reservados. É proibida a reprodução desta obra por qualquer meio,
em seu todo ou em partes, sem autorização expressa do autor e do editor.
Direitos dessa edição cedidos por contrato para:

Sicurezza Gestão de Riscos Corporativos, Editora e Distribuidora Ltda
Telefone: 11 5092-3248
Email: comunicacao@brasiliano.com.br
GESTÃO DE RISCOS
CIBERNÉTICOS
FOCO NOS NEGÓCIOS
JOIAS DA COROA
São Paulo, abril de 2023

Há somente uma única pessoa a quem dedico
este livro, meu pai, José Brasiliano.
Existem gestos que só entendemos profundamente com o
passar do tempo, com maturidade. Meu pai estendeu sua
mão e me resgatou do fundo do poço, mesmo tendo que
enfrentar inúmeros obstáculos, no momento da minha
vida em que eu mais precisava. Com seu apoio, garra e
incentivo, consegui ultrapassar o olho do furacão.
Obrigado Pai, vencemos todos os demônios!
(in memoriam)
Palavras do autor
Alguns dizem que terminar um livro é realizar um sonho. Eu creio que este meu décimo oitavo livro técnico tem mais o
sentido de um projeto. Terminar um livro é realizar um projeto.
Este livro, em especial, foi de fato um projeto: é minha tese de Doctor of Philosophy in International Security Sciences,
PhD, pela Cambridge International University. É o começo de um projeto e não o seu fim. Gestão de Riscos Cibernéticos, Foco
nos Negócios, Joias da Coroa, é um projeto que começa aqui, com a publicação da tese.
O projeto é tratar a Gestão de Riscos como uma disciplina de negócios, hoje colocada em segundo plano nos meios
universitários do Brasil. As empresas, seus executivos C-Level e os próprios Conselhos de Administração, ainda carecem de
informações panorâmicas dos riscos relevantes de negócio.
O mundo hoje é diferente do que era há dois anos. O ambiente de riscos no qual as organizações operam, também. A
mudança é rápida e disruptiva. A pandemia causou perturbações no mercado e na cadeia de suprimentos. Mundo VUCA
integrado com mundo BANI.
A incerteza atual no ambiente geopolítico está exacerbando ainda mais as restrições de oferta, aumentando os riscos
cibernéticos, introduzindo novas sanções e colocando a segurança e os valores humanos no primeiro plano de todas as
decisões. As corporações necessitam entender estas mudanças de contexto.
Os ataques de ransomware são mais frequentes e mais sofisticados, certamente um fator por trás da ascensão dos riscos
cibernéticos à condição de principal ameaça aos negócios.
Escassez de suprimentos, sanções e custos crescentes de matérias-primas estão aumentando os riscos nas cadeias
de suprimentos. Clientes, investidores e outros stakeholders estão focados em questões ESG, como os riscos físicos,
regulatórios e tecnológicos que as mudanças climáticas impõem.
Cada um desses riscos pode causar impactos significativos, mas, por serem altamente interconectados, eles podem ter
implicações de longo alcance para toda a corporação e expor a marca e a reputação. O ambiente de negócios ficou muito
disruptivo. As empresas precisam revisar e adaptar rapidamente suas estratégias e modelos de negócio.
Identificar oportunidades e evitar surpresas requer percepção de antecipação e velocidade para a empresa fazer
adaptações. Ao gerenciar turbulências, as organizações estão lidando simultaneamente com os desafios internos da
transformação digital e com formas de engajar os stakeholders internos enquanto automatizam processos de negócios e
digitalizam tudo o que fazem. Cito nosso exemplo, com o software INTERISK, uma forma de digitalizar a gestão de riscos.
Escrevi em meu livro, publicado em 2003, que o Planejamento da Gestão de Riscos Corporativos ainda era novo Brasil
e pouco aplicado. Na minha opinião, evoluímos, mas com ritmo ainda moroso. Carecemos de aplicação mais estratégica e
com um olhar de negócios. Por esta razão, o tema da minha tese foi Gestão de Riscos Cibernéticos, com foco no negócio e
tendo como alvo as Joias da Coroa. Este termo, Joias da Coroa, significa que os executivos devem proporcionar a segurança
cibernética em sua cadeia de valor, em seus processos críticos, em suas informações críticas e sistemas que suportam
os processos e as informações. Com esta visão, a corporação terá de fato uma proteção em camadas, entendendo que a
segurança cibernética não é só da área de riscos cibernéticos, mas sim de toda a empresa. A responsabilidade é dos donos
dos processos críticos de negócio.
Este livro, portanto, é um manual com o objetivo de orientar os executivos das empresas a focar naquilo que é essencial
para o negócio, trazendo os melhores resultados possíveis para a corporação.
Foi meu objetivo na tese estudar os principais frameworks do mercado e, de forma prática e objetiva, incluir fases para que
as empresas possam ter o entendimento claro de onde focar na prevenção e mitigação de riscos cibernéticos. O resultado
deve ser a compreensão para a preparação de um Plano Estratégico de Riscos Cibernéticos, com uma visão panorâmica.
Lembro aos colegas do setor que, em hipótese alguma, este assunto é finito ou que a sugestão do Framework é um trilho.
Muito pelo contrário, é uma trilha, onde teremos ainda que construir caminhos pavimentados. Minha expectativa é que
possamos discutir e ter sempre a visão de aprendizado contínuo, portanto as críticas técnicas são sempre bem-vindas.
Ressalto apenas que se, por acaso, uma enorme tentação vier bater à porta dos colegas da gestão de riscos, no sentido de
não tentar colocar em prática os conceitos aqui abordados, pensem no que Theodore Roosevelt, 26o Presidente dos Estados
Unidos, o mais novo presidente americano, escreveu no século passado:
“É muito melhor arriscar coisas grandiosas, alcançar triunfos e glórias, mesmo expondo-se à derrota, do que formar
fila com os pobres de espírito que nem gozam muito nem sofrem muito, porque vivem nessa penumbra cinzenta que não
conhece a vitória nem a derrota”.
Sempre arrisquem, dentro de seu apetite aos riscos!
Sucesso a todos!

abrasiliano@brasiliano.com.br
Abril de 2023
Sumário
1. Introdução............................................................................................................................................... 17
2 . Riscos Estratégicos da Quarta Revolução Industrial.......................................................................37
3. Risco Cibernético é uma realidade.......................................................................................................47
4. Estratégias de Defesa para Ataques Cibernéticos........................................................................... 79
5. Perfis dos Hackers ...............................................................................................................................107
6. Revisão da Literatura de Processos de Gestão de Riscos Cibernéticos....................................... 127
7. Framework da Gestão de Riscos Cibernéticos - Joias da Coroa..................................................... 161
8. Conclusão............................................................................................................................................. 285
9. Bibliografia............................................................................................................................................291
10. Autor................................................................................................................................................... 297

1 Introdução
1.1 Origem do mundo sem balizas
Joseph Schumpeter, austríaco, um dos grandes economistas do século XX, famoso por sua teoria da “destruição criativa”,
sustenta que o sistema capitalista progride por revolucionar constantemente sua estrutura econômica através de novas
firmas, novas tecnologias e novos produtos que substituem constantemente os antigos. Como a inovação é constante, a
economia está, de forma natural e saudável, sujeita a ciclos de crescimento e implosão.
Schumpeter argumentava que a inovação resulta de fatores endógenos e que sua principal fonte é o empreendedorismo
criativo. Esse mesmo empreendedorismo criativo é uma caixa preta, pois depende da engenhosidade e ousadia dos
empreendedores e não de uma reprodução sistemática. Portanto, na visão schumpeteriana, a inovação é também destruição
na medida em que o novo deve destruir o velho para ocupar o seu lugar!
A visão reconstrutivista de Schumpeter abriu caminho para o empreendedorismo criativo, com crescimento endógeno,
mediante a reconstrução cognitiva dos dados disponíveis e dos fatores de mercado, de maneira intrinsecamente nova.
Na visão reconstrutivista não há regras com balizas demarcando o mercado, pois as regras são limitadas apenas pelo
alcance dos pensamentos e ideias. Por esta razão, os inovadores de valor empreendem saltos por meio de criação de novas
riquezas, em vez de permanecerem jogando de acordo com as antigas regras.
Atualmente, os riscos tornaram-se mais complexos, refletindo mudanças mundiais como a globalização da economia,
fusões e aquisições em vários setores, além da constante evolução tecnológica. Com a Nova Economia, surgiram os
riscos vinculados ao e-business, parcerias, eficiência dos canais de distribuição, competição, inovação tecnológica, capital
intelectual, situação social de regiões, conflitos territoriais, crime organizado, criminalidade, entre outros.
Quanto mais sofisticado e digital o mercado se torna, mais evidente a necessidade de as empresas conhecerem seus riscos,
principalmente os cibernéticos, que hoje impactam de forma massiva as atividades das corporações e consequentemente
sua imagem.

A utilização de tecnologia para combater ataques cibernéticos é fator crítico de sucesso para fazer frente à sofisticação das
ações dos hackers.
O mundo nunca foi tão digital como agora, tudo gera dados, e muitos. A Era dos Dados gerou um ambiente de informação
e a Internet das Coisas – IOT – desempenha um papel extremamente motriz neste contexto.
Esse ecossistema é responsável pela aceleração do ritmo da evolução tecnológica, amplificando o acesso à tecnologia,
encurtando de forma drástica o ciclo das transformações.
Com essas disrupções constantes e com a pandemia COVID 19, o conceito de mundo VUCA - mundo Volátil, Incerto,
Complexo e Ambíguo, conforme o acrônimo em inglês, voltou com força total, com muitos gestores e empresários
lembrando rapidamente desse acrônimo que por muito tempo foi utilizado para aconselhar empresas a se desenvolverem e
navegarem em um cenário completamente enevoado.
Quando falamos sobre o mundo VUCA, estamos nos referindo a um termo criado no final dos anos 80. A pandemia
mostrou que a estratégia VUCA foi insuficiente perante as contingências que se apresentaram, uma vez que poucas
empresas estavam verdadeiramente prontas para o que aconteceu, mostrando que o VUCA poderia ser uma ideia
ultrapassada. Será?
1.2 Histórico do Termo VUCA
Dr. T. Owen Jacobs, psicólogo que pesquisou e ensinou de 1974 a 2005 no Instituto de Pesquisa do Exército Norte-Americano
e ministrou cursos no War College sobre as questões ligadas ao comportamento da liderança estratégica, pensamento criativo
e crítico, foi quem cunhou o termo VUCA – Volatidade, Incerteza, Complexidade e Ambiguidade. Suas pesquisas focaram
sobre os requisitos do desempenho estratégico dos líderes em situações incertas e voláteis, com o objetivo de identificar
e desenvolver habilidades necessárias para a liderança estratégica do Exército Norte-Americano. O Dr. Jacobs pesquisou e
coletou dados sobre as conexões entre personalidade, habilidades interpessoais e habilidades que levavam a um grau de

eficácia do líder nos ambientes, que poderiam reproduzir as incertezas do campo de batalha e dos contextos que os Generais
teriam que enfrentar como comandantes de tropas de ocupação em territórios, áreas ou países hostis. O Dr. Jacobs montou
um processo de avaliação para identificar especificamente os principais atributos de liderança que preveem o sucesso do líder.
Os atributos avaliados são projetados para permitir a descoberta de necessidades específicas de desenvolvimento nos níveis
médio, superior e executivo e são considerados altamente preditivos (que se pode predizer, prever por antecipação, com
antecedência) para o futuro sucesso da liderança estratégica.
O Dr. Jacobs publicou no War College, como professor de Liderança Estratégica, o livro intitulado The Competitive Edge.
Nesse livro o professor descreve o ambiente externo como preenchido por “volatility”, “uncertainty”, “complexity” e
“ambiguity”, palavras que deram origem ao acrônimo VUCA. Enfatiza que o ambiente da era da informação, com um volume
muito grande de dados a serem processados, está repleto de VUCA, fazendo com que a liderança que se descuidar ou que
não tiver rigor para entender o ambiente, possivelmente não conseguirá antecipar as mudanças e nem gerenciar riscos
emergentes. Esse é o desafio da liderança estratégica.
Escreve ainda que os líderes do século XXI devem se aproximar desse conceito com inteligência, energia e senso de
urgência, confiantes de que essas realidades e as complexidades podem ser facilmente transformadas em uma vantagem
competitiva quando viradas contra os inimigos da nação. Dada a extensão de suas responsabilidades e o efeito cascata de
suas decisões, os líderes estratégicos devem considerar uma grande variedade de fatos, influências e atores. Aqui reside o
ponto principal. Já comentava o Dr. Jacobs que, com grande volume de informações, fluxo de informações em alta velocidade,
tempo limitado e conhecimento finito, líderes efetivos devem, literalmente, decidir sobre os pontos focais, os pontos que
realmente darão retorno e eficácia à ação. Ou seja, a liderança estratégica deve determinar quais elementos do seu ambiente
são mais importantes para uma situação particular ou decisão e, em seguida, concentrar sua atenção e esforços nesse ponto.
Líderes estratégicos e estrategistas devem entender, interpretar e dominar o denominado ambiente VUCA!
Jacobs sugere que os líderes não podem alcançar um conhecimento completo sobre todo o contexto que envolve as
decisões estratégicas. O verdadeiro líder estratégico irá tomar decisões, na maioria das vezes, sem ter a imagem do quadro

todo, pisando na incerteza. Isso não é novo: Clausewitz, o General Prussiano que escreveu o Tratado chamado “Da Guerra” e
que foi prisioneiro de Napoleão, já insistia em que o Comandante Estrategista teria que ter sempre como amante a incerteza.
Por que isso? Porque o líder estratégico, tendo em vista sua posição, terá que tomar decisões rápidas e precisas, mesmo no
ambiente VUCA, sem enxergar com clareza todas as variáveis. Para responder ao desafio do Mundo VUCA, primeiro devemos
entender as implicações básicas dos seus termos:
- Volatilidade: é a taxa de mudança do meio ambiente. Volatilidade na era da informação significa que
mesmo os dados mais atualizados podem não fornecer um contexto adequado para a tomada de decisões.
Além da capacidade de avaliar com precisão o ambiente atual, os líderes devem antecipar, mudar e fazer
o seu melhor para prever o que pode acontecer dentro do escopo de tempo de um projeto, programa
ou operação. Na verdade, este conceito está nos dizendo de forma clara, visando não perder a janela de
oportunidade, que o ótimo é inimigo do bom. Ou seja, não adianta elaborar um ótimo projeto de lançamento
de um produto, se a concorrência lançar o produto dela antes do nosso. Perdeu-se a oportunidade
de ser o primeiro ou o pioneiro. Volatilidade, no meio ambiente inserido no contexto da era da quarta
revolução industrial, cria um desafio especial para líderes estratégicos e toda a sua equipe de suporte.
- Incerteza: significa a incapacidade de conhecer tudo sobre uma situação e a dificuldade de prever
a natureza e os efeitos da mudança (o nexo entre incerteza e volatilidade). A incerteza, na maioria
das vezes, atrasa os processos de tomada de decisão e aumenta a probabilidade de divergirem
muito as opiniões sobre o futuro. Isso impulsiona a necessidade de o líder estratégico possuir
uma gestão inteligente de riscos, abrangendo tanto as estratégias quanto as operações.
- Complexidade: traduz a dificuldade de compreender as interações de múltiplas partes ou fatores e

de prever os efeitos primários e subsequentes às mudanças de um ou mais fatores em um sistema
altamente interdependente, interconectado. A complexidade difere da incerteza, pois a interconectividade
entre as inúmeras variáveis torna o contexto muito mais imprevisível. Embora seja possível prever

resultados imediatos de interações únicas ou lineares, o problema maior é que hoje as interações entre
as variáveis não são mais únicas, mas sim múltiplas, não lineares e se multiplicam tão rapidamente
que acabam tendo um resultado exponencial. O conceito de complexidade poderia ser resumido pela
criação de incertezas devido ao grande volume de possíveis interações e de seus resultados.
Figura 1: Interconectividade entre os riscos globais

Fonte: 15o Relatório de Riscos Globais do Fórum Mundial 2020

A figura 1 representa o Mapa de Interconectividade entre os Riscos Globais. É possível verificar a complexidade
da medição das consequências pelo mapa de interconectividade entre os riscos. A fotografia da motricidade dos
riscos faz com que as lideranças empresariais enxerguem quais são os riscos sistêmicos, ou seja, aqueles que
influenciam um grande número de outros riscos, tornando estratégicos seu tratamento ou monitoramento.
A pandemia COVID 19 está relacionada, no mapa acima, como doença infecciosa. O Relatório informava
que, se houvesse uma pandemia, grande parte dos Sistemas de Saúde dos países, incluindo os do
primeiro mundo, não iriam suportar a demanda. Ou seja, iriam à falência. Além disso, a doença infecciosa
era considerada um risco motriz, com grande influência nos contextos de todos os países.
Esse relatório foi publicado em 08 de janeiro de 2020, o que evidencia o negacionismo

dos governantes e órgãos de inteligência de quase todo o globo.
- Ambiguidade: descreve um tipo específico de incerteza, que resulta de diferenças na interpretação de cada líder
estratégico, quando pistas contextuais são insuficientes para esclarecer o significado de determinado evento.
Ironicamente, “Ambíguo” é um termo ambíguo, cuja definição muda sutilmente dependendo do contexto
em que é empregado. Para os nossos propósitos, refere-se à dificuldade de interpretar o significado quando
o contexto é míope, borrado por fatores como cegueira cultural, viés cognitivo ou limitação perspectiva. No
nível estratégico, os líderes geralmente podem interpretar legitimamente eventos sob mais de uma ótica,
aumentando a probabilidade de uma má interpretação. Por essa razão é que os líderes devem sempre identificar
quais são as incertezas críticas que colocam em exposição os propósitos de suas organizações. Sugerimos
que sejam utilizados dois critérios: o impacto potencial sobre o propósito e a probabilidade de o evento
caracterizado como incerteza não se concretizar. O foco será nas incertezas críticas, ou seja, naquelas com maiores
probabilidades de não acontecerem e que, caso concretizadas, venham a ter o maior impacto. A Matriz abaixo
ilustra o quadrante estratégico onde se encontram as incertezas que deverão ser estudadas e monitoradas.

Figura 2: Matriz de Incertezas Críticas Visando Diminuir o Nível de Ambiguidade
Fonte: Brasiliano, 2019
Organizações grandes e complexas consistem em intrincadas redes de pessoal, componentes funcionais e operacionais.
Para atingir os Objetivos organizacionais, é necessário que esses componentes funcionem juntos e interajam com entidades
igualmente complexas.
Um líder estratégico não só lidera a empresa, mas também deve representar sua empresa durante as interações
necessárias com um sem-número de instituições que constituem o ambiente externo. Os Líderes Estratégicos devem moldar

a forma e a direção de suas empresas e influenciar os atores para que se esforcem na conquista dos objetivos. Devem colocar
“corações e mentes” nessa tarefa. Em um ambiente VUCA, as tarefas devem ser realizadas de forma colaborativa e não
apenas através do esforço individual. Portanto, a colaboração e a criação em conjunto são insumos essenciais para o sucesso
das empresas.
A figura abaixo resume o posicionamento do Mundo VUCA:
Figura 3: Mundo VUCA – Ações dos Líderes

O que o mundo VUCA nos diz é que estamos saindo de um mundo de problemas que são resolvidos de modo cartesiano,
linear, onde tudo é uma questão de análise e eliminação da incerteza, para um mundo de dilemas. Esse mundo exige
paciência e engajamento com a incerteza, bem como orientação, processo de decisão e uma visão de perspectiva do futuro.

1.3 O COVID 19 mudou esta ótica
A pandemia mostrou que a estratégia VUCA foi insuficiente perante as contingências que se apresentaram, uma vez
que poucas empresas estavam verdadeiramente prontas para o que aconteceu, mostrando que o VUCA já era uma ideia
ultrapassada. Assim surgiu uma nova denominação que fala do cenário atual, levando em conta as mudanças da pandemia e
outras que poderão surgir: o mundo BANI.
O conceito BANI foi desenvolvido pelo antropólogo, escritor e futurista norte-americano Jamais Cascio, que observou que
o VUCA estava obsoleto e não mais funcionava em um mundo tomado pela pandemia.
BANI significa “Brittle, Anxious, Nonlinear, Incomprehensible”, ou Frágil, Ansioso, Não-linear e Incompreensível, em
tradução livre.
O acrônimo carregaria a chave para que empresas possam prosperar e trazer disrupções sob a nova ótica que surgiu em
2020.
“Fazendo um paralelo intencional com VUCA, BANI é uma estrutura para articular as situações cada vez mais comuns, nas
quais a simples volatilidade ou complexidade são lentes insuficientes para entender o que está acontecendo”, diz o criador
da terminologia em seu artigo oficial. “Situações em que as condições não são simplesmente instáveis, são caóticas; nas
quais os resultados não são simplesmente difíceis de prever, e sim completamente imprevisíveis. Ou, para usar a linguagem
particular desses frameworks, situações em que o que acontece não é simplesmente ambíguo, é incompreensível.”
Interessante é que o antropólogo Jamais Cascio apresentou este novo conceito, BANI, no evento do Institute for The
Future (IFTF) em 2018, dois anos antes de a pandemia começar, porém já com sinais de novos comportamentos. Argumentou
que agora nós não vivemos mais no mundo VUCA, mas sim no mundo BANI. A pandemia acelerou esses comportamentos.

1.4 Entender o Conceito BANI
Os quatro elementos do BANI são interconectados. Sistemas complexos e fortemente unidos tendem a ser frágeis e
não lineares, o que por sua vez é incompreensível e, como resultado, gera ansiedade. É interessante notar que o contrário
também acontece – a ansiedade nos leva a implementar uma infinidade de sistemas de segurança, mas, em sistemas
complexos, são os sistemas de segurança que geralmente causam as falhas ou contribuem para que elas ocorram. Vejamos
suas definições:
Brittle - Frágil
Sistemas frágeis são suscetíveis a falhas repentinas e catastróficas. Ao contrário de

resilientes, eles são quebradiços. Esses sistemas são como o vidro de um smartphone:
podem ser extremamente resistentes, mas, quando quebram, não falham gradualmente
ou graciosamente, eles simplesmente quebram de maneira incontrolável.
Anxious - Ansioso
Hoje, a ansiedade está no nível mais alto de todos os tempos, e isso também não é uma novidade, assim como
a depressão. Em um mundo ansioso, estamos constantemente no limite, esperando as próximas notícias
ruins nos atingirem, ou a próxima distopia fictícia sendo apresentada como um caminho, não apenas possível,
mas provável e com muita credibilidade. Todas as letras do acrônimo VUCA também geram ansiedade.
Non Linear - Não-Linear
Estudiosos e tecnólogos gostam de falar sobre crescimento ou mudança exponencial, mas, em um sistema
não-linear normal, a causa e o efeito estão aparentemente desconectados, e por isso também não há
uma melhora exponencial. Às vezes, os dois (causa e efeito) apresentam um longo atraso entre eles - e
pequenas ações tomadas, ou não, podem levar a impactos descontroladamente desproporcionais. Os

seres humanos hoje, em termos técnicos, são péssimos em qualquer planejamento de longo prazo, e é
por isso que agora, e pelas próximas gerações, temos que lidar com as mudanças climáticas para pior.
As mudanças climáticas, a pandemia e quaisquer outros ciclos de associação entre “causa e

consequência” são um exemplo perfeito de como funciona um mundo não-linear.
Incomprehensible - Incompreensível
Arthur Clarke, autor de 2001: Uma Odisseia no Espaço, uma vez disse que “qualquer tecnologia suficientemente
avançada é como se fosse magia, e as coisas cotidianas agora são incompreensíveis”. Estar vivo no século XXI
é confiar em inúmeros sistemas complexos e incompreensíveis que afetam profundamente as nossas vidas. Ou
você sabe me explicar como funciona o algoritmo do Facebook? E, como a jornalista Quinn Norton apontou, “até
mesmo um desktop do Windows é tão complexo que ninguém no mundo sabe realmente o que está acontecendo
ali ou como” – muito menos ainda uma vasta rede desses computadores ou sistemas mais complicados.
1.5 Como lidar com isso
Para o antropólogo Jamais Cascio, a estrutura BANI oferece uma lente para ver e estruturar o que está acontecendo no
mundo e a sigla criada sugere oportunidades de respostas úteis para o mundo.
A fragilidade, de acordo com o antropólogo, pode ser enfrentada através de resiliência e liberdade; a ansiedade pode
ser aliviada por empatia e atenção plena; a não linearidade necessitaria de um entendimento amplo do contexto e muita
flexibilidade; e a incompreensibilidade pede transparência e intuição.
“Essas podem muito bem ser mais reações do que soluções, mas sugerem a possibilidade de que respostas possam ser
encontradas”, comenta Jamais.

Nicholas Nassim Taleb, no seu livro Antifrágil: Coisas que se Beneficiam com o Caos, argumentou que deveríamos
desenvolver sistemas antifrágeis sempre que possível. Quando não for possível, então a melhor opção seriam sistemas
resilientes que falham normalmente. Porém, ao invés disso, em nossa incessante busca por eficiência, também estamos
desenvolvendo e impulsionando sistemas frágeis. Com tecnologias como IoT (Internet das Coisas), estamos criando mais
sistemas acoplados às nossas vidas, sistemas esses inerentemente perigosos e complexos. E se falham, tudo tende a ser
muito mais problemático, beirando o caos.
Figura 4: Mundo BANI – Situações Caóticas – Ações dos Líderes

1.6 O mundo girando muito rápido
A conectividade já existia, apenas de forma diferente. Isso é irônico, pois o esforço para conectar tudo com tudo é brutal.
Não existem respostas rápidas e fáceis, mas sim respostas construtivas e estas demandam estudo e tempo.

Ao passo que a utilização do modelo do Mundo VUCA não nos permite navegar com sucesso no ambiente atual, a
identificação de alguns dos direcionadores do Mundo BANI nos traz a visão de antecipação e nos permite dar os primeiros
passos para mudar o ambiente. Aliás, o BANI pode até parecer mais assustador que o VUCA, a um primeiro olhar, mas ele
pode ser também oferecer o ensejo para impulsionar a ação.
1.7 Aumento de ataques cibernéticos na pandemia COVID 19
A falta de um Risk Assessment em Segurança Cibernética nas empresas e instituições brasileiras demonstra a sua
imaturidade e potencializou os ataques, com impactos massivos em vários segmentos, entre eles o hospitalar e a cadeia
de suprimento. O Brasil, durante a pandemia da covid-19, assistiu ao agravamento das ameaças cibernéticas e passou
a ser um dos principais países alvos desses ataques. Faltou visão e sensibilização dos executivos C-Level e do próprio
Conselho de Administração?
A resposta infelizmente é sim, tanto em nível de Conselho de Administração como no de presidência e de diretoria. Em
artigo publicado na Havard Business Review, em junho de 2020, os autores e especialistas em segurança cibernética,
Thomas J. Parenty e Jack J. Doment, ambos fundadores da empresa de segurança cibernética Archefact Group, identificaram
que o primeiro foco de atuação para avaliar os riscos cibernéticos deve ser identificar as fragilidades das atividades principais
da empresa, aquelas que são o “core business”, e não as tecnologias em si.
Apesar dos bilhões gastos com segurança cibernética, os danos causados pelas violações continuam crescendo a cada ano
e isso tem uma explicação lógica: as empresas não entendem e não conhecem seus riscos cibernéticos críticos.
Esta foi a principal razão para que o Brasil se colocasse, nos seis primeiros meses de 2020, como o sétimo país em número
de recebimento de e-mails maliciosos com temas ligados ao COVID 19.

No total foram 132 mil mensagens eletrônicas contendo algum tipo de arquivo malicioso. No mundo, os países que
mais receberam ameaças desse tipo foram Estados Unidos, Alemanha e França. Estes e-mails maliciosos, detectados pela
empresa Trend Micro, fizeram com que o Brasil sofresse mais de 447 mil ataques de phishing no período.
A pandemia do COVID 19 fez com que os hackers encontrassem a vulnerabilidade do fator humano: curiosidade em clicar
nas mensagens com temas relevantes sobre o coronavírus. Esta é a razão da importância da sensibilização dos usuários,
evitando que sejam alvos de ataques dessa natureza. Manter os sistemas críticos, que suportam as informações críticas
relativas às atividades estratégicas é crucial para ter eficácia na segurança cibernética, além da necessidade de o usuário ter
cautela ao abrir conteúdos de e-mail.
Foi um período muito difícil em nível global, mas com as atividades voltando ao normal, as pessoas começam a relaxar e
isso traz como consequência esta volatilidade e consequente abertura de brecha na segurança cibernética.
Em todo o mundo, nos seis primeiros meses de 2020, a empresa de segurança cibernética Trend Micro bloqueou 8,8
milhões de ameaças desse tipo, das quais quase 92% baseadas em e-mail. Entre janeiro e junho de 2020, os criminosos
cibernéticos mudaram seu foco para se aproveitar do interesse global na pandemia. O risco para as empresas foi agravado
por falhas de segurança criadas por uma força de trabalho completamente remota.
As detecções de comprometimento de e-mail corporativo (BEC, na sigla em inglês) aumentaram 19% em todo o mundo em
relação ao apurado no segundo semestre de 2019. Isso decorre em parte da maior exposição de pessoas, durante trabalho
em home office e das técnicas de engenharia social.
Neste contexto, surge a necessidade de um processo de gestão de riscos cibernéticos focado no negócio da empresa. Para
isso há necessidade de que a empresa como um todo, e, não apenas o responsável pela segurança cibernética, conheça e
proteja os processos, sistemas, informações consideradas críticas, as que apoiam a estratégia da empresa e as que apoiam o
seu “core business”.

1.8 Problemática da área de segurança cibernética nas empresas
A segurança cibernética cresceu em importância e parece estar definitivamente se tornando parte do negócio. Isso
significa que o tema se tornou cultura dominante? Não necessariamente. Para que seja realmente um tema relevante e
discutido de forma contínua, a segurança cibernética depende de uma conexão ainda mais profunda com o negócio.
Afinal, se é verdade que temas ligados à segurança estão chegando aos ouvidos dos Conselhos através dos CISOs (chiefs
information security officer) e de outros líderes de segurança, por outro lado esses temas ainda se restringem (em grande
parte) a questões puramente operacionais - ameaças ao setor, ferramentas para combater essas ameaças, o status de
conformidade em relação a normas e regulamentações…
Esses pontos são importantes, sim, mas passam longe de discussões mais estratégicas, como as formas de inclusão da
segurança cibernética no contexto do negócio ou a corresponsabilidade entre os diferentes setores da organização sobre os
riscos da empresa.
O certo é que os acontecimentos dos últimos dois anos colocaram muitas empresas na situação de precisar acelerar a
tomada de uma decisão: a de investir (pesadamente) na digitalização de seus processos. E é na esteira dessa mudança brusca
de rumo que vimos a segurança cibernética crescer em importância para os negócios e para a sociedade como um todo.
Sinais desse movimento foram sentidos de forma clara em inúmeras pesquisas nacionais e internacionais, como a 3a
Pesquisa Tempest e Datafolha sobre Segurança Cibernética, onde despontaram 12 tópicos considerados estratégicos:
1. Segurança Cibernética na pauta de negócios: 51% das organizações

mencionam esta disciplina em seus Mapas Estratégicos.
2. Deep Dive no board: 73% das empresas planejam Comitê exclusivo de

cibernética para assessoramento do Conselho de Administração.
3. A vez do CISO: Liderança dedicada à cibernética ainda é restrita, mas vem crescendo nas organizações.

4. CISOs são intérpretes de segurança nos Conselhos, mas há espaço para um papel mais significativo.
5. A discussão do tema segurança cibernética vive momentos distintos nos Conselhos de

Administração. Muitos estão nos primeiros entendimentos e relatórios tático-operacionais.
6. Barreiras à Segurança Cibernética: Médias empresas sofrem com desafios orçamentários,

tecnológicos e culturais, enquanto as de grande porte precisam lidar com a falta
de engajamento dos setores nos projetos de segurança cibernética.
7. Mais organizações expandem orçamento em cibernética. O crescimento, no entanto,

acompanha o aumento do orçamento geral das empresas: 69% das pesquisadas expandiram
seus investimentos em 2022, ante 44% durante a fase aguda da pandemia.
8. Pessoas X Eficiência: Times enxutos precisam de reestruturação para operações híbridas mais eficientes.
9. Centralização de fornecedor de cibernética
10. Sob forte ataque: 4 em cada 10 empresas sofreram algum incidente cibernético ou fraudes que consideraram
grave nos últimos 12 meses, principalmente sob a forma de ransomware e malware via atualização de software
11. Ponto de Atenção: a Cadeia de Suprimentos não é vista como risco elevado pelas empresas.
12. Investimentos em segurança cibernética acompanharam os movimentos

tecnológicos causados pela pandemia nos 3 momentos.
Notamos na pesquisa realizada pela Tempest (empresa de segurança cibernética, com escritórios no Brasil e em Londres)
com o Instituto Datafolha, no final de 2021, que os CISO’s hoje ainda são os responsáveis pela segurança cibernética e que
ainda há uma lacuna em relação à comunicação com os executivos C-Level e o Conselho de Administração. Hoje, 6 dos 12
temas ligados a questões estratégicas de segurança cibernética não são ainda discutidos com a alta direção das empresas.

Em 2021, cerca de 38% das empresas no mundo todo foram vítimas de ransomware, ameaça que foi campeã de ataques.
Por esta razão é que as empresas, para continuar expandindo suas capacidades, necessitam de ferramentas tecnológicas de
segurança cibernética para suportar os negócios em ritmo exponencial.
O crescimento do negócio das empresas depende primordialmente da segurança cibernética e esta deve possuir duas
competências cruciais:
• Antecipar situações de ameaça;
• Dar tempo mínimo para as empresas se adaptarem.
Essas competências só são atingidas com uma visão de cenários prospectivos de riscos cibernéticos. A Inteligência de
Ameaça nada mais é do que operar uma ferramenta que possa cruzar informações e fornecer características dos modus
operandi dos oponentes das empresas.
Para isto, é essencial entender a ambiência em que a empresa está inserida através de estudos sobre as variáveis e fatores
facilitadores de segurança cibernética, o que possibilita a compreensão das forças que impactam o seu futuro. Sendo assim,
a construção de um novo modelo de gestão de riscos cibernéticos apresenta-se como uma ferramenta de gestão que pode
melhorar o desempenho estratégico das empresas.
O presente livro propõe a construção de um framework de gestão de riscos cibernéticos tendo como ponto focal os
processos e sistemas críticos, para que as empresas consigam proteger de fato sua cadeia de valor e, com isso, reduzir a
chance de serem atacadas e assim reduzir os impactos provenientes das consequências da paralização das suas operações.
Como fechamento, pretende-se demonstrar a importância do processo de gestão de riscos cibernéticos com foco nos
processos, sistemas e informações críticas, que denominamos “Joias da Coroa”, integrados com o nível de maturidade das
pessoas que manipulam as informações e os sistemas estratégicos. Tudo isso deverá estar incluso em um framework que
possibilite às empresas operacionalizar suas estratégias e atingir seus objetivos estratégicos.

2
Riscos Estratégicos
da Quarta Revolução
Industrial
2.1 Contexto Disruptivo
O mundo de hoje é marcado por turbulências imprevisíveis e mudanças exponenciais para as quais as empresas e seus
líderes não estão preparados. É uma era em que tudo está sendo reinventado, rediscutido e reprogramado.
O mundo está transformando-se à velocidade da luz. Os processos organizacionais, as culturas empresariais e os sistemas
de tecnologia da informação do século XX já não atendem às novas demandas deste século XXI. As empresas, através da
liderança de seus executivos, necessitam romper estrategicamente alguns dogmas da administração, impondo um ritmo de
muita rapidez, agilidade e criatividade – RAC, suficientes para identificarem e se beneficiarem das janelas de oportunidades.
Estas janelas, com aberturas pequenas, abrem e fecham muito rápido e se os líderes não identificarem seus sinais, acabarão
perdendo as oportunidades que poderão ser únicas nos dias de hoje.
A liderança terá que dispor de habilidades para lidar com um ambiente de negócios agressivo e incerto, cheio de disrupções
e descontinuidades tecnológicas e, ao mesmo tempo, manter o rumo da empresa e a confiança da sua equipe para alcançar
os resultados. É um mundo extremamente turbulento.
Para podermos sobreviver a essa avalanche, temos que nos reinventar constantemente e, para isso, há a necessidade de
quebrar os dogmas existentes, quebrar algumas regras, sair da zona de conforto, pensar fora da caixa e principalmente ser
ousados para correr riscos e apostar em novas ideias e conceitos.
O importante é a liderança, em constante sinergia com a gestão de riscos, perceber que as incertezas estruturais surgem
sempre do lado de fora da empresa. É um elemento fora de controle, uma variável externa incontrolável e que, se não for
detectada a tempo e não houver na empresa uma grande agilidade e flexibilidade em se adaptar ao novo ambiente, poderá
determinar a perda do negócio.

2.2 A Quarta Revolução Industrial e seus Quatro Riscos Cibernéticos Estratégicos
Estamos em uma era em que tudo está sendo reinventado, rediscutido e reprogramado. Estamos na quarta revolução
industrial com um profundo impacto sobre a natureza das relações entre estados e a segurança internacional.
A quarta revolução industrial, tecnológica, mudará o caráter das ameaças à segurança e, ao mesmo tempo, influenciará
as mudanças de poder que estão ocorrendo tanto em termos geográficos quanto em termos de postura de atores estatais
e não estatais. Os atores não estatais terão em seu poder um número massivo de armamentos dentro de um contexto
geopolítico cada vez mais complicado, com uma perspectiva de colaboração e cocriação ilimitada, o que torna o desafio dos
governantes e líderes cada vez mais complexo em costurar a necessária malha estratégica de relacionamentos.
As informações, ideias e pessoas estão viajando mais rápido do que nunca. Ao mesmo tempo vivemos em um mundo de
grandes desigualdades, que tendem a se agravar pelas mudanças maciças do mercado de trabalho.
O mundo digital está repleto de oportunidades em rápida expansão para a inovação e, com isso, negócios, governos e
indivíduos focaram sua atenção nos significativos benefícios de se adaptar a esse movimento. Ao criar mercados e produtos,
surgiu um melhor entendimento dos consumidores, dos cidadãos e de como encontrar formas diferentes de se conectar a
eles. O mundo digital oferece um enorme potencial. Infelizmente, na pressa, muitas precauções foram negligenciadas e riscos
subestimados. A identificação de que há um outro lado da moeda e que o mundo digital também oferece grande potencial
de exploração por parte dos criminosos surgiu muito tarde. As empresas ficaram muito vulneráveis.
Adicionalmente, consequências complexas e imprevistas da interconectividade entre as pessoas, as organizações e o

ambiente estão emergindo.
Antecipar-se aos ataques cibernéticos é a única forma de colocar-se à frente dos criminosos cibernéticos. Essa é a grande
mensagem hoje para os gestores de riscos que devem administrar as ameaças cibernéticas e que precisam agir com presteza
para se manter à frente de ações criminosas.

O Global Risk Report, desde sua 12a Edição, em 2017, até a edição de 2021, coloca a Dependência Cibernética como um risco
motriz, ou seja, um risco que possui uma grande relevância em termos sistêmicos para influenciar outros a virem a acontecer.
Podemos afirmar que os Riscos Cibernéticos estão no “olho do furacão”.
Muitos esperam que as tecnologias emergentes abasteçam uma nova onda de produtividade e crescimento. O ritmo da
inovação está aumentando e a proliferação das tecnologias é inevitável, dando lugar a inovações individuais e rompendo os
modelos, processos e produtos comerciais de forma que requeiram rápida adaptação. As tecnologias relacionadas à internet,
como a internet móvel, a automatização do trabalho de conhecimento, a Internet das Coisas e a tecnologia de nuvem serão
extremamente disruptivas e gerarão o maior benefício econômico.
A falha em compreender e abordar os riscos relacionados à tecnologia, principalmente os efeitos sistêmicos na cadeia de
ciber-riscos ou do colapso da infraestrutura crítica dos sistemas de informações, pode trazer consequências massivas de
longo alcance para as economias nacionais, para os setores econômicos e para os empreendimentos globais. Segundo o
Global Risk Report, poderá haver perdas na Europa da ordem de 600 bilhões de euros nos próximos 10 anos, o que equivale
a 10% da base industrial, caso não haja uma reação adequada!
Os gestores de riscos, portanto, precisam encontrar frameworks adequados para abordar quatro riscos de alto nível
associados com a transformação na direção de uma economia mais digitalizada e interconectada. São eles:
a. Primeiro Risco Estratégico Cibernético: INTERCONECTIVIDADE
O primeiro risco estratégico cibernético é a interconectividade entre eles, o seu inter-relacionamento, naquilo que
podemos chamar de riscos ciber-relacionados. Os ciberataques e incidentes relacionados entraram no panorama
de riscos globais como entre os riscos mais prováveis e os mais potencialmente impactantes ao longo dos últimos
dois ou três anos. Nos Estados Unidos os ciberataques são considerados os mais prováveis, como a maior ameaça
potencial para os negócios. Os casos têm crescido tanto em frequência quanto em escala. Eles, até agora, têm sido
isolados, envolvendo apenas uma única entidade ou país, mas conforme a Internet das Coisas leva a mais conexões

entre pessoas e máquinas, a ciberdependência passou a ser considerada como a terceira maior tendência global
importante. Como resultado, o risco de uma empresa está cada vez mais vinculado a outras empresas. Conforme
a ciberdependência cresce, a interconectividade resultante e a interdependência podem diminuir a habilidade
das organizações de compreender completamente seu empreendimento inteiro. Conforme mais organizações
se mudam para digitalizar seus valores comerciais únicos dentro de ambientes mais conectados, que dependem
mais e mais do aprendizado de máquinas e de tomadas de decisões automatizadas, a ciber-resiliência assume
uma nova importância. Embora as organizações possam reconhecer o benefício das cibertecnologias para seus
pontos de partida, elas podem não internalizar completamente os riscos cibernéticos e fazer o nível adequado
de investimento para melhorar a gestão de riscos operacional e fortalecer a resiliência organizacional. Atenção
particular é necessária em duas áreas que até agora estão subprotegidas: a internet móvel e as conexões de
máquina para máquina. É vital integrar a gestão cibernética e a física, fortalecer a resiliência e os processos
organizacionais, que diante das tecnologias são desprezados, mas aproveitados pelos criminosos cibernéticos.
b. Segundo Risco Cibernético Estratégico: TROCA DE INFORMAÇÕES –

FLUXO DAS INFORMAÇÕES – TRÁFEGO das informações
Abordamos aqui a troca de dados, informações e/ou tráfego das informações pelos meios físicos e/ou digitais
entre os países e as partes interessadas. Os dados são chamados de “petróleo do século XXI” e um framework
legal e previsível é necessário para realizar o potencial econômico completo da digitalização. Os casos recentes
da reversão política criaram incerteza sobre a situação legal, o que pode dificultar o investimento e a adaptação
das tecnologias recentes. Dada a natureza internacional inerente dos fluxos de dados, em áreas como a supply
chain ou a impressão 3D, a governança nacional precisa ser complementada por um framework internacional em
funcionamento. Entretanto, o regime regulatório atual é subdesenvolvido e carece da certeza legal necessária,
em áreas como a privacidade, a transparência, o controle de criptografia, o efeito dos regimes de propriedade
intelectual sobre os dados que cruzam fronteiras e o impacto dos dados autorais sobre a concorrência. Dados

os muitos agentes e indústrias envolvidos nos interesses competitivos em questão, as partes interessadas
provavelmente lutarão para entrar em acordo. Além disso, a infraestrutura física para troca de dados, como
os cabos submarinos, também pode se tornar um alvo em conflitos internacionais ou terrorismo. Podemos
citar como exemplo as divulgações de Edward Snowden de que as redes oficiais de comunicações do Brasil
se sujeitavam à espionagem rotineira pela Agência de Segurança Nacional (NSA) norte-americana, criando
o espectro de uma nova ameaça cibernética no Brasil, a espionagem cibernética e a guerra cibernética.
c. Terceiro Risco Estratégico Cibernético: AS MUDANÇAS DO AMBIENTE DE TRABALHO
As mudanças no ambiente de trabalho passam a ser o terceiro risco estratégico cibernético, tendo em vista
as grandes incertezas que trarão. Embora exista uma quantidade infinita de possibilidades de novos tipos de
trabalhos que as novas tecnologias criarão, é provável que as categorias de trabalho hoje existentes serão
computadorizadas. Desta forma, há uma ansiedade sobre o destino do fator humano! O US Bureau of Labor
Statistics estima que, até 2022, 47% dos trabalhadores americanos terão alta rentabilidade se seus trabalhos se
tornarem automatizados. Os exemplos evoluem para robôs assumindo as tarefas manuais na manutenção do
estoque online do varejo, dos cuidados de saúde, dos diagnósticos e no check-in dos hóspedes de hotéis, enquanto
os trabalhadores de conhecimento em tarefas cognitivas não rotineiras seriam deslocados pelos avanços nos
algoritmos inteligentes. O sistema de emprego inteiro teria de ser repensado para facilitar as transições entre
diferentes tipos de trabalhos. Espera-se que as perícias das áreas de ciência, tecnologia, engenharia e matemática
aumentem em importância a médio prazo, com a projeção das necessidades a longo prazo, com foco nas perícias de
criatividade, solução de problemas e inteligência social. Ou seja, o fator humano terá uma valoração muito maior,
e automaticamente terá que possuir uma maior capacitação, não havendo espaço para pessoas desqualificadas.

d. Quarto Risco Estratégico Cibernético: AUMENTO DA DESIGUALDADE SOCIAL
O quarto risco cibernético é a ampliação das desigualdades sociais, de renda e de riquezas, fazendo
com que haja instabilidade social, favorecendo os cibercrimes e o ciberterrorismo. O acesso à tecnologia
provavelmente exacerbará as diferenças de renda dentro e através dos países, com aqueles que se adaptam
ganhando e aqueles que não se adaptam perdendo renda. Quatro bilhões dos 7 bilhões de habitantes do
planeta ainda não possuem acesso à internet e podem não ser capazes de lucrar com o crescimento movido
pela tecnologia. Atualmente, a distribuição de renda é largamente determinada pelo emprego: o avanço
da tecnologia pode diminuir os retornos ao trabalho e levar à acumulação da riqueza em poucas mãos. A
desigualdade excessiva reduz a demanda agregada, ameaça a estabilidade social e pode aumentar riscos
como a migração involuntária ou o terrorismo provocado pelo extremismo violento. Aumentar a desigualdade
também se relaciona aos aumentos nos problemas de segurança, como as mortes violentas ou roubos.
Esses quatro riscos fazem com que os gestores de riscos repensem de forma holística as ameaças cibernéticas, que hoje
estão elevando seus níveis de persistência, sofisticação e organização; e os prejuízos causados pelos respectivos ataques,
que podem impactar fortemente os negócios das organizações.
As ameaças cibernéticas continuam a se multiplicar. O advento do mundo digital e a inerente interconectividade abrem
um leque totalmente novo de vulnerabilidades. As defesas de segurança das empresas estão sob crescente pressão,
extrapolando os limites tradicionais e, assim, retirando os perímetros tradicionais da segurança da informação, motivando
cada vez mais os agentes agressores.
Os quatro riscos estratégicos possuem como principais causas:
- Mudança do Contexto: No mundo pós-crise econômica, os negócios precisam se movimentar rapidamente.

Os lançamentos de novos produtos, fusões, aquisições e a introdução de novas tecnologias estão em alta.
Essas mudanças invariavelmente causam impactos na solidez da segurança cibernética das organizações;

- Mobilidade e Acessibilidade: A adoção da computação móvel resultou na dissipação das
fronteiras das organizações, com a área de TI aproximando-se cada vez mais dos usuários
e distanciando-se, assim, das organizações. O uso da internet, smartphones e tablets, em
combinação com a política de BYOD (do inglês: Bring Your Own Device, ou “Traga Seu Próprio
Dispositivo”) tornou os dados das organizações acessíveis em qualquer lugar;
- Ecossistema: Vivemos e operamos num ecossistema de entidades, pessoas e dados digitalmente conectados,
ampliando a possibilidade de exposição aos crimes cibernéticos, seja em casa, seja no trabalho;
- Nuvem: Os serviços baseados em nuvem e o gerenciamento e armazenamento de dados

terceirizados abrem novos canais de risco, que anteriormente não existiam;
- Infraestrutura: Os sistemas de tecnologia de automação, anteriormente isolados, agora

estão recebendo endereços IP. Por isso, as ameaças cibernéticas vêm fazendo incursões
fora dos sistemas de BackOffice e em infraestruturas críticas, como os sistemas de
geração de energia e transportes, além de outros sistemas de automação.
O poder de ataque dos agentes agressores aumentou, ampliou seu espectro e sua velocidade. Hoje, os agentes agressores
possuem acesso a recursos significativos, tornaram-se mais pacientes e sofisticados do que antes, e estão procurando
vulnerabilidades em todo o ambiente operacional empresarial, inclusive nas pessoas e nos processos.
O risco cibernético não é apenas uma ameaça de informática. É um risco de toda a empresa. A segurança contra o
cibercrime deve ser integrada ao sistema de gerenciamento de risco, ou seja, ao Enterprise Risk Management (ERM) da
organização, desempenhando um papel crítico de monitoramento e com o gestor de riscos oferecendo assessoramento
especializado para dar suporte à tomada de decisões.

Estes riscos também ameaçam a reputação das empresas e a resiliência de suas cadeias de suprimento, uma vez que
causam danos a terceiros. A Alta Gestão deve entender que o risco cibernético é um risco corporativo, que deve ser
monitorado e supervisionado de forma estratégica, caso contrário a corporação sofrerá sérios prejuízos.

3
Risco Cibernético
é uma realidade
3.1 Risco Cibernético: Conceito e Abrangência
Empresas e Instituições Financeiras estão muito preocupadas e ao mesmo tempo se sentem despreparadas para enfrentar
os riscos cibernéticos. Esta é uma grande fragilidade no que diz respeito à competitividade nos próximos anos. O Brasil está
na mira dos criminosos cibernéticos e empresas de médio e grande porte já sofrem sequestros digitais.
Segundo a ABNT NBR ISO/IEC 27032 – Tecnologia da Informação - Técnicas de Segurança – Diretrizes para segurança
cibernética, o conceito de espaço cibernético pode ser definido como:
“Ambiente virtual que não existe em qualquer forma física, mas sim, um ambiente ou espaço
complexo resultante do surgimento da Internet, somado às pessoas, organizações e atividades
em todo tipo de dispositivos de tecnologia e redes que estão conectados a ele. A segurança do
espaço cibernético, ou segurança cibernética, é a segurança desse mundo virtual.”
Portanto a segurança cibernética não é sinônimo de segurança de Internet, segurança de rede, segurança de aplicativos,
segurança de informação ou somente de infraestruturas críticas.

Figura 5: Relação entre Segurança Cibernética e outros Domínios de Segurança da Informação
Fonte: ABNT NBR ISO/IEC 27032:2015
A convergência de tecnologias de informações e comunicação, a facilidade de entrar no Espaço Cibernético e o

estreitamento do espaço pessoal entre indivíduos estão ganhando a atenção dos meliantes e das organizações criminosas.
Essas entidades estão usando os mecanismos existentes como o span phishing e o spyware, assim como o desenvolvimento
de novas técnicas de ataque, para explorar qualquer fraqueza que elas possam descobrir no Espaço Cibernético. Nos últimos

anos, ataques de segurança no Espaço Cibernético evoluíram de hatching para a reputação pessoal, para o crime organizado
ou crime cibernético.
A partir daí os principais arquivos dos computadores de empresas brasileiras já são bloqueados e só liberados após
pagamentos de resgate. Entre 2014 e 2016, o número de ocorrências desse tipo de crime aumentou mais de três vezes,
segundo o estudo da empresa israelense Intel Security, e o Brasil é um dos países com maiores taxas de crescimento.
A presença dos riscos cibernéticos está entre as principais preocupações das instituições financeiras e se insere em um
contexto mais amplo de crescimento da importância da gestão dos riscos não-financeiros, segundo pesquisa realizada por
empresas especializadas.
Embora não haja falta de ameaças de segurança cibernética, assim como há muitas formas de combatê-las, ainda que não
padronizadas, as questões chaves, na guerra cibernética são:
• Ataques de software maliciosos e potencialmente indesejados;
• Ataques de engenharia social;
• Compartilhamento e coordenação de informações.
As três questões chaves devem ser avaliadas quanto aos riscos reais de possíveis ataques, e quão vulnerável a empresa se
encontra. As avaliações de riscos auxiliam na seleção de controles contra os respectivos ataques e o foco é a redução a um
nível aceitável.

Controles são impostos para reduzir as fragilidades e/ou impactos. Há a necessidade de que estes controles sejam
adequados para combater as ameaças aos ativos antes que estes sejam expostos às ameaças especificadas. A figura abaixo
mostra de forma holística a correlação entre os atores e fatores de riscos cibernéticos.
Figura 6: Relações de Segurança no Ciberespaço

Fonte: ABNT NBR ISO/IEC 27032:2015

O número de empresas, no Brasil, que sofreram ataques pode ser vista no infográfico abaixo:
Figura 7: Ataques Cibernéticos com repercussão na mídia - 2020

Fonte: Instituto Brasileiro de Seleção e Projetos - IBRASP
Segundo pesquisa realizada pela Universidade de São Paulo, a estratégia mais comum é infectar as máquinas, através de
e-mails spam. Os criminosos disparam centenas de milhões de mensagens falsas simulando e-mails reais – uma cobrança de
uma conta atrasada, comunicados de banco, intimações da Receita Federal... Parte do spam vai parar nas contas corporativas
de funcionários, o que deixa as empresas expostas. De cada dez vítimas de sequestro digital, quatro são atacadas por
intermédio de seus computadores profissionais.
O foco são as empresas de serviço, que representam 38% dos ataques registrados. Segundo o FBI, os resgates pagos de
janeiro a julho de 2016 somaram em torno de 2,6 milhões de dólares, com uma média de 700 Dólares por resgate. O aumento
em relação a 2015 foi de 60%.

O ponto de maior importância é fazer com que os executivos de riscos adotem uma postura ativa e se preparem para este
futuro que já chegou. Portanto, a Gestão de Riscos Cibernéticos já é uma realidade. E o maior risco é atrasar a blindagem
técnica que o gestor de risco deve ostentar. Há a necessidade de deixar claros os deveres e responsabilidades dos gestores
da primeira, segunda e terceira linha, além da Diretoria e do Conselho, pois há uma interconectividade na garantia de a
privacidade do usuário não ser violada.
3.2 O mercado mudou, a empresa deve mudar
Organizações não têm escolha a não ser operar neste ambiente; por este motivo, inevitavelmente, existe uma crescente
preocupação dos governos, empresas privadas e da mídia com o que pode estar ocorrendo de errado no local em que o
espaço cibernético e o mundo físico se encontram. É inaceitável que clientes tenham seus dados pessoais roubados e usados,
assim como são inaceitáveis o roubo de propriedade intelectual e os custos subsequentes de remediação.
A manipulação e a deturpação da mídia, comunicações, administração governamental e sistemas de defesa são vistos
como ameaças significativas à segurança nacional.
Toda esta estrutura organizacional precisará estar inserida no contexto “cibernético”. As áreas públicas e privadas precisam
trabalhar de forma integrada, pois o espaço cibernético não é restrito a um único segmento. Além disso há inúmeros e
variados vasos comunicantes que devem ser gerenciados de forma integrada e inteligente, com funções e responsabilidades
claramente definidas, caso contrário as vulnerabilidades serão aproveitadas pelos hackers.

3.3 Mundo digital
O mundo digital é composto de serviços e dispositivos “inteligentes” que resultam em consequências indesejadas e uma
massa de dados que aumenta o número de vulnerabilidades a serem exploradas, além de pessoas que geralmente são
removidas do processo de tomada de decisão.
Mídia social e BYOD, com empregados, clientes, cidadãos “sempre conectados” e compartilhando informação - não
apreciando totalmente as implicações resultantes da privacidade e da confidencialidade.
Organizações inserindo mais dados na nuvem e compartilhando com terceiros: atrativo, mas perigoso.
Com a perda de controle, há o aumento das ameaças e a conectividade inesperada, criando um ecossistema complexo.
Os comportamentos humanos estão mudando, de forma positiva e negativa.
O surgimento de novas legislações e regulações está forçando mudanças nos processos. Estas, por sua vez, criam
vulnerabilidades que fatalmente modificarão os cenários de ameaças e a superfície de ataque de uma organização.
Os perímetros das empresas cada vez menos nítidos ou, pode-se dizer, inexistentes, dificultam em muito a segurança
cibernética.
3.5 Riscos Cibernéticos
Para que a organização esteja em um ambiente seguro e sustentável no mundo digital, é necessário identificar com
antecipação seus riscos cibernéticos. Estes têm origem no ambiente externo, sendo denominados de ameaças, pois a empresa
pouco pode fazer para impedi-los. Pode, sim, gerenciá-los e implantar uma série de medidas de dissuasão. Existem também
riscos cibernéticos com origem no ambiente da empresa e que podem ser bloqueados, antes de serem materializados, ou
mitigados. Com relação a esses riscos com origem interna, o ideal é que haja uma forte dissuasão dos agentes.

As empresas, embora preocupadas, estão gerenciando seus riscos cibernéticos pontualmente, o que significa que expõem
fortemente todos os “nós”. A empresa precisa entender que a responsabilidade não pode ser somente da área de TI e que
deve implantar uma gestão integrada de riscos nas mais diversas áreas corporativas, já que hoje o perímetro de segurança
cibernética quase não mais existe, com a progressiva extinção das barreiras que separam o físico do lógico. A evolução
tecnológica, como a IOT – internet das Coisas, abriu uma avenida de oportunidades mas também de ameaças para as
empresas, tornando essencial uma visão holística, com um olhar no seu ecossistema, convergindo para uma visão prática,
acessível e coerente.
O que tem que ficar claro para as empresas é que não adianta construir barreiras internas – incluindo seus dados, sistemas
e pessoas. Esse é um ponto de partida, mas esse perímetro não é mais estável e essa barreira deixou de ser eficaz.
Por que deixou de ser eficaz? Porque a maioria dos negócios atuais é conduzida além desse limite. As organizações, para
serem competitivas e disruptivas e continuarem se comunicando com o mercado e seus parceiros de negócio, são obrigadas
a gerenciar “brechas” na barreira. Consequentemente, o sistema de segurança cibernética deverá também incluir uma
rede mais ampla: clientes, fornecedores, parceiros de negócios e até ex-colaboradores – que, juntos, formam o chamado
“ecossistema do negócio”. Para uma organização ser capaz de gerenciar efetivamente os riscos do seu ecossistema, ela
precisa definir com clareza os limites desse ecossistema. E deve também decidir o que está disposta a gerenciar dentro
desses limites, dentro de seu apetite de risco cibernético.
O Conselho de Administração e a Alta Gestão das empresas devem definir o apetite de risco cibernético e saber quais
informações e dados são relevantes para a empresa. Esta relevância das informações e dados serve para a empresa priorizar
seus ativos em termos de investimentos de segurança cibernética, com a implantação de camadas adicionais de segurança
cibernética. Com base nesses critérios, a alta gestão fica posicionada para tomar ações decisivas quando ocorrer um
incidente.

Figura 8: Perímetros de Segurança Cibernética cada vez mais complexos e diminutos
Fonte: Empresa E&Y

3.6 Ameaças mais complexas e frequentes
A situação da segurança cibernética em diversos setores da economia mostra para o Brasil um panorama crítico, onde o
gestor de segurança cibernética deve saber priorizar o que é mais importante, pois cada tipo de vulnerabilidade causa um
impacto específico e tem um peso diferente nas decisões a serem tomadas. É importante separar as ameaças que mais estão
se aproveitando de vulnerabilidades conhecidas daquelas com maior incidência. As semelhanças entre elas destacam a força
e importância de uma gestão de vulnerabilidades de caráter preventivo, centralizada e baseada em riscos.
Certas vulnerabilidades podem representar riscos variados, mas elas sempre se encaixam em algum padrão.
Esse conhecimento permite às organizações situarem-se à frente das ameaças. Identificando vulnerabilidades que,
provavelmente, serão exploradas e, em seguida, relacionando-as ao contexto de negócios, as equipes de segurança podem
reduzir efetivamente o risco geral para suas organizações
Os principais riscos cibernéticos de 2021 foram:
Figura 9: Principais riscos cibernéticos de 2021

Fonte: Relatório de Ameaças 2021 – Gat Infosec

Embora algumas vulnerabilidades possam ser mais nocivas que outras, criminosos que as exploram podem ser um
tanto quanto previsíveis. As que permitem a execução remota de código, por exemplo, tendem a atrair mais interesse, da
mesma forma que aquelas que afetam determinados sistemas operacionais e programas de certos fornecedores têm maior
probabilidade de ser utilizadas para facilitar eventuais ataques.
A camada de aplicativos da web é onde a maioria dos riscos ainda reside, mas ativos nas camadas inferiores (protocolos,
servidores ou sistemas, por exemplo), se descobertos, também podem causar grandes problemas quando explorados de
forma nociva. Sabemos que a visibilidade é um fator-chave para a segurança cibernética e, com base em nossas varreduras
contínuas de ativos cibernéticos, coletamos dados e realizamos análises sobre como sistemas críticos e sensíveis estão
vulneráveis, especialmente quando expostos à Internet pública.
Em 2020, por exemplo, foi relatado um aumento de 40% na exposição de serviços de desktop remoto, devido ao
crescimento do home office durante o ano. Até esse momento, a maioria das empresas não tinha a visibilidade ou os
sistemas adequados em vigor, para torná-las cientes ou informá-las sobre tal exposição. Investigando a segurança
cibernética interna, olhando para medidas e métricas que podem não receber a atenção devida, percebemos que estas são
críticas em casos de ataques de malware, ransomware e outras variedades em crescimento, visto que tais ataques tentam
multiplicar seu impacto com base em vulnerabilidades comuns em redes corporativas para se espalhar por toda a empresa.
Descreveremos os principais riscos cibernéticos:
a. Fator Humano
Alguns riscos de fator humano tiveram um crescimento maior que o esperado durante a
pandemia de Covid-19, devido às mudanças pelas quais o mercado de trabalho passou nesse
período, mostrando-se ainda mais nocivos às organizações a partir de 2020.
A quantidade de ataques direcionados aos usuários finais e suas estações de trabalho está aumentando
exponencialmente e, apesar das proteções de perímetro, estes ataques têm sido eficazes devido à

falta de conscientização dos usuários. Atualmente, o fator humano é percebido como o elemento mais
vulnerável na proteção das informações da empresa, sendo muito explorado por criminosos.
Os programas de conscientização devem ser amplos e exigentes, especialmente porque a Segurança da

Informação depende, afinal, das pessoas que os criam, gerenciam e utilizam. Estratégias tradicionais, como
treinamentos superficiais, informações disponíveis na intranet corporativa e campanhas de conscientização por
e-mail não parecem eficientes o suficiente para deixar uma marca duradoura ou modificar o comportamento de
colaboradores e parceiros. Tais estratégias de conscientização tradicionais podem ser ineficientes dado o nível
das ameaças, não tendo demonstrado ser o suficiente para mitigar vulnerabilidades ligadas aos usuários.
Entre as ações realizadas por uma organização visando à segurança dos dados que ali trafegam, devem
estar, além de mensagens, materiais e treinamentos, atividades de conscientização recorrentes voltadas
para os usuários, especialmente para os recém-contratados ou aqueles que lidam com dados sensíveis
como, por exemplo, a alta direção e os encarregados das senhas utilizadas nos sistemas da organização.
b. Ransomware
Apesar das manchetes na mídia, o setor público é muito menos afetado por ransomware que o setor
privado. De acordo com uma pesquisa comissionada pela consultoria de segurança cibernética Sophos,
45% das organizações do setor público foram atingidas por ransomware no ano passado, em comparação
a uma média global de 51% e a um índice de 60% entre empresas de mídia, lazer e entretenimento.
Outro fator marcante é que empresas e organizações tendem a sofrer um número muito maior de ataques que
as pessoas físicas. A consultoria de segurança cibernética Kaspersky indica que, das 5.000 tentativas diárias
de sequestro de dados na América Latina em 2020, cerca de 2300 aconteceram no Brasil, sendo que 67% dos
ataques foram direcionados a empresas e organizações, com os 33% restantes tendo pessoas físicas como alvo.

No último ano, servidores em nuvem passaram a ser alvos extremamente visados, visto que boa
parte dos ataques em que dados foram criptografados envolveram dados na nuvem pública. Este
fato deixa claro que criminosos virtuais estão agora explorando dados onde quer que estejam
armazenados, não apenas tentando comprometer máquinas físicas específicas em organizações.
No panorama atual, engenharia social, phishing e ransomware são técnicas de ataque que costumam andar
de mão dadas, com o Brasil ficando em segundo lugar no mundo em relação a ataques de ransomware, atrás
apenas da Índia. Levando em consideração que a maioria dos ataques tem origem em links para conteúdo
malicioso ou downloads contidos em mensagens fraudulentas via e-mail, e que estas práticas estão, muitas
vezes, interligadas, a visibilidade e a conscientização a respeito do assunto são de extrema importância.
c. Acesso Remoto
Diversas notícias mostraram que grandes vazamentos de dados e ataques sofridos por diversas organizações
ao redor do mundo foram causados pela falta de segurança das redes domésticas aliada ao trabalho remoto.
O próprio ataque ao STJ em novembro de 2020 foi, aparentemente, fruto de uma vulnerabilidade criada
pelo regime de home office. Servidores que trabalham na corte relataram ao site The Brazilian Report
que o ataque aconteceu, possivelmente, devido a vulnerabilidades criadas por usuários que acessam
remotamente a rede do tribunal, trabalhando em suas casas e utilizando conexões desprotegidas.
Um estudo da consultoria Deloitte apontou que, diariamente, mais de mil dispositivos não seguros
são conectados a redes corporativas em 30% das empresas pesquisadas nos E.U.A., Reino Unido
e Alemanha. Este tipo de ocorrência está associado à virtualização do ambiente de trabalho, com
funcionários em casa, multiplicando a superfície de exposição e as vulnerabilidades das redes e
criando inúmeras brechas de segurança e portas de entrada para ataques cibernéticos.

Neste cenário, surge uma questão: será que já transferimos para nossas casas as práticas de
segurança aplicadas nas empresas? As políticas de segurança aplicadas à prática de BYOD (Bring
Your Own Device), comum em diversas organizações, deixam de ter importância a partir do momento
em que a empresa permite que seus equipamentos sejam utilizados nas residências de seus
colaboradores, muitas vezes em uma rede não corporativa com pouca (ou nenhuma) segurança.
Nem tudo está relacionado ao mundo corporativo quando se fala de acesso remoto. Tais fraquezas
também são exploradas para atacar o aluno que está se adaptando ao mundo virtual, crianças que
são usadas para obter informações de cartão de crédito ou até credenciais de acesso dos pais, por
vezes até pelo uso de chantagem. Atualmente, a conscientização sobre o risco de fator humano
deve sair das salas de reunião e fazer parte das conversas nas mesas de café da manhã.
d. Phishing
O crime de phishing consiste em uma técnica de engenharia social utilizada para enganar usuários e obter
informações sensíveis, tais como credenciais de usuário, dados pessoais, senhas e detalhes do cartão de crédito.
Os criminosos utilizam mensagens fraudulentas, similares às que seriam autênticas, em que os usuários são
atraídos por comunicações que parecem vir de fontes conhecidas, tais como sites, bancos, processadores de
pagamento online ou, até mesmo, administradores de TI das próprias organizações em que trabalham.
Em 2020, esta variedade de crime cibernético teve um crescimento 30% acima da média dos últimos anos,
especialmente devido à virtualização dos ambientes de trabalho e ao aumento do tempo que as pessoas passaram
a dedicar a dispositivos conectados, uma vez que o período diário em confinamento cresceu vertiginosamente.
A lógica utilizada pelos cibercriminosos ao realizar seus ataques continua apoiada em questões relevantes
e atuais para o público, criando uma ponte contextual como forma de facilitar a fraude. Por exemplo,

a pandemia de Covid-19 foi largamente explorada ao redor do mundo como pretexto para enviar
mensagens fraudulentas com informações falsas sobre a vacinação, com o objetivo de abrir brechas.
Diversas organizações foram alvos de ataques, com o objetivo de fazer usuários desavisados
confiarem em seu conteúdo, seja para infectá-los com malware ou simplesmente para
obter suas credenciais, as finalidades mais comuns desse tipo de ataque.
e. Senhas e Autenticações
Credenciais de acesso estão entre os principais fatores que criminosos utilizam para acessar uma
organização. Em 2020 identificamos um crescimento expressivo no número e na incidência de
técnicas de ataques e atividades maliciosas que visam expor tais dados. Com a chegada da pandemia
e a necessidade de realizar o trabalho à distância, colaboradores, parceiros e terceiros ficaram
mais expostos do que nunca a tais de ataques e diversas organizações sofreram com isso.
Foram revelados, pouco a pouco, detalhes da investigação sobre o ataque sofrido pela
empresa SolarWinds em 2020(1). De acordo com a consultoria em segurança espanhola
Everis/NTT, foi descoberto que o maior ataque daquele ano foi, possivelmente, causado pelo
uso de uma senha insegura, que não cumpria com os controles estabelecidos. Aparentemente,
a senha era “solarwinds123” e quem a utilizava era um estagiário da empresa.
Há uma grande preocupação em relação à segurança cibernética, especialmente em meios de pagamento,

mas os métodos atualmente empregados não são eficientes o suficiente, frente à complexidade das
ameaças. Os frameworks de controle multicamadas, por exemplo, apoiados por uma governança madura,

são considerados mais eficazes que métodos comuns de autenticação mas, apesar de haver a adoção
de recomendações de entidades e fabricantes por parte das organizações, os métodos biométricos e
autenticação de dois fatores ainda não são amplamente utilizados como controles para validar usuários.
f. Segurança de Terceiros
A Segurança da Informação de terceiros, e ao longo do supply chain, continua a ser o ponto fraco de
muitas organizações. As empresas de consumo estão enfrentando inúmeros problemas relacionados
à Segurança da Informação em suas cadeias de suprimento, cada vez mais globais e complexas.
Empresas e organizações sempre buscaram otimizar as operações para se concentrarem nas

competências essenciais, terceirizando tarefas para obter vantagem competitiva. Em um ambiente
de negócios interconectado, cada vez mais dependente de tecnologia, isso significa conceder
acesso para mais fornecedores e dispositivos em toda uma cadeia de suprimentos digital.
Nesse cenário, o número de vulnerabilidades e o tamanho das superfícies de exposição crescem

proporcionalmente ao número de dispositivos e parceiros de negócios em rede, criando situações
em que o potencial para prejuízo se estende muito além do dinheiro. Violação e vazamento de
dados, espionagem e até interrupção dos negócios, podem ter um impacto econômico significativo
se a produção, estoque, ou os sistemas de distribuição forem paralisados ou incapacitados.
O risco de postura de terceiros é tão crítico para a segurança de uma organização quanto suas próprias
defesas à medida em que criminosos estão, cada vez mais, explorando oportunidades a partir de vários
pontos de acesso para penetrar em alvos de alto valor. Traçando um paralelo com o mundo físico, se
a porta da frente de uma instalação é muito segura, bem guardada e com rígido controle de acesso,
talvez a janela ou a porta dos fundos sejam pontos de acesso mais fáceis para uma invasão.

g. Patches e Atualizações
Entre os inúmeros CVEs (Common Vulnerabilities and Exposures) que exploram a falta de atualizações
em sistemas públicos e privados, identificamos um número expressivo de brechas de segurança que
poderiam ser mitigadas com uma simples atualização de softwares ou sistemas operacionais. Infelizmente,
os ataques cibernéticos de maior impacto nos últimos anos foram, em sua grande maioria, apoiados
em falhas cujas atualizações e correções já são conhecidas e estão disponíveis há mais de 10 anos.
CVEs conhecidos e com solução disponível desde 2004 ainda são utilizados para invasão,
ransomware e criação de kits de ferramentas de malware para explorar sistemas em 2021.
O CVE-2017-0199, por exemplo, foi divulgado e corrigido pela primeira vez em abril de 2017. Ele permite que
um invasor execute um script depois que a vítima abre um arquivo .DOC com código malicioso. Ao contrário
de muitos outros exploits do Microsoft Word® e WordPad®, a vítima não precisa habilitar macros ou aceitar
quaisquer prompts do sistema, pois o documento carrega e executa um arquivo malicioso à escolha do invasor.
Nos últimos anos, a maioria dos ataques de criticidade grave se baseia em falhas há muito tempo corrigidas
por desenvolvedores de softwares e sistemas operacionais, que disponibilizam constantemente atualizações
críticas como patches independentes ou associados a um pacote de atualizações. São exploits funcionais
espalhados pela Internet, utilizados por criminosos cibernéticos para realizar ataques em aplicativos que
contam com atualizações disponibilizadas ao mercado frequentemente, mas nem sempre a um custo
acessível, o que cria inúmeras brechas de segurança em superfícies de ataque extensas. Organizações que
não conseguem manter todos os seus sistemas devidamente atualizados, devido aos altos custos associados,
quando há um grande número de ativos, trazem graves consequências para a segurança de suas redes.
Atualizações críticas ainda representam desafios, sendo que 70% das vulnerabilidades
identificadas em nossas plataformas ocorrem em sistemas operacionais e softwares,

seguidas de falhas em políticas de compliance em relação à configuração. Isso demonstra
que corrigir sistemas em ambientes de produção não é tão trivial quando parece.
h. Tempo de Correção de Vulnerabilidades
Um dos maiores problemas para a gestão eficiente de um SGSI (Sistema de Gestão de Segurança da
Informação) consiste no tempo médio decorrido até que seja realizada a correção de uma vulnerabilidade.
Os dados em nossas plataformas de análise e gestão de Segurança da Informação sobre o tempo médio
decorrido até que seja realizada a correção de uma vulnerabilidade trazem à tona a questão da visibilidade
e do quanto ela é fundamental para a detecção constante de vulnerabilidades em um curto período.
Atualmente, o tempo médio para correção de um CVE já identificado gira em torno de 112 dias, período
em que sistemas de uma organização podem ficar expostos e sujeitos a invasões baseadas neste tipo
específico de vulnerabilidade. O prejuízo de tais ataques podem ser maior que o esperado visto que, entre
as vulnerabilidades identificadas, as que mais demoram para ser corrigidas são as de alta criticidade.
Figura 10: Tempo Médio de Correção de Vulnerabilidades.

Fonte: Relatório de Ameaças 2021 – Gat Infosec

Este fato vai diretamente contra as boas práticas para garantir a segurança dos dados de
uma organização, visto que este é um dos tipos de vulnerabilidade que podem trazer maior
impacto financeiro e na manutenção da operação de uma organização, contrariando os indicadores
de maturidade e eficiência de um Programa de Segurança da Informação eficaz.
INDICADORES DE EFICIÊNCIA E MATURIDADE DO SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO
• Visibilidade das vulnerabilidades
• Número de ataques cibernéticos evitados
• Tempo decorrido para identificar o incidente
• Tempo decorrido para conter o incidente
Podemos reparar que os riscos na área de cibernética são conhecidos e de certa maneira negligenciados pelas empresas.
As correções de vulnerabilidades demoram muito tempo para serem fechadas, deixando as portas abertas. Sem um Risk
Assessment nas Joias da Coroa, de forma contínua, as instituições estão ficando muito expostas e a alta direção não
consegue enxergar esta grande fragilidade.
Como ficou nítido na 3a Pesquisa Tempest DataFolha sobre Segurança Cibernética, o grande desafio dos gestores de
cibernética é a habilidade para comunicar-se em termos de negócio, ressaltando os impactos e suas massividades.
O artigo publicado na Revista HBR, comentado na introdução deste livro, também ressalta esta falta de visão para o
negócio nos profissionais de segurança cibernética. Portanto, é primordial um framework que obrigue o gestor de segurança
cibernética a olhar para este lado e falar a linguagem dos executivos.
A 3a Pesquisa Tempest DataFolha sobre Segurança Cibernética também levantou a quem o CISO se reporta nas grandes e
médias empresas:

A QUEM O CISO, OU LÍDER DE SEGURANÇA DA INFORMAÇÃO, SE REPORTA
1. Dentre as empresas que possuem CISO ou líder de segurança, em 36% dos casos
este cargo responde ao Diretor de Tecnologia e 24% diretamente ao CEO.
2. Já em empresas de médio porte, com 100 a 500 colaboradores, em 33% dos casos
o CISO está sob a estrutura da Diretoria de Riscos, Compliance ou Jurídica.
3. É expressiva a diferença nas empresas de grande porte, com mais de 500 funcionários, o
nde em
64% o líder de Segurança de Informação responde ao CTO ou CEO, ante 45% nas médias empresas.
Figura 11: A quem o CISO de Reporta nas Organizações

Fonte: 3a Pesquisa Tempest DataFolha 2022

O percentual de reporte para a alta gestão é muito baixo. Esta é uma das razões da falta de sensibilidade em segurança
cibernética pelos executivos C-Level.
3.7 Agenda Digital
O Instituto Igarapé realizou uma pesquisa, concluída em 2021, na qual identificou com as empresas públicas e privadas e
instituições governamentais que riscos digitais são uma categoria de risco relacionada ao uso, desenvolvimento e/ou gestão
do ambiente digital na condução de quaisquer atividades.
Por mais que determinadas entidades sejam capazes de identificar seus próprios riscos, elas desconhecem aqueles
compartilhados com outros setores.
As demandas e pressões imediatas para se reagir a riscos dentro de organizações resultam em respostas e experiências
estritamente setoriais para desafios que transcendem a esfera organizacional.
Outros atores carecem de recursos e/ou capacidades para identificar e responder às ameaças, como, por exemplo,
organizações da sociedade civil e entes do setor privado que tiveram que se digitalizar rapidamente para atender a um
contexto de serviços virtuais por causa da pandemia.
É fundamental aliar respostas intraorganizacionais às estratégias de combate e identificação de riscos que sejam
interorganizacionais. Deve-se ainda considerar um panorama mais amplo de experiências e expertise multissetorial para
construir ações coordenadas, estabelecer canais (formais e informais) de cooperação e compartilhamento de informações e
construir confiança entre setores.
Com isso, a pesquisa consolidou o que proteger para ter um ambiente higiênico. A proteção atingiu seis eixos prioritários:

Fonte: Instituto Igarapé, Mapeamento de Riscos Digitais, 2021
Os eixos reﬂetem, para além das infraestruturas e sistemas de comunicação e informação (ativos diretamente relacionados
a tecnologias), a centralidade de ativos como direitos, processos e pessoas para a compreensão e mapeamento de ameaças,
vulnerabilidades e riscos digitais. Tal integração é fundamental para uma visão de segurança digital nacional que inclua o
indivíduo como parte central do desenho e implementação de estratégias de mitigação. Essa visão expande o escopo de
definições nacionais de “segurança cibernética” e introduz novas dimensões sobre “o que” e “como” algo deve ser protegido
em um contexto de alta digitalização, interconectividade e crescentes vulnerabilidades.
As definições dos ativos foram consideradas na ótica descrita na figura abaixo:
Dados Sistemas Infraestruturas
Grupo de ativos que se refere às unidades Categoria mais geral

nas quais informações e conhecimentos A coleção de que engloba tanto
são criados. Dados possibilitam a componentes infraestruturas críticas,
representação do mundo por meio de computacionais quanto infraestruturas
unidades como números, caracteres, e/ ou críticas da informação.
Definição
símbolos, imagens, bits, entre outros. comunicacionais
dos ativos Inclui áreas prioritárias
que apoiam mais
Neste caso, incluem categorias como de um objetivo de como: Energia, Águas,
dados pessoais, sensíveis e sigilosos, uma organização, Telecomunicações,
bem como dados relacionados ao pleno grupo ou Estado. Transporte, Biossegurança
funcionamento de qualquer organização. e Bioproteção.

Direitos Processos Pessoas
Categoria de ativos que As práticas associadas Ativo associado ao

inclui direitos fundamentais com a garantia da comprometimento físico e à
e humanos como a liberdade confidencialidade, ameaça à integridade da vida
Definição de expressão, reputação integridade e de indivíduos a partir dos riscos
dos ativos e imagem. Introduz a disponibilidade das associados a ferramentas
perspectiva intangível dos atividades de uma tecnológicas e/ou digitais, como
ativos da governança da organização, grupo ou o comprometimento de um
segurança digital. ente público. elevador ou hospital.
Figura 12: Definição dos Ativos.

3.8 Panorama dos Riscos Digitais
Os riscos digitais foram identificados com base nos ativos a serem protegidos, ou seja, se os gestores tiverem a clara visão
estratégica do core business da sua empresa, eles saberão o que proteger e a quais riscos estão expostos. Com base na
pesquisa, chegou-se aos seguintes riscos digitais:

Ausência/
Ameaça à
inadequação Ausência de Desinformação e
Cibercrimes infraestrutura
de marcos protocolos manipulação
crítica
regulatórios
Ausência de marco Ausência de Atos criminosos, Disseminação de Quedas de

legal (ambiente protocolos de praticados informação falsa, ou fornecimento
legal) adequado compartilhamento com o uso de a manipulação de de energia e
para proteção de de informações, de um ou mais pessoas por meio do outros serviços
dados, sistemas, responsabilização computadores, uso de informação, essenciais; Falha
infraestruturas integral sobre que podem que podem vir a no controle de
e indivíduos e/ processos de violar direitos de afetar a integridade temperatura;
ou a existência integração personalidade física, psicológica Falha no controle
de uma lei que (muitas vezes, - como crimes e patrimonial de de umidade;
possa prejudicar os protocolos de contra a honra indivíduos, tais Manutenção
a proteção de responsabilização se e discriminação como a manipulação inadequada;
direitos. concentram apenas - representar de “sentimentos” Falta de pessoal;
em componentes a prática de por meio de Falhas no controle
individuais dos pedofilia e ferramentas de de descarte de
Descrição
processos ou exploração inteligência artificial material; Ataques
do Risco
em serviços infantil e e a desinformação cibernéticos.
independentes); realizar roubo sobre questões
ausência de planos de credenciais, relacionadas à
de resposta a assim como o saúde, ou de
incidentes que levem acesso indevido outras tecnologias
em consideração a outros tipos de de informação e
os danos diretos e dados. comunicação e seus
indiretos que podem algoritmos.
afetar a integridade
física, psicológica
e patrimonial de
indivíduos; má
configuração de
sistemas.

Ameaças ao
Acesso Ameaças Direito de Ameaças a
Falta de Capacitação
Indevido Ambientais Propriedade Direitos Humanos
Imaterial
Acesso indevido Fenômenos Ações Ações que podem Ausência de conhecimento de

a sistemas de naturais, que perpetradas prejudicar o práticas básicas de proteção
informação, afetam o ambiente por grupos, exercício de de dados em sistemas de
obtidos por e podem afetar a indivíduos ou direitos humanos informática na sociedade
meio de disponibilidade e organizações e fundamentais como um todo, ausência de
engenharia integridade dos com o intuito (como liberdade capacitação técnica de pessoal
social ou roubo sistemas, tais de prejudicar de expressão encarregado de determinada
de credenciais, como: condições a imagem e/ e de imprensa, infraestrutura; falta de clareza
que pode climáticas ou a reputação privacidade e sobre responsabilidades e
prejudicar os desfavoráveis, de uma proteção de dados), competências para garantir
processos de alagamentos, organização, através de meios a proteção do sistema/
interação entre enchentes, ou violar algum tecnológicos (de infraestrutura/banco de dados,
os diferentes tempestades bem imaterial vigilantismo, por processos não planejados ou
Descrição
componentes e raios e como segredo exemplo) por mal planejados (desenhados
do Risco
de um interferências industrial ou agentes de Estado, de forma muito simplificada
determinado eletromagnéticas. patente. governos não ou excessivamente complexa);
sistema ou democráticos e/ ou processos não implementados
organização. autocráticos, ou (apesar de planejados) ou mal
devido a práticas implementados; ausência de
do setor privado políticas e protocolos para
(desde desafios o tratamento de dados e
relacionados à proteção de sistemas; falta de
adequação com integração institucional; falta
legislações até de capacitação sobre novas
práticas de coleta tecnologias de informação e
massiva de dados comunicação.
de forma indevida).
Figura 13: Riscos Digitais Brasil - Definição.


Utilizando o critério da frequência, a pesquisa chegou aos cinco maiores riscos digitais do Brasil:
Figura 14: Cinco Maiores Riscos Digitais Brasil.

Verificamos que a falta de capacitação é o primeiro risco digital no Brasil. Esse é um ponto crítico a ser ultrapassado pelas
empresas e pelo governo, na formação técnica e estratégica. O gap é mundial, mas o governo e as empresas devem estar
conscientes deste degrau, que se não for ultrapassado pode atrapalhar muito o Brasil e as empresas brasileiras em sua
estratégia de digitalização.
Os riscos geram diferentes impactos, a depender do que cada setor compreende como prioridade em segurança
cibernética. Na figura abaixo, é possível perceber quais são os três principais riscos para cada setor participante da pesquisa.
Falta de capacitação e ameaça à infraestrutura crítica permeiam quase todas as respostas, constituindo assim uma
preocupação compartilhada.

Para a sociedade civil, a maior ameaça está relacionada a processos de desinformação e manipulação. O setor público
entende que crimes cibernéticos, ameaça à infraestrutura crítica e falta de capacitação são riscos de igual relevância, sendo
que o mesmo cenário se espelha para setor financeiro e bancário em relação a cibercrimes, acesso indevido e ameaça à
infraestrutura crítica. Diferentemente de outros setores, a ausência e/ou inadequação de marco regulatório desponta como
uma das principais preocupações para o setor privado.
Figura 15: Três Maiores Riscos Digitais no Brasil por setores.


3.9 Desafios e Estratégias de Mitigação
Diante dos múltiplos ativos e riscos digitais, é preciso estabelecer critérios de priorização que possam apoiar tanto uma
agenda nacional de segurança digital quanto ações estratégicas mais imediatas para o fortalecimento da cooperação
multissetorial no combate aos principais riscos. A partir do mapeamento realizado pela pesquisa, os selecionados foram:
- Falta de capacitação
- Desinformação e Manipulação
- Crimes Cibernéticos
- Acesso Indevido
- Ameaças às infraestruturas críticas
Estes riscos podem ser considerados transversais, pois permeiam todos os segmentos dos negócios, governo, empresas e
sociedade.
O enfrentamento desses desafios não trará apenas um ambiente digital mais seguro no aspecto intrassetorial, mas irá
também potencializar a colaboração entre os setores, de modo a consolidar uma agenda de segurança compartilhada,
mitigando o problema da fragmentação de iniciativas.
A pesquisa concluiu propondo uma série de estratégias de mitigação. Cito abaixo as que considero mais relevantes:
1. Incentivo à criação de trilhas de capacitação para os setores privado e público;
2. Desenvolvimento de ações de sensibilização para a sociedade;
3. Ensino de segurança digital em todos os níveis de ensino no Brasil;
4. Priorização dos temas de segurança digital nos cursos de nível técnico, superior e de pós-graduação;

5. Realização de simulações de ataques cibernéticos, tanto para a capacitação como para a integração de setores;
6. Desenvolvimento de estratégias de comunicação e planos de comunicação em períodos de crise;
7. Fomento à pesquisa para ampliar o conhecimento nos diversos setores da segurança cibernética e digital;
8. Investimento para fortalecer a Polícia Federal e a Polícia Civil dos Estados no combate ao crime cibernético;
9. Incentivo ao desenvolvimento e uso de sistemas que sejam seguros por design;
10. Estabelecimento de políticas rigorosas de acesso aos sistemas ligados a infraestruturas críticas.
3.10 Conclusão
Há uma necessidade clara de os executivos e membros do governo incorporarem uma cultura em segurança cibernética e
digital. Considero como fator crítico de sucesso que os gestores de segurança cibernética sejam os catalizadores da formação
dessa cultura, através de uma abordagem estratégica do tema cibernética nas empresas.
Conforme demonstrado nas pesquisas aqui citadas, este é o problema considerado motriz, já que ele influencia
fortemente, tanto para a negação quanto para a sensibilização, a alta gestão das empresas. Os processos utilizados pelos
gestores de riscos cibernéticos, devem, obrigatoriamente, incluir as competências relativas à integração entre o negócio core
da empresa e a segurança cibernética.

4
Estratégias de
Defesa para Ataques
Cibernéticos
4.1 Evolução da Cibernética
Todos os dias surgem novas ameaças e as organizações sabem que esse cenário muda e apresenta novos desafios
constantemente. Por isso, ao longo de décadas, elas aprenderam a se defender e a responder melhor, passando de medidas
básicas e dispersas a processos sofisticados, robustos e formais.
Eventos importantes, como o aumento na inovação digital, a expansão de produtos conectados, a Lei Sarbanes-Oxley,
mudanças no ambiente regulatório, crises financeiras repetidas, falhas catastróficas de produtos, ataques terroristas e
explosão dos cibercrimes são apenas alguns dos exemplos dos motivos pelos quais as organizações precisavam fazer com
que suas medidas de proteção e defesa evoluíssem. A seguir, apresentamos essa evolução sob a perspectiva cibernética:
Década de 1970 Década de 1980 Década de 1990 Década de 2000 Década de 2010
Prontidão para riscos Dependência de Introdução à gestão Avanços em segurança Choques globais
naturais. poucas tecnologias de riscos em toda a da informação e (terrorismos, clima,
Medidas de respostas novas. empresa. cibersegurança. política).
físicas. Ex. evacuação Recuperação de Conformidade Mudança para o Resiliência de
e primeiros socorros. desastres básica em regulatória mundo online. negócios.
Chamada de resposta a falhas dos disseminada. Terceirização. Ex. Internet das coisas
assistência externas. sistemas. Foco na continuidade nuvem. (IoT)
Proteção contra vírus de negócios. Conectividade de Infraestrutura crítica.
desenvolvido. dispositivos. Ciberataques e
Gestão de identidade ciberespionagem
e acesso patrocinados por
Estados.
Mainframes Cliente/servidor Internet Comércio eletrônico Digital
Figura 16: Evolução da Segurança Cibernética.

Fonte: Empresa E&Y

As empresas evoluíram ao longo das últimas décadas e passaram a trabalhar com processos e métricas estruturados. No
início as empresas partiram para o chamado MAI – Melhorar, Ampliar e Inovar – as técnicas de segurança. Necessitavam
ampliar suas fronteiras e para isso tinham que rever, repensar e redesenhar, de forma contínua, sua estrutura em face dos
novos desafios.
Em seguida partiram para o “Triple A” que, traduzindo de forma livre, podemos chamar de “Triplo As”, ou seja, os três
diferentes estágios da jornada para a maturidade em segurança cibernética – Ativar, Adaptar e Antecipar. Esses passos
devem ser seguidos à risca e aplicados de forma consistente para se atingir uma segurança cibernética de ponta. O objetivo
era a implementação de medidas cada vez mais avançadas de segurança cibernética em cada um desses estágios.
Por último, concluímos que, para enfrentar a guerra cibernética empresarial, há a necessidade do compartilhamento das
experiências, dos nossos sucessos e fracassos e que quanto mais colaborarmos na busca de respostas, mais iremos aprender.
É importante ressaltar que a segurança cibernética é uma responsabilidade de todos na instituição. Este é um fator crítico
de sucesso, que as empresas não levam muito em consideração. Faltam campanhas de sensibilização de forma contínua,
com o objetivo de chamar a atenção sobre a responsabilidade de cada um. Há necessidade de descentralizar o poder
da segurança cibernética, caso contrário a cultura de que há um departamento específico para cuidar da cibernética irá
permanecer e, desta forma, as corporações irão sofrer cada vez mais ataques cibernéticos. Esta é a razão principal para que
os investimentos em segurança cibernética aumentem sem que os resultados acompanhem a evolução dos investimentos.
Há necessidade de que o Conselho de Administração apoie os esforços que estejam sendo feitos, e que cada funcionário
saiba se manter longe de problemas, evitando, por exemplo, abrir um e-mail com phishing ou extraviar seu dispositivo
móvel. Para isso as empresas, hoje, partiram para adotar o PRR, Percepção, Resistência e Reação. Ou seja, tenho que cultivar
uma visão de antecipação de ataques, dispor de uma estrutura que impeça esses ataques e, caso haja falhas nessas duas
fases, apresentar uma reação muito rápida e ágil, de forma a mitigar os impactos sofridos.

4.2 O MAI - Melhorar – Ampliar - Inovar
Em 2012 o mundo começou a se conscientizar de que os riscos cibernéticos eram realidade e que havia a necessidade de
diminuir o gap da segurança da informação.
Havia uma falta de sensibilização por parte da alta gestão das empresas e seus comportamentos eram muito mais reativos
do que proativos. Bastava olhar para os lados e ver as lacunas abertas e os ataques sendo concretizados com magnitudes
massivas, preparados com alto padrão de sofisticação e impactando de forma incisiva os negócios das empresas.
Tentava-se na época melhorar os sistemas de defesa, estudando o “Modus operandi” dos ataques que poderiam
acontecer. Mas a complacência era muito grande. Depois “Ampliava-se” a base do perímetro para tentar fechar as brechas,
mas as inovações surgiam a cada dia, deixando a segurança cibernética para trás. Por último, a segurança cibernética partiu
para “Inovar”, ou seja, tentar criar cenários e com isso implementar sistemas que pudessem antever e ao mesmo tempo
ganhar tempo para que a empresa tivesse recursos para responder adequadamente à agressão. O MAI foi uma fase de
melhoria do PRR.
Melhorar: Em muitas organizações, essa é a situação atual. Ao longo do ano passado, as empresas fizeram progressos
substanciais na melhoria das suas defesas contra ataques cibernéticos. Ainda assim, suas posições permanecem reativas,
enfrentando as ameaças de que têm conhecimento sem buscar compreender as ameaças que podem ser iminentes.
Ampliar: Organizações líderes vêm tomando medidas mais ousadas para combater ameaças cibernéticas. São mais
proativas ao determinar quais são os riscos conhecidos e os desconhecidos em seus programas de segurança. No entanto,
ainda há muito por fazer para aumentar as medidas de segurança.
Inovar: Organizações que almejam se tornar inovadoras em Segurança da Informação precisam dirigir o olhar para novas
fronteiras. Essas empresas precisam continuamente rever, repensar e potencialmente redesenhar toda a sua estrutura de

Segurança da Informação para que possam se preparar melhor. Em muitos casos, inovar pode exigir toda uma transformação
do programa de Segurança da Informação para se fortalecer de forma proativa contra os riscos conhecidos e desconhecidos.
4.3 O Triplo A: Ativar – Adaptar – Antecipar
4.3.1 Ativar
As organizações precisam dispor de uma base sólida de segurança cibernética. Isso compreende um abrangente conjunto
de medidas de segurança da informação, que proporcionarão uma defesa básica (mas não ideal) contra os ataques. Nesse
estágio, as organizações estabelecem as suas bases, ou seja, “ativam” a sua segurança cibernética.
As organizações que ativaram os fundamentos para a segurança cibernética, mas não foram além disso, tipicamente
apresentam as seguintes carências em sua capacitação, demonstrando a razão pela qual a jornada precisa continuar:
a. Segurança cibernética acoplada (bolt-on)
A segurança cibernética da organização tem sido acrescentada aos processos de negócios e às atividades.
Mas ela não foi ainda integrada ao negócio, não é vista como atividade de valor agregado, mas como um
fator de custo que deve ser limitado tanto quanto possível. Se o desenvolvimento de aplicações visar
apenas à obtenção de certificação de segurança após a conclusão do desenvolvimento ou após pontos de
decisão, a organização permanecerá estagnada nesse ponto, com uma segurança acoplada (bolt-on).
b. O foco na proteção do ambiente atual
Esse nível de fundamento para a segurança cibernética começa com uma avaliação dos riscos
que a organização já conhece, com base na sua experiência anterior. O objetivo é assegurar que
estejam em vigor medidas que permitirão ultrapassar qualquer fraqueza conhecida.

Se as conversas forem apenas sobre as avaliações de risco, eficiência de controles
e mitigação de riscos, a organização permanecerá no nível ativar.
c. Abordagem estática
Esse nível de capacitação em segurança cibernética destina-se a permitir que a empresa

desempenhe, de forma segura, as suas funções conhecidas e regulares do dia a dia. A organização
será baseada em regras e focada em compliance, confiando em relatórios orientados por
indicadores – e só poderá enfrentar ameaças em um mundo sem mudanças.
4.3.2 Adaptar
As organizações mudam para sobreviver ou para crescer, da mesma forma que as ameaças. Assim sendo, os pilares das
medidas de segurança da informação também têm de se adaptar para manter o ritmo e atender às mudanças nas exigências
e na dinâmica dos negócios, ou ao longo do tempo se tornarão cada vez menos efetivos. Nesse estágio, as organizações
trabalham para manter a sua segurança cibernética atualizada, isto é, se “adaptam” às necessidades de mudança.
O estágio denominado Adaptar acrescenta as seguintes características ao nível Ativar:
a. Segurança incorporada (built-in)
A segurança cibernética é considerada e envolvida em tudo o que a organização faz: seja no desenvolvimento
de um novo processo de negócios, na abertura de uma nova fábrica, na aquisição ou introdução de um
novo produto. Mudanças nos negócios são imediatamente avaliadas sob a perspectiva da segurança
cibernética, e as necessidades de mudança da segurança cibernética estão incorporadas (built-in) em
todos os processos da empresa. Como resultado, a segurança será atualizada continuamente.

b. Foco no ambiente em mudança
Uma segurança cibernética mais madura adapta-se continuamente às mudanças nos negócios e na estrutura.
Por exemplo: entrar na era digital ou utilizar os serviços em nuvem pode acarretar riscos desconhecidos
pela organização até então. O aumento da conscientização da situação atual permite à avaliação de riscos
incorporar mudanças internas e ser capaz de reagir às mudanças esperadas num cenário de ameaças.
c. Abordagem dinâmica
A segurança cibernética da organização é flexível, ágil, atualizada constantemente e adapta-

se continuamente para uma melhor proteção dos negócios e da empresa.
4.3.3 Antecipar
As organizações precisam desenvolver táticas para detectar e diminuir potenciais ataques cibernéticos. Elas precisam
saber exatamente o que deve ser protegido (as suas “joias da coroa”) e ensaiar respostas apropriadas para cenários de
prováveis ataques/incidentes (inclusive acidentes). Para tanto, necessitam de uma capacitação madura de inteligência para
enfrentar as ameaças cibernéticas, uma metodologia sólida de avaliação de risco, um mecanismo de resposta a incidentes
com experiência e uma organização bem-informada. Nesse estágio, as organizações sentem-se mais confiantes em relação
à sua capacidade de enfrentar as ameaças mais previsíveis e os ataques inesperados, isto é, elas “previnem” a ocorrência de
ataques cibernéticos.
Para atingir o estágio da Antecipação, devem ser acrescentadas as seguintes características:
a. Segurança cibernética incorporando o futuro (built-beyond)
Permaneça alerta, pronto para agir e responder rapidamente de maneira equilibrada.

A liderança admite ameaças/riscos como um tema central do negócio e a capacitação em
segurança cibernética faz parte de um processo de decisão dinâmico. Isso possibilita a ação
preventiva e auxilia os mecanismos de resposta a operar rapidamente e sem problemas.
Conheça as suas “joias da coroa”. A organização não estará pronta para enfrentar ataques
se não conhecer os ativos mais valiosos da empresa. Ela deve ser capaz de priorizar esses
ativos e entender o impacto caso eles sejam violados, comprometidos ou anulados de alguma
maneira e, em seguida, conectar tudo isso ao processo de avaliação de ameaças.
b. Foco no ambiente futuro
Conheça o seu ambiente, dentro e fora. Um conhecimento abrangente – embora focado – da situação é
fundamental para a compreensão do cenário mais amplo de ameaças e de como tal cenário está relacionado
com a organização. Informações sobre ameaças cibernéticas podem trazer esse conhecimento – incorporando as
fontes de risco internas e externas e abrangendo o presente e o futuro, mas sempre aprendendo com o passado.
Aprendizagem e evolução devem ser contínuas. Nada é estático – nem os criminosos, nem a
organização, nem qualquer parte do seu ambiente operacional. Portanto, o ciclo de melhorias
contínuas permanece. É necessário transformar-se em uma organização informada: estudar os
dados (inclusive a computação forense); manter e desenvolver novos relacionamentos colaborativos;
renovar regularmente a estratégia e aumentar a capacitação em segurança cibernética.
c. Abordagem proativa
Significa desenvolver a confiança nos seus mecanismos de resposta a incidentes e crises. As

organizações que atingiram o estágio de antecipação ensaiam regularmente sua capacidade de
resposta a incidentes. Isso inclui “jogos de guerra” e outros exercícios, assim como simulações
de incidentes complexos que realmente testam a capacidade da organização.

4.4 Resiliência Cibernética: a nova arma das empresas
contra os criminosos cibernéticos
Hoje, século XXI, as empresas aplicam o modelo da resiliência cibernética, que é um subconjunto da resiliência de negócios.
Ela está focada no nível de resiliência da organização no que tange aos riscos cibernéticos.
Resiliência é a capacidade de superar adversidades e mudanças, de voltar ao estado normal. Esse é o significado da palavra
resiliência, um termo muito usado em diversas áreas do conhecimento. No campo da psicologia, por exemplo, a palavra
significa resistência. E o ser humano nunca praticou tanto a resiliência como nesses últimos dois anos de pandemia, de
grandes perdas e de caos nos negócios.
Gestores sentaram-se à mesa para juntos criarem estratégias de renovação, de reinvenção e de transformação, tanto em
áreas do business, com planos de continuidade de negócio, quanto no fator humano, engajando colaboradores para criar
uma resistência em tempos de crise. Não foi um período fácil para líderes e liderados. Foi preciso colocar em prática ações
mais flexíveis para superar momentos de vulnerabilidade e essas ações continuam reverberando na atualidade.
No campo cibernético, a Segurança Cibernética e da Informação, que já estava em uma trajetória de mudanças, prática
ainda mais a resiliência. Os atuais ataques às infraestruturas mostram a necessidade não só de defesa cibernética, mas
também de colocar a resiliência como um ativo de negócio, de provar ao mercado e aos investidores que, mesmo sofrendo
um incidente cibernético, a capacidade de rápida recuperação, de volta ao estado normal, faz toda a diferença.
Esta é a prova de resistência, ou seja, quando a organização é capaz de superar os impactos sofridos por um ataque
cibernético e obter uma rápida recuperação. Na visão da diretoria e membros do conselho, a resiliência cibernética torna-se
um ativo corporativo quando o negócio tem alta capacidade de recuperação e esse tempo de resposta é ágil, com o menor
impacto possível.

Para muitos líderes, essa capacidade de recuperação é a forma de a Segurança da Informação entregar valor aos negócios
por meio das estratégias de defesa, pois comprova-se aí um processo maduro de resiliência cibernética. Isso inclui não só o
arsenal tecnológico, que sem dúvida faz toda a diferença em momentos de crise, mas também comprova a efetividade das
equipes de Segurança, com processos bem definidos previamente e que são refletidos na rápida recuperação.
O CEO identifica a resiliência cibernética como um ativo básico da corporação quando se tem clareza no tratamento de
eventos. Ele destaca que essa resistência e capacidade de voltar ao estado normal são pontos importantes para o líder de
Segurança da Informação, uma resistência que possibilita ao CISO lidar com diferentes cenários e com a pressão que os
ataques cibernéticos impõem aos times.
Até mesmo o Fórum Econômico Mundial vem batendo na tecla da resiliência cibernética e destaca que organizações
resilientes aproveitam estratégias de ponta a ponta e devem responder rapidamente a eventos disruptivos, mantendo o
foco na competitividade. Durante a última semana de maio de 2022, em Davos, líderes globais ressaltaram a necessidade de
as áreas de Segurança serem capazes de resistir às adversidades dos ataques cibernéticos a fim de criar uma defesa forte
para conquistar e manter a confiança de pessoas e empresas.
A resiliência cibernética possui três componentes de alto nível que demonstram em que medida – de modo geral – as
organizações estão apresentando um bom desempenho nestas três áreas:
- Percepção: é a capacidade das organizações de prever e detectar os riscos cibernéticos. As organizações

precisam usar a inteligência sobre os riscos cibernéticos e medidas de defesa ativa para prever
quais ameaças ou ataques estão vindo em sua direção e detectá-los quando eles estiverem vindo,
antes que sejam bem-sucedidos. Elas precisam saber o que vai acontecer, e precisam de inteligência
analítica sofisticada para receber um alerta antecipado quanto a um risco de disrupção.

- Resistência: Os mecanismos de resistência formam basicamente o escudo de defesa corporativa
(corporate shield). Isso começa com o nível de riscos que a organização está preparada para
enfrentar em todo o seu ecossistema, seguido pelo estabelecimento de três linhas de defesa:
1. Primeira: Executar medidas de controle nas operações do dia a dia.
2. Segunda: Implementar funções de monitoramento, como controles internos,

departamento jurídico, gestão de riscos e segurança cibernética.
3. Terceira: Usar um forte departamento interno de auditoria.
- Reação: Caso a Percepção não funcione (a organização não percebeu a ameaça chegar) e haja uma falha na
Resistência (as medidas de controle não eram fortes o suficiente), as organizações precisam estar preparadas para
lidar com a disrupção e gerenciar a crise, além de contar com uma pronta capacidade de resposta a incidentes.
Elas também precisam estar preparadas para preservar provas de maneira segura do ponto de vista forense e, em
seguida, investigar a violação, a fim de satisfazer partes interessadas cruciais, como clientes, reguladores, investidores,
autoridades policiais e o público em geral, qualquer uma das quais poderia mover ações por perdas e danos ou por
descumprimento de obrigações. Caso as partes responsáveis sejam identificadas, a organização poderá mover processos
contra elas. Finalmente, elas também precisam estar preparadas para reconduzir a organização para a rotina usual de
negócios o mais rapidamente possível, aprender com o que aconteceu e adaptar e transformar a organização, a fim de
melhorar a ciber-resiliência a partir disso.

Figura 17: Quadro Geral da Resiliência Cibernética.
Fonte: E&Y 2016
4.4.1 Percepção
a. Visão Geral
As organizações melhoraram significativamente suas competências de Percepção nos últimos

anos. Muitas delas estão usando a inteligência de ciberameaças para prever o que devem esperar,
implementando mecanismos de monitoramento contínuo, como centros operacionais de segurança
(SOC), identificando e administrando vulnerabilidades e instituindo uma defesa ativa.

Elas se tornaram mais confiantes em sua capacidade de prever e detectar ciberataques
sofisticados. Neste ano, 50% das organizações consideravam provável conseguir fazer
isso. Trata-se do nível de confiança mais elevado registrado desde 2013.
Porém, contrapondo-se a estes aspectos positivos, há o simples fato de que, segundo a nossa
pesquisa, não há muitas organizações prestando atenção ao que hoje em dia deveria ser o
básico. Por isso, todos os dias, elas colocam clientes, funcionários, fornecedores e, em última
análise, o próprio futuro em situações de risco considerável. Sem dúvida, ainda há muito a
fazer. Principalmente no que diz respeito às capacidades básicas de Percepção.
E isso pode ser comprovado pelos seguintes resultados da pesquisa deste ano:
- 44% das empresas não têm um SOC.
- 64% não têm ou têm apenas um programa informal de inteligência de ameaças.
- 55% têm ou têm apenas uma capacidade informal de identificação de vulnerabilidades.
b. Uma violação foi detectada, mas parece não ter havido nenhum prejuízo
Em nossa pesquisa 62% das organizações não aumentariam seus gastos de segurança cibernética depois
de experimentar uma violação que aparentemente não tivesse causado nenhum prejuízo. Na maioria dos
casos há prejuízos, mas não se consegue encontrar nenhuma prova imediata que sustente esta hipótese.
Muitas vezes, criminosos cibernéticos fazem “ataques-teste” ou usam alguma violação como tática
diversionária, a fim de desviar a atenção das organizações daquilo que eles estão realmente planejando
fazer. Sempre que houver um ataque, as organizações devem partir da premissa de que algum prejuízo
ocorreu. Caso não tenham descoberto isso, elas devem considerar que não descobriram o prejuízo ainda.

c. Como proteger o seu ecossistema
No nosso mundo digital e conectado, eventos que ocorram nas redes de fornecedores, clientes, organismos
governamentais etc. (o ecossistema) podem exercer impacto na própria organização. Esta é uma importante
área de risco que, frequentemente, é subestimada, conforme comprovado pelos seguintes resultados:
- 68% dos entrevistados não aumentariam seus gastos com segurança da informação mesmo se um fornecedor
fosse atacado – muito embora um fornecedor represente uma rota direta para um ataque à organização.
- 58% não aumentariam seus gastos se um concorrente importante fosse atacado – embora os
criminosos cibernéticos gostem de atacar organizações similares em termos de infraestrutura e estrutura
operacional e levem consigo o que aprenderam de um ataque bem-sucedido para o próximo.
O sistema sensorial de uma organização é muito mais forte quando os

eventos no ecossistema do entorno são levados em conta.
4.4.2 Resistência
a. Visão Geral
De modo geral, as organizações melhoraram enormemente suas capacidades de resistir a ataques, e muitas
delas podem afirmar que estão conseguindo ter sucesso na defesa contra milhares de ataques todos os dias.
Mas os ataques vêm de formas muito diversas e cada vez mais complexas, e, embora a execução de medidas de
controle no escudo de defesa corporativa possa funcionar contra Ataques Distribuídos de Negação de Serviço
ou vírus, ela pode não estar funcionando tão bem quanto deveria contra ataques sofisticados e persistentes
que criminosos cibernéticos dedicados e organizados estão lançando contra seus alvos todos os dias.

No ano passado 88% dos entrevistados da nossa pesquisa disseram que as áreas encarregadas da
segurança cibernética de suas empresas não atenderam integralmente às necessidades da organização.
Neste ano, este número caiu para 86%, o que não representa uma melhora significativa. Apesar das
medidas tomadas pelas organizações, elas ainda não são suficientes para lidar com a piora da situação.
b. Foco nos riscos cibernéticos e não somente em segurança cibernética
Na pesquisa de 2016 da E&Y, cerca da metade (48%) dos entrevistados disse que sua arquitetura e
seus controles de segurança da informação estão ultrapassados e são uma área de alta vulnerabilidade,
em sintonia com os resultados de 2013 e 2014, ao passo que em 2015 apenas 34% classificaram este
item como uma área de alta vulnerabilidade. De modo geral, 2015 viu um aumento substancial na
confiança, com as organizações percebendo muitas vulnerabilidades e ameaças como um desafio menor
do que em anos anteriores. Porém, esta confiança em seguir resistindo a ataques tem sido pouco
duradoura em vista do crescimento nos riscos e nas ameaças relativas a funcionários e do conhecimento
crescente de como os criminosos estão mirando especificamente nessa fraqueza humana.
Em 2016 houve um aumento significativo no modo como eles classificavam sua exposição a riscos.
Em 2015, as organizações pareciam pensar que estavam começando a solucionar o problema
da segurança cibernética e conseguindo uma melhora na resistência a ataques, apenas para
serem pegas desprevenidas, ou simplesmente tornarem-se mais cientes das ameaças.
4.4.3 Reação
a. Visão Geral
Já faz muitos anos que o gerenciamento de continuidade de negócios (BCM – Business Continuity Management)
está no cerne da capacidade de uma organização de reagir a uma ameaça, ataque ou outra disrupção. Como uma

área essencial da segurança cibernética, ela tem sido a prioridade número 1 ou 2 na nossa pesquisa desde 2013.
Assim, compreende-se a importância de ter algumas capacidades de Reação. Neste ano, mais uma vez, 57% das
organizações classificaram como sua prioridade conjunta ao lado da prevenção à perda ou vazamento de dados.
O gerenciamento de eventos e informações de segurança (SIEM), junto com os centros de operações de

segurança (SOC), foi classificado em 6º lugar, com 46% dos entrevistados dizendo que vão gastar mais nessas
duas áreas nos próximos 12 meses, ficando atrás apenas do treinamento e da conscientização de segurança.
b. Ao reagir a um ataque, o conselho de administração precisa mostrar liderança
Quando se trata de lidar imediatamente com um ataque cibernético que tenha prejudicado a organização,
não há onde o conselho possa se esconder. Caso alguma fragilidade ou falha nos planos de recuperação
se tornem conhecidas, e quanto mais tempo estes problemas persistirem, pior ficará a situação.
Algumas organizações podem até se recuperar fisicamente de um ataque, mas sua reputação e confiança poderão
acabar sendo destruídas. O segredo é comunicar-se e tomar a frente das comunicações antes que a força da
mídia tradicional e da mídia social assuma o comando. Muitas organizações ainda estão despreparadas.
- 42% não têm uma estratégia ou plano de comunicações acertados para o caso de um ataque significativo.
- Nos primeiros sete dias após um ataque:
• 39% disseram que fariam um anúncio público para a mídia.
• 70% notificariam as autoridades reguladoras e as organizações de conformidade.
• 46% não notificariam clientes, mesmo se os dados dos clientes tivessem sido comprometidos.
• 56% não notificariam fornecedores, mesmo se os dados dos fornecedores tivessem sido comprometidos.

4.4.4 Relação Custo versus Investimento
Essa discussão sobre se tornar resiliente diante do avanço do cibercrime também impacta a empregabilidade financeira
dentro das organizações e isso está diretamente relacionado ao tempo de recuperação. Certamente os gestores de riscos
cibernéticos gostariam de investir dinheiro nas estratégias de defesa, entretanto, o custo das violações impacta diretamente
nos orçamentos.
O relatório global conduzido pelo Ponemon Institute concluiu em 2021 que as violações de dados custam às empresas uma
média de US$ 4,24 milhões de dólares por incidente, o maior valor em 17 anos do relatório. O levantamento ouviu mais de
500 organizações ao redor do mundo e destaca que a complexidade da resolução dos problemas de Segurança contempla
as mudanças operacionais drásticas durante a pandemia, com aumento de custo e do tempo de resposta. Em média, as
empresas levam 212 dias para detectar uma violação e 75 dias para conter.
Resiliência cibernética tem uma relação direta com o tempo de recuperação. Por isso é preciso investir nessa jornada a
fim de ganhar experiência e inteligência, com visão 360º em gestão de risco e priorização. O setor de Saúde foi um dos que
mais sofreram com as mudanças operacionais da pandemia. Segundo o levantamento do Ponemon Institute, as violações de
dados no setor de Saúde foram as mais caras, custando em média US$ 9,23 milhões às organizações desse segmento.
4.4.5 Priorização é a resposta
Para eliminar as dores causadas pelos ataques cibernéticos, os gestores de riscos cibernéticos destacam a importância
da priorização, identificando os fatores de risco que podem se materializar em incidente cibernético. Saber priorizar os
investimentos e os esforços de proteção auxilia na redução do impacto do ataque e essa estratégia faz parte da cartilha da
resiliência cibernética.

Por outro lado, essa priorização não é uma tarefa fácil, pois abrange uma certa ortodoxia da Segurança que carrega um
estigma em querer proteger tudo, de um pen drive às aplicações de mensagens instantâneas. Mas a própria Lei Geral de
Proteção de Dados, por exemplo, questiona os gestores sobre quais ativos são críticos, pois são eles que merecem todo
esforço de proteção.
Após identificar esses ativos mais sensíveis, o gestor de riscos cibernéticos consegue focar em uma estratégia robusta
e nela irá colocar toda a energia para assegurar a proteção e recuperação desses ativos. Faz-se necessário também
conscientizar os times envolvidos para proteger melhor o que é crítico. Daí a importância de saber selecionar, com
ferramentas as Joias da Coroa, o núcleo duro do negócio da corporação.
Saber priorizar proporciona economia de tempo, esforço e dinheiro. Além disso, na visão dos especialistas, é preciso
pensar fora da caixa quebrando os modelos ortodoxos e envolver a companhia nessa jornada de maturidade em Resiliência
Cibernética. Em setores como Educação e Saúde, é comum que os usuários não estejam familiarizados com questões de
tecnologia e proteção. Nesses casos, cabe ao gestor de riscos cibernéticos redesenhar a comunicação e falar uma linguagem
clara, simples e objetiva.
Com isso, o gestor de riscos cibernéticos terá a chance de inverter o questionamento dos diretores diante de um incidente
cibernético.
Eles costumam nos perguntar: em quanto tempo vocês da tecnologia conseguem retornar os ambientes à normalidade?
Mas o certo é: em quanto tempo nós voltaremos a operar normalmente?
4.4.6 Maturidade em detectar, reagir e adaptar
Bem-vindo ao mundo BANI.
O senso de pertencimento é mais um elemento da resiliência cibernética, pois cria uma visão única para o propósito
principal: manter os negócios seguros. Essa liderança deve ser exercida pelo gestor de segurança cibernética e é preciso

agir com inteligência em processos básicos da Segurança como detectar, reagir e recuperar. Outro mecanismo importante
é compartilhar informações entre profissionais do mesmo setor, pois os ataques são direcionados e especializados em
segmentos de negócio. Os criminosos cibernéticos que atacaram o Grupo Fleury foram os mesmos que atacaram o Hospital
Sírio Libanês.
Esse cenário traz uma reflexão profunda em como os líderes de Segurança Cibernética podem criar uma trajetória de
maturidade e resiliência cibernética, não apenas no que diz respeito aos projetos e reuniões com diretorias, mas, de fato,
colocar em prática e medir os resultados em uma jornada de conhecimento contínuo.
Tal caminho deve ser percorrido por toda a organização, com o objetivo de implementar a resiliência cibernética para
que ela seja completa, colocando em prática o significado real desse termo em todas as etapas e departamentos, inclusive
no ciclo de desenvolvimento com arquiteturas Multicloud, híbridas ou múltiplos serviços. Para isso é preciso fazer uma
profunda análise do ambiente, identificar o que é crítico e gerenciar melhor os riscos – esses são processos de sucesso.
Tudo isso precisa ser transparente para a diretoria e os colaboradores. É preciso ter uma clareza do impacto de um ataque
cibernético relacionado ao segmento de negócio, ou seja, o que um incidente representa para o business. Vou parar de
fabricar? Vou fechar minha loja? Minha linha de produção será interrompida? Com essas respostas claras, eu terei maturidade
em Segurança Cibernética e um mapa da minha resiliência cibernética.
Um dos recursos para disseminar a maturidade em Segurança Cibernética e propagar a resiliência em toda a organização
é criar multiplicadores da Segurança Cibernética espalhados por toda a companhia, de forma a criar nos colaboradores a
responsabilidade de proteger o que é crítico para o negócio. Os times de desenvolvimento não tinham essa cultura, mas
hoje, com o tema de multicloud já inserido na realidade desses usuários, ao consumir e distribuir aplicações em diferentes
nuvens, o tema passou a ser uma preocupação de todos.
Além disso, a proteção da identidade é um dos ativos críticos nesta equação. Por mais que haja todo um arsenal
tecnológico de proteção, em algum momento um usuário vai clicar e abrir algo que não deveria. As campanhas de

conscientização são extremamente importantes para que os colaboradores não caiam em armadilhas e comprometam as
identidades e dados de acesso.
O valor da colaboração como um bem precioso na jornada de construção da resiliência de fim a fim junto às torres de
Segurança Cibernética é um fator de sucesso a ser operacionalizado pelas empresas, na atual guerra cibernética.
A Segurança cibernética nada mais é do que a criação de instrumentos para dificultar um ataque cibernético. Mas a
resiliência é algo mais profundo e é fundamental que os times desenvolvam e apliquem esse termo em suas organizações,
pois ele vai além da Segurança, ele envolve processos, educação e maturidade.
Para obter a resiliência, as empresas devem realizar sensibilização e simulações de ataques cibernéticos, com o objetivo de
cobrar os protocolos estipulados nos Planos de Respostas a Incidentes. Vendo a tabela abaixo, constante de uma pesquisa
da empresa E&Y de 2016, entendemos por que a resiliência cibernética é tão morosa:
Figura 18: Prioridades de Investimento das empresas.

Fonte: E&Y 2016

Interpretando o quadro acima enxergamos que a reação – resposta e recuperação é baixa em todos os quesitos:
prioridades, investimentos, envolvimento da diretoria e CA, qualidade de relatórios. Isto significa que tem que haver
mudanças de postura e mentalidade dos executivos e do conselho de administração. O tom deve vir de cima, para que todos
fiquem envolvidos e sensibilizados. Daí a importância de o gestor cibernético estar alinhado com a estratégia da empresa
e com seus objetivos. O foco é proteger as Joias da Coroa e ter condições de responder e recuperar de forma rápida. Isto só
acontecerá se o gestor cibernético souber o que tem que priorizar.
As pessoas que viajam de avião atualmente podem ficar bem impressionadas com o modo rápido como as empresas aéreas
têm incorporado novas medidas de segurança relacionadas à recarga de energia de smartphones durante os voos. Na área
da segurança cibernética, há um desejo similar. As organizações gostariam de responder a mudanças o mais rapidamente
possível. “Como aumentar a agilidade da minha segurança cibernética?” e “Como responder rapidamente ao que está
acontecendo no mercado cibernético?” são perguntas para as quais as empresas querem respostas.
As organizações querem saber como prever a próxima ameaça, e o que há de “mais quente” disponível para prevenir
isso. A inteligência de ameaças, a gestão de ameaças cibernéticas e os softwares e consultorias relacionados, além
da implementação de novas ferramentas, tornaram-se prioridade na maioria das organizações. Tudo com o objetivo de
aumentar a agilidade, isto é, a capacidade de reagir a mudanças num cenário de ameaças.
Visar maior agilidade cibernética é ótimo, e investir recursos nesta direção é um dinheiro bem gasto. Contudo, a principal
pergunta que as organizações devem responder é: “Sua empresa possui resiliência cibernética? Em outras palavras, como
é a sua capacidade de segurança cibernética como um todo? Ela é forte o suficiente para mitigar os riscos cibernéticos mais
relevantes enfrentados pela empresa?
A resiliência cibernética não se limita a ter respostas a novas tecnologias e novas ameaças. Se ela se concentrar apenas em
respostas, isto resultará em medidas de segurança improvisadas que não criam a base estável e madura de que a segurança
cibernética necessita.

Segundo pesquisas das empresas especializadas no Brasil e no mundo, nos últimos dois anos, 87% dos conselheiros e
diretores disseram que não confiam no nível de segurança cibernética de suas empresas. Então, ainda há muito a fazer.
Atenção à agilidade cibernética é fundamental, mas não devemos perder o foco e pensar que a agilidade cibernética trará
para a empresa, de forma automática, a resiliência cibernética. É processo construído com o suporte da alta gestão, no qual
todos os colaboradores devem obrigatoriamente participar e estar envolvidos. Caso contrário, a empresa irá enxugar gelo
com sua proteção e respectiva resiliência.
4.5 Educação Cibernética – Redução dos Gaps da Segurança Cibernética
Ainda encontramos inúmeras falhas de informações sobre as questões de segurança para os usuários. As empresas ainda
não realizam, de forma contínua, a redução dos gaps de Segurança Cibernética. A lacuna é cada vez maior entre a situação
atual do programa de Segurança Cibernética de uma organização e onde ele deveria estar para, com sucesso, defender os
negócios dos insidiosos ataques cibernéticos que a maioria das organizações enfrenta.
Já foi descrito neste livro que o Risco Fator Humano é o principal vetor de ataques cibernéticos, sendo considerado a
engenharia social a abertura de brechas número um nas organizações.
Os programas de conscientização devem ser amplos e exigentes, especialmente porque a Segurança Cibernética depende,
afinal, das pessoas que os criam, gerem e utilizam. Estratégias tradicionais, como treinamentos superficiais, informações
disponíveis na intranet corporativa e campanhas de conscientização por e-mail não parecem eficientes o suficiente para
deixar uma marca duradoura ou modificar o comportamento de colaboradores e parceiros. As empresas devem saber que a
mudança cultural é primordial para o sucesso da resiliência cibernética.
A educação deveria ser tanto do lado preventivo como do lado das respostas e recuperação visando uma rápida resposta
para atenuar os impactos.

Portanto, simulações de engenharia social, como e-mails maliciosos, são válidos para treinar e ambientar todos os
colaboradores, pois basta um funcionário, no meio de quinhentos ou de três mil, que abra o e-mail malicioso para que toda a
rede da corporação fique vulnerável. Este é o grande desafio das empresas: comunicação constante e elucidativa.
4.6 Teste de Intrusão: Ataque é a melhor defesa
Quando se trata de ameaças cibernéticas, o ataque é a melhor defesa.
Cada organização tem seus orçamentos e custos, resultados de negócios desejados, diferentes fluxos de receita e clientes.
E todos, sem exceção, têm interconectividade com a tecnologia, hoje um fator crítico de sucesso. Essa interdependência cria
uma necessidade de investimento para proteger o negócio.
Entender os processos e resultados mais importantes de uma organização é o primeiro passo para colocar um contexto de
negócios em torno da segurança cibernética.
As ameaças cibernéticas estão cada vez mais ousadas e envolvem muita tecnologia. Os criminosos buscam formas de ser
cada vez mais inovadores para roubar ativos estratégicos e/ou deixar a empresa paralisada, comprometendo sua imagem.
Com isso, os criminosos cibernéticos estruturaram um negócio para fins lucrativos, ou mesmo com outras motivações, como
ativismo político ou espionagem.
Dessa forma, as empresas, de qualquer porte e ramo de atividade, precisam, mais do que nunca, de resiliência cibernética.
É cada vez mais importante que uma organização conheça sua superfície de ataque, bem como as principais ameaças às
suas Joias da Coroa. Dessa forma, toda organização precisa se preocupar preventivamente com os incidentes cibernéticos
e estar preparada para mitigar suas consequências, mantendo a continuidade de seus processos, sistemas e informações
considerados críticos.

Para isso, os executivos corporativos e seus gestores de segurança cibernética devem saber que as fragilidades proliferam
nas organizações por várias razões, especialmente ao não seguir as melhores práticas de segurança e, às vezes, permitir
que funcionários ou terceiros tenham acesso ilimitado a todos os seus ativos. Gestores de segurança cibernética e equipes
encarregadas de proteger o negócio têm entre seus desafios identificar e corrigir essas vulnerabilidades. As ameaças estão
em todos os lugares: redes, hardware, aplicativos e dispositivos de funcionários. Muitas vezes, devido à falta de visão, as
empresas optam por usar apenas ferramentas automatizadas para testar seus ambientes.
Para prever as ações do atacante é necessário, antes de tudo, pensar como ele, como o agressor irá agir. Testar seu
ambiente, utilizando o mesmo modus operandi que ele utiliza.
É necessário ter uma solução que envolva uma equipe especializada, que seja capaz de simular o ataque. Dessa forma, é
possível identificar e explorar em profundidade as falhas de segurança, evidenciando os principais impactos no negócio, mas
tomando cuidado para não gerar danos à organização.
Essa solução se chama Teste de Intrusão - Pentest, comandada por hackers éticos. Isso torna o pentest mais eficaz do que
ferramentas automatizadas, muito mais abrangente e preciso.
Um Pentest nada mais é do que um teste de penetração, um teste para ver se seu sistema pode ser hackeado. Neste caso,
hackers éticos tentam violar sua segurança por qualquer meio necessário.
O teste de penetração manual foi projetado para ajudá-lo a descobrir as vulnerabilidades críticas conhecidas e
desconhecidas em organizações e ambientes. Os testes podem acontecer em qualquer ambiente: redes, aplicativos,
hardware e outros sistemas para caixas eletrônicos, carros, aviões, dispositivos IoT e muito mais.
Pentest tem as seguintes vantagens:
- Explora a vulnerabilidade e o impacto;
- Encontra vulnerabilidades desconhecidas;

- Verifica se os processos e sistemas de defesa da empresa estão em um
nível de maturidade para lidar com as ameaças atuais.
As abordagens técnicas para fazer um pentest são:
- BlackBox: não há conhecimento prévio sobre infraestrutura de rede e arquitetura de

aplicativos. Amplamente utilizado para produzir um cenário de ataque real;
- GreyBox: acesso, validação de informações e credenciais legítimas, com o objetivo de que a validação
de permissões e autorizações de acesso estejam de acordo com a necessidade do negócio;
- WhiteBox: todas as informações de infraestrutura de rede e arquitetura de aplicativos são fornecidas

para análise e revisão de segurança do código-fonte do aplicativo desenvolvido/testado.
Com pentest a empresa antecipa intrusos oportunistas, intrusos maliciosos, funcionários insatisfeitos e ação de malware
nas redes.
A figura a seguir mostra o processo holístico do pentest, enfatizando que com as diversas técnicas podemos alcançar uma
visão de antecipação, essencial para a empresa prevenir e mitigar ataques cibernéticos.

Figura 19: Teste de Penetração e suas dimensões.
Fonte: Autor, 2022

5
Perfis dos Hackers
5.1 Quem são os inimigos
Os criminosos cibernéticos – como outros criminosos organizados – estão preparados para se comportar de maneiras que
a maioria de nós não consegue compreender. Suas ações expressam um conjunto diferente de valores, ética e moralidade
e, muitas vezes, eles são movidos por motivações difíceis de entender. Além das fraudes e dos roubos mais comuns e já
esperados, cada vez mais os consumidores têm medo de carros serem hackeados, com o intuito de causar acidentes, e
algumas organizações de infraestrutura crítica estão vendo o sequestro de dados tornar-se realidade.
Tamanha é a criatividade das redes de criminosos que eles sempre descobrem novos meios de lançar ataques para obter
lucro pessoal ou para alcançar as manchetes.
Sem medidas de segurança cibernética eficazes, muitas organizações e governos, não apenas estão arriscando seus dados
e propriedade intelectual, mas podem estar colocando pessoas em risco.
Pesquisas realizadas em 2016 apontam que um alto percentual de ataques cibernéticos é levado a efeito por pessoas de
dentro da corporação. Ou seja, dormimos com o inimigo, segundo o gráfico a seguir:

Figura 20: Fontes de Ameaças Cibernéticas.
Fonte: E&Y 2016
Como podemos ver, os sindicatos do crime detêm um percentual de 59% e os funcionários de 56%. Portanto as medidas
de segurança pessoal, tais como background chek investigation, código de ética, políticas de segurança, entre outros, devem
ser prioridade para que o colaborador se sinta gerenciado, mas não vigiado. Isto passa uma sensação de segurança, pois
sabendo que existem controles sobre suas atitudes e procedimentos, a tendência é pensar muito mais antes de cometer um
desvio de conduta.

5.2 As Etapas de um Ataque de Hacker
Geralmente, são cinco as etapas seguidas pelo hacker para que ele obtenha sucesso em penetrar no sistema da empresa:
- Reconhecimento;
- Entrega;
- Exploração;
- Comando e Controle;
- Conquista.
RECONHECIMENTO
É a etapa em que o criminoso cibernético irá estudar o alvo, ou seja, o sistema a ser atacado. Nesta etapa ele verifica como
poderá penetrar no sistema e quais são os pontos de maiores vulnerabilidades. Nesta fase ele testa o sistema e as pessoas,
realizando tentativas de intrusão nas áreas chaves para ver se há alguém que possa morder sua isca. Temos que lembrar que
as fragilidades sempre irão existir em processos, pessoas e tecnologia e o hacker irá tentar descobrir onde elas existem. Com
base na fragilidade ele planeja seu modus operandi, como irá realizar o ataque. Os hackers são extremamente criativos para
explorar qualquer fragilidade.
ENTREGA
Após planejar seu modo de atacar a fragilidade, o hacker irá executar o ataque. Por exemplo, se ele utilizar um phishing,
básico para nós que não somos técnicos, enviará uma série de e-mails com um link ou anexo malicioso. Por incrível que
possa parecer, 93% dos casos de intrusão em sistemas estão associados a este tipo de ataque. Isto significa que os recursos
humanos das corporações ainda são “inocentes”, “curiosos” ou até “gananciosos”, para clicar em um link ou abrir um anexo
com dizeres atrativos. Falta de preparo. O Hacker, sabendo disso, irá explorar e aproveitar-se deste ponto fraco.

EXPLORAÇÃO
Tendo o software malicioso penetrado no sistema e sido instalado, ele passa a residir de forma discreta. Geralmente
os controles de dentro para fora são bem menos rígidos, o que facilita a residência do software malicioso para retirar as
informações necessárias. Dependendo do software, ele irá mapear onde estão localizadas as informações de maior relevância
para a corporação e quais são as barreiras existentes. O hacker passa a conhecer o sistema e suas proteções tão bem quanto
a equipe de segurança.
COMANDO E CONTROLE
Quando o hacker já tiver reunido todas as informações críticas de segurança e de relevância em nível estratégico, ele
dispara a primeira fase do ataque que é o domínio de determinadas máquinas e software que já estarão contaminados e que
só responderão ao comando dele. Ele automatizará as máquinas, por exemplo, tornando-as zumbis: só trabalham sob seu
comando. A partir daí o hacker irá utilizar os recursos que ele já possui nas mãos para atingir seus objetivos e a corporação
terá sido apanhada de surpresa, pois não conseguirá esboçar uma reação a tempo. O ataque já está acontecendo. Terá que
tomar ações mitigadoras, se houver condições operacionais.
CONQUISTA
É chamada de conquista porque o hacker dispara o ataque com os recursos da própria empresa, para sequestrar, destruir,
manipular os dados de relevância estratégicos; ou simplesmente para travar todo o sistema da corporação, obrigando-a a ter
uma resposta de contingência robusta ou simplesmente desligando todo seu sistema, se for viável. Esta fase pode ser levada
a efeito no período noturno, sabendo o hacker que a empresa não mantém monitoramento 24 horas na sua rede. Portanto
quando os funcionários chegarem no dia seguinte os dados já estarão sequestrados ou destruídos e os sistemas, travados. A
empresa foi pega de surpresa e terá que negociar com o hacker, caso contrário suas informações relevantes serão expostas.
Na figura abaixo temos a representação das cinco etapas:

Figura 21: Infográfico - etapas do Ataque de Hacker.
Fonte: Arcon Serviços Gerenciados de Segurança (2017)

5.3 Perfis de Hackers
As empresas que comercializam sistemas cibernéticos, realizam consultoria, fazem pesquisa, possuem uma série de
classificações de perfis de hackers. Na realidade os perfis vão mostrar as motivações e o graus de envergadura em que um
ataque pode ser estruturado por cada grupo segregado.
A importância de conhecer o Modus Operandi de cada perfil é justamente esta, diferenciar o nível de ataque e estabelecer
o nível de exposição e de vulnerabilidade de sua organização ou agência governamental.
Portanto, os hackers atacam de muitas formas, com motivações que variam de financeiro, político, social, indo até as
questões éticas. No Brasil tivemos três grandes exemplos ocorridos em 2018 e 2019:
Lojas C&A
• Hackers invadiram o sistema de compra, bloqueio e extrato do “Cartão Presente” da C&A.
• Entre os dados de clientes vazados, estão: número do cartão, CPF, e-mail, valor adquirido como
presente, e-mail do funcionário que fez a transação, número do pedido e data da compra.
• O hacker afirmou que estão expostos os dados de quatro milhões de pedidos — dentre eles,
afirma que “provavelmente” existem dados de dois milhões de clientes diferentes
• Um hacker chamado @j0shua, do grupo Fatal Error Crew, publicou no Pastebin

os dados de clientes da C&A que adquiriram os presentes.
• “Já que vocês gostam de brincar com os dados dos outros, decidimos brincar um pouco
com os seus sistemas”, escreveu o hacker Joshua ao publicar os dados.
Este provavelmente foi um aviso, demonstrando para a C&A que seu sistema é falho e que eles podem acessar quando
quiserem. Realizaram uma demonstração de força para a C&A.

Boa Vista SCPC
• Nosso sistema de Monitoramento Avançado Persistente detectou em 01/09/2018, vazamento

de dados de informações de crédito do seu banco de dados, que reúne informações comerciais e
cadastrais de mais de 130 milhões de empresas e consumidores com abrangência nacional.
• A invasão foi publicada pelo grupo Fatal Error Crew. Nela, o grupo faz uma reflexão sobre o fato de uma empresa
de proteção ao crédito possuir dados pessoais de mais de 130 milhões de pessoas físicas e jurídicas brasileiras:
“Boa Vista SCPC me tira uma dúvida: quem autoriza vocês a possuírem os dados pessoais de todos os brasileiros mesmo
que eles não possuam dívidas? Vocês não acham errado isso? Lucrarem com os dados pessoais de todos os brasileiros. Não
postamos nenhuma informação de nenhum brasileiro pois prezamos pela privacidade dos mesmos, porém sugiro mudarem
todas suas senhas logo, não se enganem, estamos de olho em todos seus bancos de dados faz alguns anos...”
Provavelmente são Hackers Ativistas, chamados de Hacktivistas, grupos de hackers que são contra empresas explorarem
informações de terceiros e ganharem muito dinheiro com isso. Um capitalismo selvagem, na visão deles.
Vale
A mineradora multinacional brasileira Vale, após o grave acidente da Barragem de Brumadinho, Minas Gerais, no dia 25 de
janeiro de 2019, foi invadida e documentos internos, supostamente confidenciais, foram retirados e vazados pelos hackers.
Estes teriam se aproveitado de uma porta aberta no Microsoft SharePoint, ferramenta de software para colaboração em
equipe, para resgatar atas, para extrair ocorrências e incidentes de segurança pelo mundo.
O TecMundo recebeu os documentos na terça-feira, dia 29 de janeiro de 2019, por uma fonte anônima. São cerca de 40 mil
arquivos em uma pasta de 500mb. Por lá, é possível encontrar incidentes de segurança que aconteceram entre 2017 e 2019
em áreas da Vale no Brasil, Canadá, Moçambique, Nova Caledônia e Indonésia.

Os documentos internos mostram como a Vale lida e categoriza incidentes que aconteçam com funcionários ou acidentes
ambientais:
“Um dos documentos relata assalto a mão armada em um duto, e não houve registro de ocorrência policial posterior”,
afirmou a fonte no e-mail em que enviou os documentos. O TecMundo encontrou o documento citado em específico, mas
não a questão da ocorrência policial citada.
A Vale foi contatada sobre o incidente, contudo, não ofereceu qualquer resposta até o momento da publicação da
matéria em seu site. Vale permaneceu em silêncio absoluto até a publicação, quando enviou uma nota. A Vale disse em
posicionamento ao TecMundo que “não houve falha técnica no site Sharepoint ou invasão de seu ambiente de TI” e que
“as informações contidas nos documentos são registros e tratativas dos incidentes e quase acidentes de segurança. Esse
registro é obrigatório na Vale e faz parte do nosso sistema de Gestão de Saúde e Segurança e Meio Ambiente”
A empresa também disse que “os arquivos de uso interno que foram atribuídos a um vazamento, na verdade, estavam
disponíveis em área pública do nosso site vale.com”.
O local no site em que os 40 mil arquivos poderiam ser baixados não foi indicado. Além disso, os documentos possuem o
aviso mostrado abaixo:

Figura 22: Documento da Vale Vazado.
Fonte: site da TecMundo, pesquisada em 30 de janeiro de 2019
Nas atas de incidente de segurança, a Vale faz as seguintes separações: “Acidente Pessoal”, “Acidente Material”, “Acidente
Ambiental” e “Quase Acidente”. Além disso, existem classificações entre “Severidade” do acidente que ainda envolvem “Real”
e “Potencial”. No documento que você vê abaixo, um “Quase Acidente” em Mato Grosso do Sul não teve consequência, mas
poderia ser “Catastrófico”.

Figura 23: Ata Interna de Acidente Vazada.
Fonte: site da TecMundo, pesquisada em 30 de janeiro de 2019

Este perfil de hacker quis mostrar à sociedade que a Vale não dá a devida importância aos acidentes que acontecem em
suas operações. Desta forma, a tragédia de Brumadinho não pode ficar impune, pois, segundo os documentos, já é usual um
tratamento rotineiro em relação a acidentes do trabalho e ambientais. Este grupo de hackers é mais um Hacktivista.
Os hackers não detalharam como a companhia foi invadida, apenas notaram que os documentos foram extraídos por meio
de uma brecha na URL oculta que estava aberta ao público — “Indexação de documentos secretos em um subdomínio oculto,
por meio de motores de busca”, anotaram.
Os hackers também enviaram uma nota ao TecMundo sobre os motivos da invasão: «Quanto vale uma vida? Para a
Vale do Rio Doce uma vida é apenas um número, uma cifra, um ponto estatístico, um risco mensurável na reputação da
marca. Achamos que teriam aprendido com experiências passadas, mas é simplesmente impossível que percebam valor de
uma vida, se eu mato 65 pessoas sou retirado de circulação, se uma empresa do tamanho dela mata, recebem uma multa
e continuam operando normalmente. Uma multa! Não é à toa que assim a vida também tenha um preço. Eu e você todos
temos um preço nessa tabela, é questão de tempo para sermos os próximos, assim que isso for rentável. Não iremos ficar
quietos, lutaremos contra a estupidez com a informação. Quanto vale a vida? A vida vale mais do que a Vale”.
A empresa Strong Security do Brasil, empresa que fornece soluções em segurança da informação, em seu site publicou
uma matéria, chamada “Criando perfis de 10 tipos de hackers”, em março de 2017, a qual transcrevo abaixo, na íntegra, pois
achei muito interessante:
“Entender os diferentes tipos de hackers que existem e o que os motiva pode ajudá-lo a identificar os atacantes a que você
está mais suscetível e defender adequadamente sua organização contra estes ciberatacantes.”
Os 10 principais tipos de hackers que você deve ter em seu radar são:
1. Hackers white hat (chapéu branco)
Estes são conhecidos como os hackers éticos do mundo cibernético. É um grupo composto principalmente de
pesquisadores e operadores de segurança. Essa categoria de hackers rastreia e monitora ativamente ameaças.

Eles podem ou não trabalhar completamente dentro da lei, mas sua intenção é bloquear os hackers
maliciosos. Aqueles que operam fora da lei são por vezes referidos como “Gray Hats – Chapéus Cinzentos”.
2. Mercenários Cibernéticos
Estes são os traficantes de armas do mundo virtual, servindo como assessores de terceiros
para outros atacantes. Em alguns casos, os mercenários cibernéticos são os responsáveis
pelos “APT – Advanced Persistent Threat” – ameaças persistentes avançadas.
3. Hackers nacionalistas
Alguns países permitem e contratam Hackers. Estes atores podem às vezes não ser da própria nação, mas não
são processados por suas atividades, e muitas vezes trabalham para um ou mais países. Algumas das invasões
desses grupos também são agrupadas de forma que se transformem em um grande problema internacional.
4. Criminosos organizados
Estes são grupos muito eficientes e que monetizam seus ganhos. Eles têm uma cadeia de suprimentos
bem estabelecida, em que tarefas diferentes são frequentemente fornecidas por indivíduos diferentes
(operações de spam, operações de backdoor, operações de hospedagem). O “Business Club”, que inclui
o autor ZeuS Slavik (Evgeney Bogachev) e intrusão Dmitri smilanets PCI, são bem conhecidos.
5. Reincidentes
Estas são pessoas ou grupos como LulzSec e Sabu, ou atores como o Th3J3st3r, que
ganharam alguma habilidade e têm algumas conexões para rentabilizar seus ganhos, mas
que não têm as conexões criminosas bem arquitetadas que outros grupos têm.

6. Hacktivistas
Estes são os grupos maiores, que querem fazer declarações públicas através de
técnicas comuns, tais como ataques DDoS ou Web. Eles são tipicamente motivados
por ideologia ou política, com o objetivo de embaraçar ou expor seu alvo.
Obs: são os que invadiram a Vale e o Boa Vista, claramente identificáveis.
7. Hackers Militares
Estes são os verdadeiros aparatos militares de inteligência. Eles têm orçamentos gigantescos e
programas persistentes de longo prazo, mas geralmente são focados na verdadeira inteligência
e objetivos militares. As ferramentas usadas por esses grupos podem ser extremamente
complexas, mas também podem ser simples, já que esses grupos jogam ao nível de sua vítima,
não “queimando tempo”, ferramentas caras e explorando desnecessariamente.
8. Criminosos desorganizados
São pessoas como o ShadowCrew, com Gonzalez e Stephen Watt. Eles têm algumas habilidades,
são vagamente organizados, e têm alguma capacidade de monetizar seus ganhos.
9. Script Kiddies
Estes são os criminosos comuns do mundo cibernético. Script kiddies são atores que muitas vezes têm muito
pouca habilidade. Eles ficam em quadros de mensagens, podem tentar escrever uma RAT (Remote Access Tool) uma
vez ou participar de um DDoS com Anonymous aqui e ali, mas muitas vezes não podem monetizar seus ganhos.
Os antigos hackers de difamação na web que se concentraram em obter seu nome por aí caíam nessa categoria.

10. Ameaças internas.
Nunca subestime o poder de um funcionário descontente. A Ameaça Interna, também conhecida

como a Insider Maliciosa, pode ser um empregado com rancor, ou um denunciante querendo tirar
proveito de seu acesso para roubar informações sensíveis.” As figuras abaixo mostram a lógica
como as ameaças internas agem. Temos dois tipos de ameaças internas: o oportunista interno e o
predador. O oportunista é aquele que aproveita as fragilidades existentes. Já o predador é aquela
pessoa fria e calculista, que irá buscar as fragilidades e também poderá anular controles.
Figura 24: Lógica do Oportunista Interno. Figura 25: Lógica do Oportunista Interno.
Fonte: Brasiliano, 2021 Fonte: Brasiliano, 2021

A empresa Arcon, serviços gerenciados de segurança, também classificou perfis de hacker, só que, no caso dela, elencou
apenas cinco perfis que retirou do White Paper da HP The Business off Hacking, conforme ilustração abaixo:
Figura 26: Perfis de Hackers.

Fonte: Arcon Serviços Gerenciados de Segurança

É primordial a segurança cibernética construir um diagrama de causa e efeito para entender como os ataques poderão ser
materializados. Abaixo, o diagrama que o gestor de segurança cibernética deve manter por perto.
Figura 27: Diagrama de Causa e Efeito com a Lógica de Ataque e as Consequências para a empresa.
Com base na montagem da Inteligência de Ameaças, como o diagrama acima, as empresas possuem a visão de
antecipação. Exemplo: saber que atualmente os ataques são automatizados e muito rápidos. Os perfis dos hackers hoje
não são mais os de pessoas solitárias hackeando para se divertir, mas sim estruturas empresariais nas sombras ou grupos
apoiados por nações que têm muita tecnologia e apoio financeiro e lançam ataques sofisticados com inteligência artificial
para encontrar as brechas.
Brechas são as portas de acesso que podem ser até de um dispositivo de segurança física, do tipo um CFTV ligado na rede.
Com os cenários cada vez mais sofisticados, a segurança cibernética deve ter ferramentas de nível igual ou superior ao de
seus agressores, do tipo automação que incluam inteligência artificial, machine learning e redes de autocura (sistemas que se
protegem). Isto é estar no século XXI.

As causas mais comuns exploradas pelos criminosos cibernéticos são os sensores industriais de todos os tipos, firewalls
antigos e sistemas de segurança mal configurados, links a banco de dados, acesso telefônico ou conexões de gerenciamento
de rede secundária e VPNs, citando apenas algumas. Por outro lado, os sistemas de controle industrial são difíceis de
proteger porque alguns são muito antigos, mas ainda funcionam, e não levam a segurança em consideração, o que é o mais
comum. A Tecnologia de Automação – TA nas infraestruturas críticas foca na disponibilidade, o que é correto desde que
tenham confidencialidade/segurança.
Cito como exemplo o ataque em 7 de maio de 2021, nos Estados Unidos, à maior empresa de gasoduto, a Colonial Pipeline,
por meio de ransomware, impactando 17 estados americanos, em um trecho de aproximadamente 8.850 quilômetros,
abrangendo do Texas até Nova York. Vejam que estamos falando dos Estados Unidos, em que esse ataque desabasteceu 17
estados. Impacto massivo. A empresa confirmou o ataque cibernético no dia seguinte e alegou que para conter a ameaça
eles tiveram que desconectar alguns computadores. Está aí a fragilidade exposta.
Mudar a mentalidade é essencial
No contexto atual, os criminosos cibernéticos estão ajustando suas táticas à inovação digital, consequentemente criando
mais riscos. A adição da alta conectividade, tornando a superfície de proteção extremamente grande e abrangente, fragilizou
a segurança cibernética. Hoje o perímetro das redes está em toda parte e, com a transição para a nuvem, estão vindo
novas vulnerabilidades, assim como a Internet das Coisas (IoT), que expandiu os pontos de acesso e está permitindo que os
invasores encontrem sistemas e serviços abertos por meio de câmeras, roteadores e servidores, entre outros dispositivos.
Muitos tomadores de decisões corporativas e governamentais acreditam que, se estiverem na nuvem, estarão protegidos
automaticamente. Doce ilusão! A realidade é que deve haver segurança cibernética de ponta a ponta: desde o dispositivo
do funcionário e da VPN até a instância da nuvem, envolvendo toda a infraestrutura híbrida. Além disso, as organizações
devem ter visibilidade centralizada de tudo que acessa e passa por sua rede, dispondo de facilidades de gerenciamento e
automação. A mudança do “mindset” é fundamental. A implementação de um esquema de segurança cibernética de ponta a
ponta deve ser a prioritária. Para isso, os gestores de segurança cibernética devem ser pontuais e saber onde investir.

6
Revisão da Literatura
de Processos de
Gestão de Riscos
Cibernéticos
É realidade aceite que uma parcela significativa da nossa economia, assim como do bem-estar social, se encontra
consubstanciada em infraestruturas e serviços disponibilizados no ciberespaço. No presente documento, entendemos o
ciberespaço como sendo um ambiente complexo, de valores e interesses, materializado numa área de responsabilidade
coletiva, que resulta da interação entre pessoas e redes e sistemas de informação. Este ambiente complexo e heterogêneo
oferece novas possibilidades e oportunidades.
No entanto, em igual medida, lança a base para a criação de um novo espaço de ameaça e risco, com a ocorrência de
incidentes portadores de impactos econômicos e sociais que não podem ser negligenciados.
Estes incidentes de segurança informática podem não impactar apenas o enquadramento cibernético, estendendo o seu
alcance a infraestruturas físicas que suportem serviços críticos ou essenciais ao pleno funcionamento da sociedade.
Na era digital em que vivemos, as infraestruturas funcionam baseadas na premissa de que os elementos tecnológicos
são robustos e fiáveis e que tecnologias emergentes e complexas (por exemplo: IoT, Cloud Computing, Big Data) têm o
potencial para oferecer uma elevada flexibilidade e eficiência na comunicação e coordenação de serviços e processos. Mas
o uso crescente de tecnologias de informação também significa que estas se tornam mais vulneráveis a atividades ilícitas e
maliciosas e a processos de manutenção operacional mal planejados.
Figura 28 - Intervenientes subjacentes às atividades maliciosas

Fonte: autor, 2022

São variadas as motivações subjacentes às atividades maliciosas que podem ser concretizadas por terroristas, criminosos,
ativistas ou nações estrangeiras. O impacto de um incidente varia num espectro alargado, com graus de severidade
diferentes, desde a indisponibilidade de um sítio institucional, com eventual impacto reputacional, até à redução da
capacidade de defesa de um país, a perdas financeiras ou mesmo de vidas humanas.
Numa outra perspectiva, uma gestão adequada dos riscos relacionados com incidentes de segurança cibernética pode
revelar-se também em oportunidades de melhoria na qualidade dos serviços prestados, na adoção de novas práticas, no
desenvolvimento de novos produtos ou serviços e na melhoria da reputação das organizações.
6.1 Contexto Referencial
Foram pesquisadas seis boas práticas internacionais em segurança cibernética para identificarmos a questão de levar em
consideração as Joias da Coroa quando se fizesse o gerenciamento de riscos cibernéticos.
Contextualizaram-se estas seis boas práticas em função dos controles praticados no mercado, bem como dos processos
em segurança cibernética. Estes referenciais abordam o tema da segurança cibernética de forma complementar. Todos estes
referenciais são internacionalmente reconhecidos como base para a implementação e avaliação de controles de tratamento
do risco e de (boas) práticas de mercado em segurança cibernética. São elas:
COBIT 5
Responsabilidade do ISACA1, o COBIT é um framework de boas práticas para governança de TI. Ajuda as organizações a
criar valor a partir da TI e contribui para o equilíbrio entre os benefícios, a otimização dos níveis do risco e a utilização dos
recursos disponíveis pelas organizações.

ISO/IEC 27001:2022
A norma ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, operar, monitorizar, rever, manter e
melhorar um sistema de gestão de segurança da informação, bem como os requisitos para os controles de segurança a
serem implementados, de acordo com as necessidades e a realidade da organização.
ISO/IEC 27032: 2015
A norma de Tecnologia da Informação, Diretrizes para Segurança Cibernética especifica os requisitos para estabelecer,
implementar, operar, monitorar, rever, manter e melhorar um sistema de gestão de segurança cibernética a serem
implementados de acordo com as necessidades e realidade da organização.
ISO/IEC 27005: 2019
A norma ISO/IEC 27005 fornece diretrizes para o estabelecimento de uma abordagem sistemática para o gerenciamento
de riscos da Segurança da Informação, que é necessária para identificar as necessidades organizacionais em relação
aos requisitos de segurança da informação e para criar um sistema de gerenciamento de segurança da informação
eficaz. Além disso, esta norma internacional oferece suporte aos conceitos da ISO / IEC 27001 e é projetada para auxiliar na
implementação eficiente da segurança da informação com base em uma abordagem de gerenciamento de risco.
NIST SP-800-53 Rev4
Publicado pela NIST 93, é um catálogo de controles de segurança e de privacidade para redes e sistemas de informação de
infraestruturas críticas, usadas também pelas empresas privadas e públicas. Disponibiliza, também, um processo de seleção
de controles para proteção da operação e dos ativos das organizações, de incidentes, desastres naturais, falhas estruturais
ou erro humano.

CIS CSC 7.0
O Catálogo de controles críticos de segurança cibernética (CSC) é publicado pelo Center for Internet Security (CIS). Este
catálogo disponibiliza uma lista de ações, priorizada, que é regularmente revista pela comunidade acadêmica, de forma a ser
utilizável pelas organizações.
6.2 Processo de Gestão de Riscos Cibernéticos
O contexto da ameaça de segurança cibernética deve ser encarado através de uma abordagem sistematizada que tenha
por objetivo a sensibilização das organizações públicas e privadas.
Neste processo coletivo de crescente sensibilização, é fundamental uma mudança de paradigma materializada por via
da definição de linhas orientadoras de um sistema de processos e procedimentos, nem sempre de caráter tecnológico, que
possa constituir uma linguagem comum, transversal aos diversos setores de atividade e que promova a convergência de
práticas conducentes a uma melhor segurança cibernética das organizações.
As boas práticas de mercado, de forma geral, ostentam uma estrutura central que foi definida numa perspectiva de ciclo
de vida da gestão da segurança cibernética de uma organização, tendo em atenção os aspectos humanos, tecnológicos e
processuais, com especial enfoque nos processos e procedimentos da gestão do risco cibernético.
Uma característica intrínseca do risco é o fato de este não poder ser totalmente eliminado, tornando-se fundamental a
concretização de uma estratégia global da organização, para garantir a implementação de um processo eficaz de gestão do
risco.
Este é um processo contínuo de identificação, diagnóstico e resposta, sendo que, para que seja possível gerir o risco,
as organizações devem compreender a probabilidade de um determinado evento ocorrer, bem como os seus potenciais
impactos adversos e vulnerabilidades existentes. Conhecendo esta informação, qualquer organização pode determinar o

seu nível aceitável do risco e, desta forma, promover a resiliência da sua atividade enquanto fornecedor de bens ou serviços.
A esta informação corresponde a percepção de tolerância ao risco, condição sine qua non para a priorização das atividades
realizadas no âmbito da segurança cibernética.
As boas práticas pretendem ser aplicáveis, essencialmente, nas organizações que assentem a sua atividade em tecnologia,
quer seja numa perspectiva de segurança cibernética para segurança de TI, de controles de sistemas industriais, sistemas de
interface homem-máquina, dispositivos IoT ou, de uma forma mais generalista, todos os dispositivos conectados de alguma
forma a redes e sistemas de informação.
As estruturas apresentadas são uma proposta de um conjunto de práticas de segurança da informação para a segurança
cibernética. Reforça-se o aspecto de que, no âmbito da aplicação voluntária, qualquer organização é livre para definir o
que deseja implementar, quais as medidas de segurança a implementar ou outros atributos adicionais que entenda como
relevantes, de acordo com o seu tipo de atividade, dimensão e perfil do risco associado.
As normas supracitadas propõem uma implementação processual orientada à gestão dos riscos, que permite às
organizações a tomada de decisão de forma priorizada e informada, no contexto da segurança cibernética. Estas decisões
devem, sempre, estar igualmente orientadas à garantia da confidencialidade, disponibilidade e integridade na prestação do
bem ou serviço para uma determinada organização. Neste âmbito, entende-se risco como uma circunstância ou um evento
identificável, com um efeito adverso potencial na segurança das redes e dos sistemas de informação.
Neste contexto, são propostas várias abordagens ao processo de avaliação periódica dos riscos e de aferição da forma
como estes se relacionam no âmbito da prestação de um bem ou serviço. O resultado destas avaliações deve permitir à
organização caracterizar a situação atual, definir objetivos e elencar um conjunto de ações que fomentem uma evolução
positiva da sua situação no contexto da segurança cibernética.

A gestão do risco, quando efetuada de forma sistematizada e numa lógica de melhoria, é uma prática que permite às
organizações identificar, quantificar e estabelecer as prioridades em face de critérios de aceitação do risco e de objetivos
relevantes para a organização.
A gestão do risco de uma organização pode ser entendida como a gestão da incerteza e determinação das ações
necessárias para que esta possa ser minimizada ou reduzida para níveis considerados aceitáveis por parte da organização.
É um exercício sistematizado, no âmbito do qual a organização identifica possíveis ameaças que possam construir sobre
as vulnerabilidades dos ativos, bem como quais os níveis do risco associado, avaliando-se a probabilidade de ocorrência e
possíveis impactos.
A ISO/IEC 31001 disponibiliza um conjunto de princípios e de orientações genéricas sobre gestão do risco para as
organizações. Por outro lado, a ISO/IEC 27005 específica orientações e processos para gestão do risco de segurança dos
sistemas de informação de uma organização, apoiando-se, em particular, nos requisitos de um Sistema de Gestão de
Segurança da Informação (SGSI), implementado de acordo com a norma ISO/IEC 27001.
A ISO/IEC 27005 não fornece uma metodologia específica para a gestão dos riscos de segurança da informação. Cabe às
organizações definir qual a sua abordagem para a gestão dos riscos. Em geral, a metodologia de gestão do risco ISO/IEC
27005, por ser direcionada a sistemas de informação, pode ser aplicável a todos os tipos de organização.
A segurança da informação tem como preocupação primária a proteção dos ativos da organização contra ameaças internas
e externas, sendo estas categorizadas de acordo com o potencial dano que possam causar aos ativos a proteger.
No domínio da segurança, é dada maior atenção às ameaças relacionadas com atividades maliciosas ou de origem humana.
A figura abaixo, retirada da norma ISO/IEC 27032, ilustra esses conceitos e relações de alto nível.

Figura 29: Relações do Espaço Cibernético.
Fonte: ISO/IEC 27032: 2015

O plano de tratamento dos riscos é executado tendo por base a avaliação realizada pela organização sobre riscos
identificados, no âmbito do processo de análise. Existem quatro opções disponíveis para tratamento do risco: Evitar, Aceitar,
Mitigar e Transferir.
Para todos os riscos cuja opção de tratamento tenha sido a mitigação, a organização deverá elaborar um plano de
tratamento que identifique os constrangimentos e eventuais dependências, prioridades atuais da organização, prazos de
execução, recursos necessários e o caminho crítico da implementação de medidas de mitigação.
As medidas processuais e de caráter técnico a implementar poderão ser identificadas tendo por base o enquadramento do
risco, devendo ainda ter por objetivo a redução do nível do risco, ao ponto em que este possa ser considerado aceitável pela
organização.
Tal como se pode observar na figura seguinte, a Gestão do Risco em Segurança da Informação baseada na norma ISO/
IEC 27005, é composta pelas seguintes fases: Estabelecimento do Contexto (1), o Levantamento do Risco (2), que inclui a
identificação (2.1), análise (2.2) e avaliação do risco (2.3), a fase de tratamento do risco (3), de aceitação do risco (4) dando-se
depois sequência às fases de comunicação e consulta (5) e de monitoração e revisão do risco (6).

Figura 30: Processo de Gestão de Riscos em Segurança da Informação.
Fase 1: Estabelecer Contexto
A organização deverá identificar quais os recursos humanos e materiais necessários para garantir a correta execução de
todo o processo de gestão do risco. A empresa deverá:

• Definir uma metodologia de gestão do risco que seja adequada para a realidade da organização;
• Efetuar a identificação das partes interessadas internas e externas;
• Identificar o modelo de governança a aplicar na gestão do risco e

definir um processo de escalonamento apropriado;
• Definir os papéis e responsabilidades internos e externos na gestão do

risco e atribuí-los aos recursos humanos elegíveis.
Todas estas decisões devem ser analisadas e aprovadas pela alta gestão da organização.
Na sequência do ponto anterior, a organização deverá, igualmente, identificar os recursos necessários para:
• Definir e implementar as políticas, processos e procedimentos no âmbito da gestão e tratamento do risco;
• Efetuar o levantamento e o plano de tratamento dos riscos;
• Monitorar os controles implementados;
• Acompanhar a eficácia da implementação do plano de tratamento do risco.
Critérios de avaliação do risco
Os critérios de avaliação do risco devem ser identificados para se avaliar a relevância do risco na organização,
considerando-se:
• O valor estratégico dos processos referentes à atividade da organização;
• A criticidade dos ativos de informação envolvidos;
• A importância operacional e comercial em termos de confidencialidade;

integridade e disponibilidade da informação;

• A expectativa e as percepções das partes interessadas.
Podem ser identificados critérios de avaliação adicionais que poderão apoiar a priorização do tratamento dos riscos.
Critérios de impacto
A organização deverá definir quais os níveis de impacto que deverão embasar a sua gestão do risco. O critério de impacto
deve ser determinado em termos do grau de danos ou custos que um evento de segurança da informação tem para a
organização.
Na identificação dos níveis de impacto a atribuir aos riscos, a organização deverá ter em vista os seguintes indicadores:
• Importância e classificação dos ativos de informação;
• Falhas na segurança de informação, avaliando-se em termos de

confidencialidade, integridade e disponibilidade da informação;
• Custos para a organização;
• Disrupção de planos e prazos;
• Danos de reputação.
Critérios de aceitação do risco
A organização deve definir quais são os seus critérios de aceitação do risco. Deverá identificar a partir de que nível do risco
terá de ser necessária a aprovação da gestão de topo para que ele possa ser aceito.
A organização deve definir as suas próprias escalas de níveis de aceitação dos riscos.
Na definição dos critérios de aceitação do risco, a organização deve ter em consideração os seguintes pontos:
• Os critérios de aceitação podem incluir diversos limites, existindo um nível do risco aceitável, sendo
que a aceitação dos riscos acima desse nível deve ser formalmente aprovada pela alta gestão;

• Os critérios de aceitação podem incluir requisitos para o futuro tratamento adicional. Por exemplo, o
risco pode ser aceito se existir aprovação e compromisso de se tomar medidas que possibilitem a sua
redução para níveis aceitáveis dentro de um prazo acordado e estipulado no plano de gestão do risco;
• Os critérios de aceitação podem diferir de acordo com o seu tempo de vida. Por exemplo, o risco
pode estar associado a uma atividade temporária ou de curto prazo da organização.
Os critérios de aceitação devem ser estabelecidos considerando-se os seguintes fatores:
• Fatores inerentes à atividade;
• Fatores operacionais;
• Fatores tecnológicos;
• Fatores financeiros;
• Fatores sociais e humanitários.
Definição de âmbito e fronteiras
A organização deverá definir o âmbito e as fronteiras do seu sistema de gestão do risco de segurança e organização da
informação. A definição do âmbito é relevante, tendo em conta que é necessário garantir-se que todos os ativos relevantes
para a organização sejam incluídos na fase de levantamento.
A definição das linhas de fronteira é igualmente importante, para que a organização consiga trabalhar os riscos que podem
ser identificados através dessas mesmas fronteiras.
Ao definir o âmbito ou as fronteiras da gestão do risco, a organização deve ter em conta:
• Os seus objetivos estratégicos de negócio;
• Os processos referentes à sua atividade;

• As suas funções e estrutura interna;
• A sua política de segurança da informação;
• As expectativas das suas partes interessadas;
• O seu ambiente sociocultural;
• Os seus ativos de informação.
Fase 2: Identificação do Risco
A fase de identificação é a primeira fase da etapa de levantamento dos riscos. Nesta fase, dever-se-á identificar,
reconhecer e descrever os riscos que possam criar constrangimentos ou impedir a organização de atingir os seus objetivos.
O propósito da identificação é determinar as ocorrências que poderão causar uma potencial perda à organização. Os
passos descritos nas próximas etapas são essenciais para se efetuar a coleta de dados para alimentar a análise do risco.
Identificação dos ativos
A organização deve identificar quais os ativos que suportam o âmbito definido na gestão do risco de segurança da
informação. Os ativos são tudo o que tem valor e que requer proteção sob a ótica da organização.
Os ativos poderão pertencer (mas não apenas) às seguintes categorias:
• Tecnológicos (hardware, software);
• Dispositivos de rede;
• Pessoas;
• Localizações etc.

A organização deve ter um inventário dos seus ativos com, pelo menos:
• O número de inventário do ativo;
• Uma descrição das funções dos ativos;
• A identificação do responsável;
• A sua localização;
• A categoria ou tipo.
Esta informação deverá ser acrescida de:
• Classificação do ativo de acordo com a sua criticidade para a organização;
• Identificação dos processos referentes à atividade da organização que os ativos suportam;
• Identificação de dependências em relação a outros ativos.
Identificação de ameaças
Uma ameaça tem o potencial de criar impactos e consequências negativas nos ativos da organização. Adicionalmente, esta
pode ser de origem natural ou humana e pode ser acidental ou deliberada.
A informação relativa à identificação de ameaças pode ser obtida das seguintes formas:
• Revisão de incidentes ocorridos;
• Responsáveis pelo ativo;
• Utilizadores;
• Especialistas em segurança da informação;
• Especialistas em segurança física;

• Departamentos legais;
• Catálogo de ameaças.
Identificação de controles
A organização deverá ter sistematizado os planos de gestão do risco anteriormente efetuados, com a identificação dos
respetivos controles implementados. Acresce a esta informação a identificação do estado de implementação e de utilização
dos controles.
Para a identificação dos controles existentes ou planejados, as seguintes atividades poderão ser úteis para a organização:
• Revisão de documentos que contenham informações sobre a implementação dos controles (por exemplo:
planos anteriores de implementação de processos de gestão do risco). Se os processos de gestão da
segurança da informação estiverem corretamente documentados, todos os controles planejados e/
ou existentes e o seu respetivo estado de implementação deverão estar disponíveis para análise;
• Verificação junto das pessoas responsáveis pela segurança da informação (por exemplo: CISO,
COO) sobre quais são os controles que se encontram efetivamente implementados;
• Realização de uma avaliação presencial, no local, para aferir a implementação dos controles físicos,
comparando os que estão devidamente implementados com a lista dos controles que deveriam estar e
verificando, entre os implementados, se estes se encontram correta e eficazmente operacionalizados.
No final desta atividade, a organização deverá ter uma lista de todos os controles existentes e planejados com o seu
respetivo estado de implementação.

Identificação de vulnerabilidades
Com base na lista de ameaças e dos ativos (não esquecendo os controles implementados), a organização deverá identificar
uma lista de potenciais vulnerabilidades que poderão ser associadas aos seus ativos. As vulnerabilidades podem ser
identificadas nas seguintes áreas:
• Organização;
• Processos e procedimentos;
• Rotinas de gestão;
• Colaboradores;
• Ambientes físicos;
• Configuração dos sistemas de informação;
• Hardware, software e equipamento de rede;
• Dependência com partes externas interessadas.
A existência de uma vulnerabilidade não causa danos por si só. Para que cause danos, é necessário que exista uma ameaça
que possa explorar essa mesma vulnerabilidade.
Uma vulnerabilidade pode não exigir a implementação de um controle, mas deve ser conhecida e monitorizada pela
organização. Ressalta-se que um controle ou conjunto de controles que estejam incorretamente implementados podem
traduzir-se em potenciais vulnerabilidades para a organização. A eficácia de um controle depende do ambiente em que ele
opera.
A organização pode identificar uma lista complementar de vulnerabilidades que não estejam relacionadas com ameaças e/
ou ativos concretos. Esta lista pode fazer parte da sua base de dados de conhecimento de gestão do risco.

Identificação de impacto
A organização deve identificar as consequências dos riscos e aferir qual o impacto que a possível exploração de uma
vulnerabilidade por parte de uma ameaça poderá ter em termos de confidencialidade, integridade e/ou disponibilidade dos
ativos que se encontrem no âmbito do processo de gestão do risco.
Um impacto deve ser avaliado em várias dimensões, principalmente (mas não apenas) na geração de condições
operacionais adversas, na perda de negócio por parte da organização ou em danos de reputação e imagem.
Esta atividade identifica os danos ou impactos para a organização que podem ser causados por um cenário de incidente.
Um cenário de incidente pode ser originado pela exploração de uma vulnerabilidade por parte de uma determinada ameaça
ou por um conjunto de ameaças a um sistema de informação.
O impacto dos cenários de incidentes deve ser determinado considerando-se os critérios indicadores que são definidos no
estabelecimento do contexto. Uma determinada ameaça pode ter impacto em um ou mais ativos, ou em partes de ativos.
Os ativos devem ter classificações atribuídas em função do seu valor para a organização, mediante as consequências no
seu negócio, no caso de estes serem danificados e/ou comprometidos. O impacto pode ser temporário ou permanente (como
no caso da destruição de um ativo).
O impacto do risco deverá ser identificado com base nas vulnerabilidades e ameaças associadas. Devem ser igualmente
levadas em conta, na identificação do impacto, as consequências para os ativos e, inerentemente, para os processos
referentes à atividade da organização que estes suportam.
Na aferição de impacto, a organização poderá identificar potenciais consequências operacionais em termos de, mas não se
limitando a:
• Tempo de investigação e de reparação;
• Tempo (de trabalho) perdido;

• Oportunidades perdidas;
• Segurança e saúde;
• Custos financeiros com reparação;
• Danos de reputação.
Fase 3: Análise do Risco
A análise do risco envolve a consideração das incertezas, fontes do risco, consequências, eventos, cenários, controles e a
sua eficácia.
Um evento pode ter múltiplas causas e consequências, e pode afetar um ou mais objetivos da organização. A abordagem
ao processo de análise do risco pode ser realizada com níveis distintos de granularidade, dependendo da criticidade dos
ativos, da extensão das vulnerabilidades existentes, das ameaças a ter em consideração e dos incidentes anteriormente
ocorridos que envolvam a organização e que estejam inseridos no âmbito e fronteiras do processo de gestão do risco.
Nos critérios de aferição do impacto do risco, devem ser igualmente observadas as seguintes dimensões:
• Reputação – A ocorrência de determinado risco pode colocar em causa a reputação da

organização (por exemplo: perda de confiança das partes interessadas);
• Legal ou Regulatório – A ocorrência de determinado risco poderá colocar em causa responsabilidades

legais e/ou regulatórias da organização (por exemplo: responsabilidades regulatórias setoriais);
• Serviço a clientes – A ocorrência de determinado risco poderá colocar em causa o serviço prestado
aos clientes da organização (por exemplo: não cumprimento de um nível de serviço);
• Financeiro – A ocorrência de determinado evento pode levar a que a organização possa incorrer
em custos financeiros não previstos (por exemplo: multas, recursos adicionais).

A probabilidade de ocorrência de um risco é a possibilidade de ele ocorrer num determinado período. É possível identificar
a probabilidade de um risco com base na sensibilidade da equipe, na experiência de quem o identifica ou em outros
indicadores internos e externos.
Metodologia de análise
A metodologia de análise do risco pode ser consubstanciada por uma abordagem analítica de caráter qualitativo,
quantitativo ou por uma combinação de ambas. Na prática, a análise qualitativa é mais utilizada, numa primeira abordagem,
para a obtenção de indicadores gerais do nível do risco e para identificar os riscos mais relevantes.
O método de análise deverá ser consistente com os critérios de avaliação do risco, definidos na fase de estabelecimento do
contexto do risco.
Análise qualitativa do risco
A análise qualitativa dos riscos utiliza uma escala de atributos de qualificação para identificar a severidade dos potenciais
impactos (por exemplo: Baixo, Médio e Alto) e a probabilidade de tais ocorrências. Uma vantagem da análise qualitativa é a
facilidade de compreensão por parte dos intervenientes; sua desvantagem está na subjetividade da escala em questão.
A análise qualitativa pode ser utilizada:
• Como uma atividade de triagem inicial para identificar os riscos que exigem uma análise mais detalhada;
• Quando este tipo de análise é apropriado para a tomada de decisão;
• Quando os dados ou recursos numéricos são inadequados para uma análise quantitativa do risco.
As análises qualitativas deverão utilizar dados e informações factuais.
Análise quantitativa do risco
A análise quantitativa utiliza uma escala de valores numéricos (em oposição às escalas descritivas usadas na análise
qualitativa do risco) para aferição dos impactos e probabilidades, devendo basear-se em diversas fontes.

A qualidade da análise depende da exatidão e integridade dos valores numéricos e da validade dos modelos utilizados.
A análise quantitativa dos riscos utiliza, na maioria dos casos, dados de históricos de incidentes, apresentando, assim,
a vantagem de poder ser diretamente relacionada com os objetivos e preocupações de segurança da informação da
organização.
A análise quantitativa poderá ser desvantajosa, caso não existam dados factuais ou auditáveis. Esta situação pode criar
uma ilusão de precisão e de eficácia do processo de avaliação do risco.
Levantamento dos impactos
Para execução desta fase, a organização deverá dispor de uma lista dos cenários de incidentes relevantes, da identificação
das ameaças e vulnerabilidades anteriormente analisadas, dos ativos afetados e das respetivas consequências para esses
ativos e para os processos referentes à atividade da organização, inseridos no âmbito do processo de gestão do risco.
Deve ser avaliado o impacto nos serviços prestados pela organização que possam resultar na ocorrência de incidentes
de segurança. O levantamento do impacto deverá ser igualmente avaliado no contexto da perda de confidencialidade,
integridade ou disponibilidade dos ativos em análise.
O impacto do risco deve ter como base as vulnerabilidades, as ameaças identificadas e as respectivas consequências do
risco nos ativos e processos referentes à atividade da organização.
O impacto pode ser avaliado sob diversas perspectivas: técnica, financeira, humana, de imagem ou outra perspectiva que
seja relevante para a organização.
A avaliação dos ativos começa com a sua classificação, de acordo com a sua importância para o cumprimento dos objetivos
de negócio da organização. Pode ser determinada usando duas medidas:
• O valor de reposição do ativo: custo de recuperação, a limpeza ou a substituição da informação (se possível);

• As consequências operacionais da perda ou do comprometimento do ativo, tais como as
consequências negativas para a prestação do serviço, consequências jurídicas ou regulatórias
decorrentes da indisponibilidade e/ou destruição dos ativos de informação.
Análise de probabilidade
Com base nas ameaças, vulnerabilidades e listas de incidentes (incluindo lições aprendidas) existentes, a organização
deverá avaliar qual a probabilidade de ocorrência do risco.
Uma vez identificados os cenários de incidentes, incluindo identificação de ameaças, ativos afetados, vulnerabilidades
exploradas e o impacto para os ativos e para os processos referentes à atividade da organização, deve ser levada em conta a
frequência da ocorrência das ameaças e a facilidade com que as vulnerabilidades poderão ser exploradas, considerando:
• Experiência e estatísticas aplicáveis para a probabilidade de ameaça;
• Para fontes de ameaças humanas: a motivação e as capacidades que mudam com o

tempo e os recursos disponíveis para um possível atacante, bem como a percepção de
atratividade e da vulnerabilidade dos ativos para um possível atacante;
• Para fontes de ameaças acidentais: fatores geográficos, como por exemplo proximidade
com indústrias químicas ou petrolíferas, a possibilidade de condições climáticas;
• Vulnerabilidades, individualmente ou em conjunto.
Determinação do nível do risco
Na análise do risco, em cada cenário são atribuídos valores ao impacto e à probabilidade. Esses valores poderão ser
qualitativos ou quantitativos, dependendo da metodologia utilizada pela organização.
Nesta fase, todos os riscos identificados deverão ter o seu nível determinado.

Fase 4: Avaliação do risco
A natureza das decisões relativas à avaliação e aos critérios de avaliação dos riscos utilizados para tomar essas decisões é
estabelecida no momento de definição do contexto. Estas decisões, bem como o contexto, devem ser revisadas com maior
detalhe nesta fase, tendo em conta que existem mais informações sobre os riscos específicos identificados.
No decorrer do processo de avaliação, as organizações devem comparar os riscos estimados com os critérios de avaliação
do risco, definidos durante o processo de definição do contexto.
Os critérios de avaliação do risco devem ser utilizados para apoiar as tomadas de decisões. Devem ser consistentes com o
contexto externo e interno da gestão dos riscos de segurança da informação e considerados, por exemplo, nos objetivos das
organizações e na visão das partes interessadas.
As decisões tomadas na avaliação do risco baseiam-se principalmente no nível aceitável do risco. No entanto, os impactos
e a probabilidade, bem como o grau de confiança na identificação e análise do risco, também devem ser considerados.
A agregação de vários riscos, baixos ou médios, pode resultar em riscos gerais mais altos. Na fase de avaliação deve ser
elaborada uma lista dos riscos que podem ser agrupados. Os riscos devem ser priorizados de acordo com os critérios de
avaliação e em relação aos cenários de incidentes que originaram os riscos identificados.
Fase 5: Tratamento do risco
No âmbito do tratamento do risco, a organização deve definir qual a opção de tratamento considerada adequada, deve
proceder à identificação dos controles que podem ser implementados para mitigar, evitar ou transferir o risco, bem como
definir um plano para seu tratamento. Na escolha das opções de tratamento do risco, deve-se tomar em consideração:
• Como o risco é percebido pelas partes interessadas afetadas;
• A forma mais adequada para comunicar-se com as partes interessadas.

Assim que o plano de tratamento do risco for definido, os riscos residuais devem ser determinados. Este processo envolve
uma atualização ou uma nova iteração com a fase de avaliação, tendo por base os efeitos esperados pelo tratamento do
risco proposto.
Caso o risco residual ainda não satisfaça os critérios de aceitação do risco da organização, poderá ser necessária uma
análise adicional do tratamento do risco antes de se proceder à sua aceitação.
Figura 31: Processo de Gestão de Riscos em Segurança da Informação.


Tal como indicado na Figura 6, as opções de tratamento de risco a serem consideradas, são:
• Evitar o risco: Colocar a probabilidade ou impacto tendencialmente próximo de zero,

tornando mais difícil a sua ocorrência e/ou eliminar totalmente o seu impacto;
• Aceitar o risco: Decisão de aceitação do risco. A assunção de responsabilidade por

essa decisão deve ser formalmente registrada pela organização;
• Mitigar o risco: Reduzir a probabilidade ou impacto de um evento adverso para limites

aceitáveis, através da implementação de controles ou contramedidas;
• Transferir o risco: Transferir, total ou parcialmente, para terceiras partes, o impacto em

relação a uma ameaça (por exemplo: efetuar a contratação de um seguro).
Fase 6: Comunicação e consulta do risco
A informação e as decisões referentes aos riscos devem ser partilhadas com todas as partes interessadas relevantes. A
comunicação do risco deve ser realizada, de modo a:
• Providenciar a garantia do resultado da gestão dos riscos da organização;
• Recolher informações do risco;
• Partilhar os resultados da avaliação dos riscos e apresentar o plano de tratamento dos riscos;
• Evitar ou reduzir a ocorrência e o impacto das quebras de segurança da informação devido à

falta de entendimento mútuo entre quem toma as decisões e as partes interessadas;
• Apoiar as tomadas de decisão;
• Enriquecer o conhecimento sobre as temáticas da segurança da informação na organização;

• Coordenar com outras partes interessadas e planejar respostas para reduzir o impacto dos incidentes;
• Disponibilizar, a quem toma as decisões e às partes interessadas da organização,

uma demonstração de responsabilidade sobre os riscos;
• Melhorar a consciencialização sobre a importância do processo de gestão dos riscos.
A organização deve desenvolver planos de comunicação de apoio aos processos de gestão do risco, comuns e de
emergência. Desta forma, a atividade de comunicação deve ser realizada de forma contínua.
Fase 7: Fase Monitoração e revisão do risco
Os riscos e os seus fatores (por exemplo: valor dos ativos, impactos, vulnerabilidades e probabilidades de ocorrência)
devem ser monitorados e revistos com regularidade, de modo a que se identifique oportunamente qualquer alteração que
possa ter existido no contexto da organização e que se possa traduzir numa alteração à percepção do risco.
A organização deve garantir que os seguintes pontos são monitorados de forma contínua:
• Novos ativos que foram incluídos no âmbito do processo de gestão do risco;
• Alterações na criticidade dos ativos para a organização (por exemplo: devido a requisitos de negócios modificados);
• Novas ameaças que podem estar ativas, tanto dentro como fora organização, e que ainda não foram avaliadas;
• Possibilidade de novas vulnerabilidades serem exploradas por ameaças;
• Possível aumento do impacto, consequências das ameaças, vulnerabilidades ou

dos riscos agrupados que resultem num nível inaceitável do risco;
• Incidentes de segurança da informação que possam ocorrer.

O resultado das atividades de monitoração pode ser inserido noutras atividades de revisão dos riscos. A organização deve
efetuar a revisão de forma regular ou sempre que ocorram alterações significativas.
6.3 Conclusão do Processo de Gestão de Riscos Cibernéticos
Podemos concluir que as normas ligadas ao Sistema de Gestão da Segurança da Informação e da Segurança Cibernética
não são enfáticas em fazer com que os respectivos gestores olhem diretamente quais são os processos críticos para que a
estratégia e objetivos estratégicos da empresa sejam plenamente atingidos.
Quanto aos sistemas de tecnologia da informação, considerados como ativos, é pedido que haja uma priorização, mas
sem nenhum direcionamento específico. Deveria haver uma integração entre os processos críticos e os sistemas de TI que
apoiam tais processos. Nas normas há uma ordem inversa, pois a TI diz quais são os sistemas considerados críticos, mas sem
qualquer referência direcionada aos objetivos estratégicos da empresa.
Portanto há uma dicotomia entre o estratégico e o tático da empresa e é por esta razão que o CISO não consegue hoje
tratar de assuntos estratégicos junto ao Conselho de Administração. O processo de gestão de riscos foca nos quesitos
técnicos, organizacionais e de pessoas.
Não há uma menção direta sobre as Joias da Coroa que seriam a tríade de:
1. Processos e áreas chaves da empresa – Cadeia de Valor, áreas e processos primários;
2. Sistemas de TI/TO que suportam as áreas e os processos chaves;
3. Informações que estão dentro dos processos e sistemas considerados chaves,

de conteúdo estratégico ou com requisitos legais (exemplo LGPD).
Esta tríade é que deveria ser o foco das avaliações de riscos cibernéticos, descritos como cenários, traçando a magnitude
em que os riscos destes cenários poderiam ser materializados. Ou seja, no processo de gestão de riscos cibernéticos deveria

haver uma fase de construção de cenários, com base na inteligência de ameaças que retrate o modus operandi dos perfis de
hackers a que a empresa está exposta.
Outro ponto crucial, tendo em vista que o Fator Humano é o elo mais fraco do processo de riscos cibernéticos, seria a
avaliação da maturidade dos colaboradores que manipulam as informações consideradas estratégicas, dos processos e
sistemas chaves. Esta avaliação deve ser feita, independentemente do nível hierárquico na empresa, pois todos, desde o
alto escalão até o chão de fábrica, devem saber do seu grau de responsabilidade em estar manipulando as informações da
empresa. Desta forma as Joias da Coroa estariam de fato protegidas e a empresa, sendo resiliente, teria seus protocolos de
respostas a incidentes devidamente planejados.
Hoje em dia, a única melhor prática que é incisiva e objetiva, integrando a estratégia e o desempenho das empresas
com a Gestão Integrada de Riscos, é o COSO ERM 2017 – Integrando Estratégia e Desempenho. Nesta melhor prática, as
orientações são focadas sempre nos objetivos estratégicos e sua régua são os critérios de apetite ao risco. Neste nosso caso,
é mandatório que os executivos, junto com o gestor de riscos cibernéticos elaborem seu apetite aos riscos cibernéticos em
função das consequências operacionais, de reputação, legais e financeiras.

Figura 32: Framework Estratégico.
Fonte: COSO ERM 2017 - Foco na estratégia e desempenho

O framework que foi elaborado e será descrito no capítulo seguinte contempla, de forma direta, estes gaps que prejudicam
a visão estratégica do gestor de riscos cibernéticos.
Observa-se nos quadros abaixo que a deficiência das empresas em CISO ou gestor de cibernética pode ser resultado da
falta de visão estratégica.
Figura 33: Falta de executivo dedicado – CISO - Cibernético.

Fonte: 3a Pesquisa Tempest DataFolha sobre Segurança Cibernética

Figura 34: Falta de executivo dedicado – CISO - Cibernético.
Figura 35: Temas de Segurança nas pautas estratégicas.


Figura 36: Falta de executivo dedicado – CISO - Cibernético

Podemos verificar, nos três exemplos
acima, que os assuntos e recursos para
a segurança cibernética e segurança em
TI são colocados em segundo plano, no
nível estratégico das empresas.
Figura 37: Frequência da pauta no Conselho de Administração - Cibernética.


7
Framework da
Gestão de Riscos
Cibernéticos -
Joias da Coroa
7.1 Introdução
Desenvolvemos um framework de gestão de riscos cibernéticos, integrando conceitos do COSO I: 2013; COSO ERM: 2017;
ABNT NBR ISO 31000: 2018; ABNT NBR ISO/IEC 31010:2012; ABNT NBR ISO/IEC 27001: 2006; ABNT NBR ISO/IEC 27002: 2005;
ABNT NBR ISO/IEC 27005: 2019; ABNT NBR ISO/IEC 27032: 2015 e o Método Brasiliano de Gestão de Riscos Corporativos.
Cabe ressaltar que o framework do Framework para riscos cibernéticos visa cobrir o gap do olhar e visão estratégica do
gestor de riscos cibernéticos.
Por esta razão houve a necessidade de integrar os vários conceitos das normas acima mencionadas, em razão da visão
de negócio com riscos. Não é exaustivo, mas teve como principal objetivo dar uma sequência lógica e estruturada para que
o gestor possa conhecer seu nível de vulnerabilidade estratégica, e, a partir daí, tomar as ações de prevenção, detecção e
principalmente de mitigação para ter uma resiliência cibernética muito elevada.
O framework de gestão de riscos cibernéticos aproveitou de forma direta a experiência de outras disciplinas de riscos e
suas respectivas ferramentas. Lembro que esse processo não é exaustivo e que, iremos aproveitar as melhores práticas de
várias fases de outros frameworks, de outras taxionomias de riscos, pois a essência é a mesma. O que muda é o ferramental
e a forma de utilização de cada ferramenta.
Procurei seguir as premissas ISO/IEC 27005, NIST 800 53 e ISO/IEC 27032, ISO 31000, visando integrar estes conceitos na
gestão de riscos cibernéticos.
Ressalto que a questão cibernética, como salientado pela Associação dos Gestores de Riscos da Europa - FERMA, não
pode estar restrita a uma disciplina única de TI, mas sim expandida para toda a empresa, onde o elo mais fraco da corrente
continua sendo o fator humano.
Este framework foi testado em inúmeras empresas com a aplicação do Software INTERISK, dando resultados acima do
esperado nas integrações e automatizações realizadas.

7.2 Framework da Gestão de Riscos Cibernéticos
7.2.1 Aplicação do Framework
O Framework da Gestão de Riscos Cibernéticos foi concebido para oferecer diversos produtos para o gestor de segurança
cibernética. Dentre eles, podemos citar:
1. O gestor de segurança cibernética conhecer as Joias da Coroa: são as áreas, sistemas,

informações que devem ter foco no planejamento da segurança cibernética. É o
denominado núcleo duro da empresa, a essência do core business;
2. O gestor de segurança cibernética saber qual é o nível de maturidade em segurança

cibernética dos colaboradores que manipulam as informações estratégicas;
3. O gestor de segurança cibernética conhecer o nível de maturidade das Joias da Coroa, em segurança
cibernética, com divisão das cinco funções do NIST: identificar, proteger, detectar, responder e recuperar;
4. O gestor de segurança cibernética conhecer a lista de suas fragilidades por ordem de criticidade;
5. O gestor de segurança cibernética conhecer a listagem de riscos cibernéticos;
6. O gestor de segurança cibernética saber quais são as causas de cada risco e a relevância destas causas;
7. O gestor de segurança cibernética saber quais são as consequências

de cada risco e a relevância destas consequências;
8. O gestor de segurança cibernética conhecer o nível de criticidade de seus

riscos inerentes, ou seja, os riscos puros, sem controles;
9. O gestor de segurança cibernética saber quais são os controles eficazes e ineficazes, por fator de risco e risco;

10. O gestor de segurança cibernética conhecer o nível de criticidade dos
riscos cibernéticos residuais, com os controles eficazes;
11. O gestor de segurança cibernética saber quais são os possíveis cenários de

ataques cibernéticos, com suas criticidades, integrando os riscos;
12. O gestor de segurança cibernética saber priorizar o tratamento dos riscos e dos cenários de ataques cibernéticos,
levando em consideração: apetite aos riscos x criticidade dos riscos x relevância dos fatores de riscos;
13. O gestor de segurança cibernética saber elaborar o plano de ação focado na relação de importância
estratégica para a empresa x redução do nível de riscos x resiliência cibernética.
Os treze produtos são interconectados e o gestor poderá escolher quais produtos do Framework irá utilizar. Os quatro
princípios que o Framework utiliza para gerar valor para o processo são:
1. Prever e prevenir: assumir uma postura proativa, antecipando o risco antes que ele se torne realidade.
2. Adaptar e melhorar: modernizar as operações e ajustá-las para prevenir o risco emergente.
3. Detectar: avaliar onde há vulnerabilidades nas operações e no sistema corporativo da empresa.
4. Responder e restaurar: abordar de forma rápida e efetiva as ocorrências cibernéticas e de informação,

quando e onde ocorrerem, e mitigar seus impactos. Criar e reforçar a Resiliência Cibernética.
O referencial metodológico – Framework de Gestão de Riscos Cibernéticos – está desenhado em sete fases
interconectadas para produzir soluções preventivas e mitigadoras.
São elas:

Figura 38: Framework de Gestão de Riscos Cibernéticos.

• 1 a Fase: Contexto Estratégico
• 2a Fase: Joias da Coroa
• 3a Fase: Maturidade Cibernética
• 4a Fase: Listagem de Riscos Cibernéticos, Relevância dos Fatores de Riscos e Avaliação

dos Riscos Inerentes e Residuais Cibernéticos – Avaliação dos Controles
• 5a Fase: Elaboração e Avaliação de Cenários de Ataques Cibernéticos
• 6a Fase: Elaboração dos Planos de Ações: Critérios de Apetite ao Risco x

Criticidade dos Riscos x Relevância dos Fatores de Riscos
• 7a Fase: Monitoramento e Análise Crítica: indicadores Chaves de Riscos
Paralelamente ao Framework, há necessidade de o gestor de segurança cibernética planejar um programa de comunicação

para toda a empresa, como forma de educar e sensibilizar. Este programa deve ser contínuo, através de campanhas de
endomarketing, com cartazes, filmetes, palestras. O objetivo é tornar o tema segurança cibernética comum entre os
colaboradores e partes interessadas, de tal forma que sempre esteja na agenda, abordado abertamente, sem qualquer
restrição.
Podem também ser programadas, a cada dois ou três meses, campanhas com simulações de e-mails maliciosos, testes de
penetração e simulação de incidentes cibernéticos, com a atuação dos protocolos do Plano de Resposta a Incidentes – PRI e
uma vez ao ano testar o Plano de Recuperação de Desastres – PRD.
Com a aplicação do Framework de riscos cibernéticos, integrados com os programas de comunicações, testes de intrusão,
simulações de incidentes cibernéticos, a empresa agirá de forma preventiva e irá simultaneamente aumentar sua resiliência
cibernética.

7.2.2 - 1 a Fase: Contexto Estratégico
A fase do contexto estratégico possui três subfases que são

consideradas estratégicas para o sucesso da aplicação do framework:
PRIMEIRA SUBFASE: ENTENDIMENTO DA ESTRATÉGIA –

OBJETIVOS ESTRATÉGICOS DA EMPRESA
Esta subfase tem por objetivo fazer com que o gestor de riscos cibernéticos compreenda de forma clara e objetiva de que
forma a empresa vai traçar seu rumo para atingir seus objetivos estratégicos.
O gestor de riscos cibernéticos deve ter um entendimento claro para poder fazer as conexões entre os riscos/cenários de
ataques cibernéticos, os objetivos estratégicos e os caminhos que a empresa terá que percorrer para atingir esses objetivos.
O gestor terá que possuir uma visão prospectiva para apresentar à alta gestão os impactos dos riscos cibernéticos mais
massivos, com potencial para afetar a trajetória da empresa, bem como o custo financeiro deste desvio ou paralização.
Há necessidade de o gestor e sua equipe cibernética conhecerem sua missão, visão, valores, objetivos a alcançar, a
estratégia a seguir e quais são os caminhos a percorrer pela empresa em direção a seus objetivos estratégicos.

Figura 39: Planejamento Estratégico das empresas na mira do gestor de riscos cibernéticos.
SEGUNDA SUBFASE: ELABORAÇÃO DA POLÍTICA DE SEGURANÇA CIBERNÉTICA E DO PROCESSO DE GESTÃO DE

RISCOS CIBERNÉTICOS
Elaborar a Política de Riscos Cibernéticos, visando fornecer aos gestores, diretores, conselheiros, acionistas e partes
interessadas, diretrizes e responsabilidades sobre os quesitos dos riscos cibernéticos e seus controles;
Elaborar o Processo de Gestão de Riscos Cibernéticos, com a metodologia adequada às especificidades da empresa,
utilizando as métricas e ferramentas necessárias. O processo deve estar alinhado com os objetivos estratégicos,

operacionais, compliance e de comunicação da empresa. O importante nesta fase é deixar claro quais critérios são
utilizados e qual será o critério para acionar o Plano de Contingência, Continuidade, Recuperação e Crise em caso de Ataque
Cibernético. Tudo isso deve estar muito claro no processo e na metodologia.
TERCEIRA SUBFASE: ELABORAÇÃO DO APETITE AO RISCO CIBERNÉTICO
Todas as melhores práticas existentes sugerem de forma direta que os gestores devem avaliar o apetite ao risco da
organização ao analisarem as estratégias, definindo os objetivos a elas relacionados e desenvolver mecanismos para
gerenciar os respectivos riscos. No caso de riscos cibernéticos, o processo é o mesmo, ou seja, o gestor de riscos cibernéticos
deve identificar quais são os riscos cibernéticos que podem impactar de forma direta as estratégias e objetivos da empresa.
Portanto, é de suma importância clarificar também o apetite de risco da disciplina cibernética.
Geralmente há uma grande preocupação, tanto por parte do Conselho de Administração como pela Presidência e Diretoria
Executiva em relação a riscos cibernéticos, mas poucas ações são realizadas, por pura falta de conhecimento. Por esta razão,
quando se fala em Apetite ao Risco em Riscos Cibernéticos, o Conselho de Administração e a Diretoria geralmente preferem
ficar calados ao invés de sugerirem métricas para terem claro até onde podem arriscar para atingir seus objetivos.
É preciso deixar claro que o apetite ao risco cibernético é a quantidade de risco cibernético que a empresa deseja assumir
para conseguir atingir seus objetivos. Ou podemos dizer também que apetite ao risco cibernético é a quantidade de riscos
cibernéticos, no sentido mais amplo, que uma organização está disposta a aceitar em sua busca para agregar valor. O apetite
ao risco reflete toda a filosofia administrativa de uma organização e, por sua vez, influencia a cultura e o estilo operacional
dela.
A fixação do apetite ao risco permite determinar na empresa o binômio risco x benefício, controlar e manter os riscos em
níveis desejados. Para tanto, visando possibilitar a geração de valor nas organizações, estas devem fazer um balanço entre
riscos x oportunidades x apetite ao risco que servirá de guia para a tomada de decisões, alocação de recursos e a definição

do alinhamento de toda a empresa na busca dos objetivos fixados, permitindo fazer um monitoramento das ações, dos
resultados e dos níveis de riscos associados.
Muitas organizações consideram esse apetite de forma qualitativa, categorizando-o como elevado, moderado ou baixo,
enquanto outras organizações adotam uma abordagem quantitativa que reflete e equilibra as metas de crescimento, retorno
e risco.
Uma organização dotada de um maior apetite ao risco poderá desejar alocar grande parcela de seu capital para áreas de
alto risco como mercados emergentes. Por outro lado, uma organização com um reduzido apetite ao risco poderá limitar seu
risco de curto prazo, investindo apenas em mercados maduros e mais estáveis.
A responsabilidade da definição do Apetite ao Risco da empresa é do Conselho de Administração da Empresa, sugerido

pela Diretoria Executiva, através do seu Presidente.
Tolerância e Capacidade ao Risco
Na determinação do apetite, ao risco temos que utilizar outras duas métricas que são: a tolerância e a capacidade da
empresa. Deste modo, o apetite é o nível de risco que a empresa quer aceitar, aquele com que se sente cômoda, aquele onde
os gestores podem aceitar e trabalhar com tranquilidade. Já a tolerância é o desvio do nível do apetite de risco. Por outro
lado, a capacidade é o nível máximo de risco que a organização pode suportar na perseguição aos seus objetivos. Assim, a
tolerância ao risco servirá como um alerta para evitar que a empresa chegue ao nível estabelecido por sua capacidade, algo
que colocaria em perigo a continuidade de seus negócios. O gráfico abaixo demonstra os três níveis e suas explicações.

Figura 40: Níveis de Apetite ao Riscos
Fonte: La Fábrica de Pensamiento - Instituto de Auditores Internos de España
Cálculo do Apetite de Risco
A sugestão é que a empresa possa praticar inicialmente o apetite ao risco qualitativo, onde a régua será a Matriz de Riscos
da empresa.

A Matriz abaixo é a Matriz de Riscos da empresa. É uma Matriz 5 x 5 com 4 níveis de criticidade.
Em termos de apetite, a empresa optou pelo apetite número 2, quadrantes laranjas em termos gerais. Mas, de acordo com
a massividade do risco, a empresa pode baixar o apetite, conforme a figura abaixo. Não são admitidos riscos cibernéticos no
quadrante vermelho, nem na tolerância ou na capacidade.
Figura 41: Matriz de Riscos com os Níveis de Apetite ao Risco/Criticidade.


Figura 42: Apetite ao Risco x Criticidade de Risco
Basta diminuir o Apetite ao Risco estipulado, com o grau de Criticidade do Risco, existente na Matriz de Riscos, para
termos o resultado e as ações a serem desencadeadas.

7.2.3 - 2 a Fase: Joias da Coroa
Introdução
Esta fase é a estratégica, a espinha dorsal do

processo, pois nela o gestor de riscos cibernéticos
irá identificar, em alinhamento com as estratégias
e objetivos estratégicos da empresa, quais são
os processos críticos, sistemas e informações
consideradas estratégicas.
Ressalta-se que sem estas informações a segurança cibernética fica sem foco e que este é o principal problema hoje das
empresas. Sem foco específico, a superfície de segurança cibernética fica ampla e capilarizada, em função muitas vezes da
restrição de orçamento e da falta de sensibilização da alta gestão. A falta de sensibilização tem muito a ver com o fato de
o gestor de segurança cibernética não falar a linguagem de negócio, não falar do impacto que a empresa pode sofrer em
função do incidente cibernético.
Há a necessidade de o gestor de segurança cibernética ser muito claro e objetivo para que a alta gestão tenha plena
consciência do risco que irá assumir. Isto hoje é muito difícil de ocorrer, inclusive comprovado pela 3a Pesquisa de segurança
cibernética, realizada pela Tempest e DataFolha. Para suprir esta necessidade, este framework inseriu, como fase obrigatória,
a integração entre a área técnica e a de negócios.
Conseguindo fazer a interconectividade entre as áreas, a segurança cibernética muda de status, sensibilizando de forma
direta tanto a Diretoria Executiva quanto o Conselho de Administração.

Identificação dos Processos e Sistemas Críticos da Empresa
O BIA - Business Impact Analysis, ou Análise de Impacto no Negócio é uma ferramenta que possibilita avaliar processos,
áreas ou atividades e inseri-los em uma escala de criticidades visualizada através de uma Matriz.
O objetivo de realizar o BIA em primeiro lugar é o gestor de riscos cibernéticos enxergar qual é o processo/atividade/área
considerada crítica para a estratégia da empresa.
Esta ferramenta vale para selecionar os processos e áreas para onde a cibernética tem que apontar a lupa. A visão é de
negócios, core da empresa e não do processo ou área, deve estar alinhado com a estratégia e os objetivos estratégicos.
A ISO 31010, Técnicas e Ferramentas de Análise e Avaliação de Riscos, selecionou o BIA para ser empregado na seleção de
consequências/impacto. O BIA tradicionalmente vem da área de TI, para selecionar os sistemas críticos.
O BIA pode e deve ser utilizado tanto nos processos de negócio quanto em sistemas.
O BIA possui dois critérios, o do impacto na empresa e o do tempo de retorno da operação (quanto tempo a empresa
aguenta ficar sem o processo/sistema?). Com base nestes critérios, temos condições de elaborar uma escala de criticidade de
processos/sistemas.
Este framework, já testado pela Brasiliano INTERISK, aproveitou os dois macrocritérios (impacto e tempo), já
mundialmente utilizados pelo BIA e implementou dentro de cada macrocritério outros parâmetros com o objetivo de montar
uma matriz em três níveis.
Portanto, o BIA é uma ferramenta estratégica e holística no processo de gestão de riscos cibernéticos, pois direciona os
esforços do gestor de negócio e do gestor de cibernética para a proteção e a resiliência.
Critérios do BIA
Para a análise de Impacto no Negócio, são utilizados dois critérios de avaliação:

a) Impacto no Negócio: qual o impacto na empresa que a inatividade de um determinado processo ou determinada
área provoca? Vejam que a pergunta sempre está voltada para a empresa, nunca para o departamento ou
gerência. O impacto tem que ser medido com o foco nos objetivos estratégicos da empresa. Para a avaliação
do Impacto no Negócio são utilizados 4 subcritérios: Imagem, Financeiro, Legal e Operacional.
b) Tempo de Tolerância: Tempo de tolerância é o tempo máximo que um processo, atividade ou área estudada
podem ficar paralisados sem comprometer de forma significativa as operações da empresa.
Avaliação do Impacto no Negócio: para avaliar o impacto no negócio da empresa, os gestores deverão utilizar um peso
diferenciado para cada subcritério, tendo em vista o nível de importância no contexto da empresa. Seguem abaixo os quatro
subcritérios com os respectivos pesos:
Figura 43: Critérios de Impacto com pesos – Média Ponderada.


Cada subcritério de impacto adota os critérios elencados a seguir para pontuação. Estes critérios podem mudar, de acordo
com as características de cada empresa.
IMAGEM Pontuação
Repercussão prolongada ou não na mídia internacional: possível boicote aos serviços,

manifestações de massa. Preocupação pública/da mídia/política nacional e internacional.
Restrição ou revogação de uma ou múltiplas licenças de funcionamento. Também tende a
05
mobilizar grupos de ação. Atenção para reações de sindicatos de trabalhadores e de redes
sociais e possíveis greves de funcionários. Impacto sobre o preço das ações/avaliação de crédito.
Viabilidade financeira ameaçada. Repercussão internacional no ambiente organizacional.
Repercussão nacional: preocupação pública/ da mídia/ política nacional. Repercussões junto a

autoridades governamentais e representantes de nível nacional e/ou regional; possibilidade
de medidas restritivas à organização. Restrição ou revogação de uma ou múltiplas licenças de 04
funcionamento. Também tende a mobilizar grupos de ação. Atenção para possíveis reações de
sindicatos de trabalhadores e de redes sociais. Repercussão nacional no ambiente organizacional.
Repercussão regional: preocupação pública/da mídia/política dentro do estado. Pode haver

envolvimento adverso de grupos de ação e/ou do governo local. Atenção para possíveis reações 03
de sindicatos de trabalhadores e de redes sociais. Repercussão local no ambiente organizacional.
Repercussão local: envolve algum interesse público local do município e/ou alguma atenção
política local e/ou mídia local, com possíveis aspectos adversos para as operações. Repercussão 02
limitada no ambiente organizacional.
Sem repercussão: situações nas quais há o conhecimento do público, mas não existe interesse
01
público. A ocorrência não ultrapassa os limites internos da organização e/ou de suas unidades.

FINANCEIRO Pontuação
Catastrófica: acima de R$ 300.000,00 05
Crítica: de R$ 150.000,00 a R$ 300.000,00 04
Grave: de R$ 100.000,00 a R$ 150.000,00 03
Moderada: de R$ 50.000,00 a R$ 100.000,00 02
Leve: até R$ 50.000,00 01
LEGAL Pontuação
Catastrófica: questões legais em que há possibilidade de abertura de fiscalização/investigação/

processo na empresa, havendo descumprimento nos procedimentos ou legislação e ainda em que
não há argumentos e provas para inibir a aplicação de multas ou pagamentos de indenizações,
05
havendo também possibilidade da suspensão das atividades da empresa, prisão de empregados.
Uma ou múltiplas ações judiciais e multas de valor alto. Ação judicial muito séria, incluindo ações
populares. Encerramento legal das operações.
Crítica: questões legais em que há possibilidade de abertura de fiscalização/investigação/

processo na empresa, havendo descumprimento dos procedimentos ou da legislação e ainda
04
em que não há argumentos e provas para inibir a aplicação de multas ou pagamentos de
indenizações.

LEGAL Pontuação
Graves: questões legais em que há possibilidade de abertura de fiscalização/investigação/

processo na empresa, havendo pequenas falhas nos procedimentos ou legislação e ainda em
03
que há argumentos e provas para inibir parcialmente a aplicação de multas ou pagamentos de
indenizações.
Moderada: questões legais em que há possibilidade de abertura de fiscalização/investigação/

processo na empresa, porém há argumentos e provas contundentes para inibir a aplicação de 02
multas ou pagamento de indenizações.
Leve: questões legais sem qualquer impacto. 01
OPERACIONAL Pontuação
Massivo: impacta outros processos muito fortemente. 05
Severo: impacta outros processos de forma direta. 04
Moderado: impacta levemente outros processos. 03
Leve: impacta somente o próprio processo. 02
Insignificante: não impacta nada. 01
Tabelas 1: Critérios Impacto BIA.


Determinação do Nível de Impacto: o Nível de Impacto é o resultado da média ponderada dos quatro critérios de
impacto (multiplicação do peso pela nota dividido pela soma dos pesos), conforme demonstrado abaixo:
O resultado do nível de impacto é dado pela tabela abaixo.
GRAU DE IMPACTO ESCALA NÍVEL DE IMPACTO
4,51 – 5,00 5 Massivo
3,51 – 4,50 4 Severo
2,51 – 3,50 3 Moderado
1,51 – 2,50 2 Leve
1,00 – 1,50 1 Muito leve
Tabela 2: Régua de Impacto do BIA.


Avaliação do Tempo de Tolerância: como parte da avaliação do impacto, temos que estimar por quanto tempo o
processo, atividade ou área analisada pode ficar indisponível (“fora do ar”). O importante é avaliar o tempo necessário para
que o processo volte a ser operacional, mesmo que em condições precárias. A escala de valoração para a tolerância de tempo
é a seguinte:
TEMPO EM HORAS PONTUAÇÃO
Até 4 horas 6
Até 1 Dia – 24 horas 5
Até 2 Dias – 48 horas 4
Mais de 14 Dias – 336 horas 1
Tabela 3: Régua Tolerância de Tempo BIA.


Matriz de Processos/Sistemas Críticos – BIA – Business Impact Analysis: o resultado do cruzamento do nível de
impacto com o nível de avaliação da tolerância ao tempo é uma matriz que define o nível de criticidade de cada processo/
atividade/área, classificando-o como Crítico, Moderado ou Leve. Com base nesta matriz o gestor pode determinar a
prioridade de implantação, monitoração e alocação de recursos. Temos então três níveis de classificação:
CRÍTICOS MODERADOS LEVES

(HOT) (WARM) (COLD)
Prioritários: não podem Segunda prioridade: Terceira prioridade: podem

parar, são primordiais revestem-se de um nível ser considerados como
para as operações da de importância média para suporte para os processos,
empresa e devem receber a empresa, devendo cada atividades ou áreas
uma atenção especial dos gestor ter um senso de consideradas críticas e
gestores. urgência no tratamento. moderadas.
Tabela 4: Classificação dos Processos.


Figura 44: Matriz do BIA Processos/Sistemas Críticos.

Figura 45: matriz BIA preenchida, ressaltando os 7 processos críticos
Fonte: Software INTERISK, Brasiliano, 2022

Figura 46: Listagem de Processos Críticos.

Podemos observar acima que dos 17 processos, temos 7 considerados críticos para a empresa. Estes 7 processos devem ser
examinados com lupa, tanto pelo gestor de negócio quanto pelo gestor de cibernética da empresa.
Informações Estratégicas: As informações estratégicas são aquelas que impactam a empresa massivamente, caso haja
vazamento, roubo, manipulação, entre outros. Temos que manter a confidencialidade, a integridade e a disponibilidade das
informações. Para isso seguimos os passos:
Primeiro Passo: listar as informações consideradas estratégicas por questões de negócio ou requisito regulatório.
Exemplo: dados pessoais sensíveis. Em princípio, também as informações de caráter estratégico do negócio devem estar
ligadas aos processos e sistemas críticos. Pela lógica, não pode haver uma informação estratégica em um processo ou
sistema que não é crítico.
Abaixo a listagem das informações:

Figura 47: Listagem das Informações com a associação com os processos.
Segundo Passo: o segundo passo é identificar as informações que são estratégicas, utilizando um processo parecido com
o BIA, com critérios de impacto e de conteúdo.
Os critérios de impacto são iguais ao BIA. O objetivo é verificar, com base na média ponderada, qual será o impacto para a
empresa caso a informação sofra perda de confidencialidade, integridade e disponibilidade. O segundo critério é relativo ao
conteúdo: estratégico, tático e operacional. Abaixo a avaliação da criticidade das informações:

Figura 48: Criticidade das Informações.
Esta classificação deve levar em consideração o impacto em relação ao CID – confidencialidade – integridade –
disponibilidade e o seu conteúdo.

Figura 49: Matriz de Criticidade das Informações.
Com a Matriz de Criticidade, podemos visualizar as informações que são realmente estratégicas para a empresa, associadas
também aos processos críticos. Os processos que não são críticos devem ser descartados.

O processo permite ao gestor de cibernética, juntamente com o gestor de negócios, selecionar não só as informações
críticas para o negócio, mas também as críticas com relação aos requisitos legais, do tipo LGPD. Isto é importante, pois em
caso de vazamento ou roubo destas informações, a imagem e o requisito legal são os aspectos que mais irão influenciar.
Figura 50: Seleção de Informações Estratégicas e com Requisitos legais.

Terceiro Passo: o terceiro passo é classificar a informação quanto à confidencialidade. Temos quatro níveis de
confidencialidade:
1. Irrestrito
2. Público Interno

3. Média Gestão
4. Alta Gestão
Estes quatro níveis vão desde a informação irrestrita, ou seja, aberta a qualquer tipo de público, até a informação restrita à
alta gestão. Em seguida colocamos as informações que, pelo Software INTERISK, migram automaticamente para a Matriz de
Classificação de Informações.
Figura 51: Classificação das Informações Estratégicas e com Requisitos legais – Confidencialidade.

Em seguida podemos olhar a Matriz de Classificação das Informações – Confidencialidade, que cruza no eixo horizontal a
confidencialidade e no eixo vertical a criticidade para o negócio.
Figura 52: Matriz de Classificação das Informações Estratégicas – Confidencialidade.


Com a Matriz de Classificação das Informações, os gestores enxergam as informações realmente relevantes para seu
negócio.
Listagem dos Sistemas Críticos e sua Classificação
A classificação dos sistemas críticos tem a mesma lógica que a das informações. Há necessidade de associar os sistemas às
informações e aos respectivos processos, para depois proceder à classificação segundo o nível de criticidade.
Exemplo abaixo:
Figura 53: Interconectividade entre sistemas x informações x processos.


O sistema ERP Datasul possui a informação crítica 102 – informações de dados sobre o processo produtivo e está
associado aos processos críticos 78, 146, 282, 350 e 418.
Neste caso passamos a enxergar a interconectividade para podermos mensurar a criticidade do sistema.
Após esta visualização, temos condições de enxergar a criticidade do sistema para o negócio, no caso de sofrer impactos
no CID, utilizando os critérios do BIA (os mesmos critérios que foram utilizados para a seleção dos processos críticos).
Figura 54: Seleção dos Sistemas Críticos.


Figura 55: Matriz do BIA de Sistemas Críticos.
Podemos observar acima que dos 15 sistemas selecionados, 3 são críticos para a empresa. Estes 3 sistemas devem ser
transversais, ou seja, devem pertencer também aos processos críticos. É importante verificar este quesito, pois não existe
sistema crítico em um processo que não é crítico.

Maturidade das pessoas em Segurança Cibernética
Este é o último passo para que possamos enxergar as Joias da Coroa. De nada adianta proteger todas as Joias da Coroa se
não proteger quem tem a chave para elas. Sabemos por pesquisas internacionais que mais de 80% dos ataques cibernéticos
têm como vetor principal o fator humano.
É essencial que o gestor de cibernética saiba o nível de maturidade de quem vai acessar, manipular, modificar e guardar as
informações.
O nível de maturidade em segurança cibernética leva em consideração sete requisitos, que devem ser medidos através
de entrevistas com um questionário, com três níveis Baixa Maturidade, nota 1, média maturidade, nota 2 e alta maturidade,
nota 3. Abaixo a tabela de Maturidade:
REQUISITOS MÉTRICA - QUALITATIVA
1. Redes Sociais
2. Engenharia Social Baixa maturidade - 1
3. Phishing
4. Controle de Senhas Média maturidade - 2
5. Nível de Segurança em: Note book e mobile
6. Segurança Digital Alta maturidade - 3
7. Segurança de Redes
Tabela 5: Maturidade Cibernética - RH.


Calcular o Nível de Maturidade, temos que dar a nota de 1 a 3 de cada pessoa avaliada, por requisito. Como temos 7 requisitos e o
máximo da nota 3, soma -se 21 pontos no total. Com isso foi elaborada uma régua de maturidade, com base na pontuação obtida:
Figura 56: Classificação da Maturidade Cibernética.

Começamos trabalhando em uma lista de pessoas que possuem acesso a informações estratégicas:
Figura 57: Relação das Pessoas que possuem acesso a informações estratégicas.

Segundo Passo: aplicar o questionário e saber o nível de maturidade das pessoas.
Figura 58: Nível de Maturidade das Pessoas.


Sabendo o nível de Maturidade, o gestor de cibernética necessita saber a quais informações a pessoa tem acesso.
O Presidente possui uma maturidade média (figura acima) com acesso a inúmeras informações de alta e média criticidade
para o negócio, nível de divulgação alta e média gestão e as informações são críticas. Precisa melhorar sua maturidade? Sim,
precisa de reciclagem para continuar com poder de acesso.

Priscila é da qualidade, com um nível de maturidade baixa e acesso a informações críticas, confidencialidade alta, média e
alta criticidade. Pode ter acesso a estas informações?
Não pode, até passar por uma reciclagem.
Figura 59: Associação entre as pessoas e acesso as informações estratégicas e confidenciais.


Com esta última fase, o gestor de cibernética tem as informações sobre as Joias da Coroa e conhece as interconectividades
entre processos críticos, informações estratégicas e confidenciais, sistemas críticos e maturidade das pessoas que têm
acesso as Joias da Coroa.
Esta segunda fase do Framework de gestão de riscos cibernéticos é a espinha dorsal de todo o processo, pois o gestor de
cibernética passa a conhecer onde deve focar para implantar segurança e ser resiliente.
7.2.4 3 a Fase: Maturidade Cibernética
O gerenciamento de riscos é o processo contínuo de identificação, avaliação

e resposta ao risco. Para gerenciar riscos, as organizações devem entender a
probabilidade de ocorrência de determinado evento e os possíveis impactos
resultantes. Com essas informações, as organizações podem determinar o
nível aceitável de risco para atingir seus objetivos organizacionais e podem,
assim, apresentá-lo como sua tolerância a riscos.
Com uma compreensão da tolerância ao risco, as organizações podem priorizar as atividades de segurança cibernética,
tornando-se capacitadas a tomar decisões sensatas quanto aos seus custos. A implementação de programas de
gerenciamento de risco oferece às organizações a capacidade de quantificar e informar sobre ajustes em seus programas de
segurança cibernética. As organizações podem optar por lidar com os riscos de maneiras diferentes, incluindo a mitigação do
risco, a transferência do risco, a prevenção do risco ou a aceitação do risco, a depender de um eventual impacto na prestação
de serviços críticos.
O Framework de Gestão de Riscos Cibernéticos utiliza processos de gerenciamento de riscos para permitir que as
organizações informem e priorizem decisões relacionadas à segurança cibernética. Ele abrange avaliações de riscos

recorrentes e a validação dos indicadores de negócio para ajudar as organizações a selecionar os níveis desejados, de modo
que as atividades de segurança cibernética reflitam os resultados desejados.
Dessa forma, o Framework de Gestão de Riscos Cibernéticos oferece às organizações a capacidade de selecionar e direcionar
de forma dinâmica o aperfeiçoamento no gerenciamento de riscos de segurança cibernética para os ambientes de TI e ICS.
Nesta 3a Fase do Framework, faremos um levantamento da Maturidade em Segurança Cibernética. A maturidade em

segurança cibernética traduzirá o nível de conformidade da empresa com os requisitos das melhores práticas do mercado:
Família 27000, NIST 800 -30, COBIT 5.0, COSO Segurança Cibernética, entre outros.
Optamos neste caso pela utilização do NIST 800-30, denominado Guia de Aperfeiçoamento da Segurança Cibernética para
Infraestrutura Crítica, publicado originalmente em 2014 e revisado em 2017 e 2018.
Este Guia possui uma estrutura básica que fornece um conjunto de atividades para alcançar resultados específicos de
segurança cibernética e faz referência a exemplos de diretrizes para que esses resultados sejam alcançados. A Estrutura
Básica não é uma lista de verificação (checklist) de ações a serem executadas. Ela apresenta os principais resultados de
segurança cibernética identificados pelos stakeholders e considerados úteis no gerenciamento do risco de segurança
cibernética. A Estrutura Básica é composta por quatro elementos: Funções, Categorias, Subcategorias e Referências
Informativas, conforme mostra a figura abaixo:

Figura 60: Estrutura Básica do NIST 800 -30.
Fonte: NIST 800-30 revisão 2017
Os elementos da Estrutura Básica funcionam juntos da seguinte forma:
• Funções: organizam atividades básicas de segurança cibernética em seu nível mais alto. Essas funções
são: Identificar, Proteger, Detectar, Responder e Recuperar. Elas auxiliam uma organização a demonstrar
seu gerenciamento de riscos de segurança cibernética, organizando as informações, viabilizando
decisões de gerenciamento de riscos, tratando ameaças e aprimorando com base em atividades
anteriores. As Funções também se alinham com as metodologias existentes para o gerenciamento
de incidentes e ajudam a mostrar o impacto dos investimentos em segurança cibernética.

• Categorias: são as subdivisões de uma Função em grupos de resultados de segurança cibernética
intimamente ligados a necessidades programáticas e atividades específicas. Exemplos de Categorias incluem
“Gerenciamento de Ativos”, “Gerenciamento de Identidades e Controle de Acesso” e “Processos de Detecção”.
• Subcategorias: desmembram uma Categoria em resultados específicos de atividades técnicas

e/ou de gerenciamento. Elas fornecem um conjunto de resultados que, embora não sejam
exaustivos, ajudam a dar embasamento para a concretização dos resultados de cada Categoria.
Alguns exemplos de subcategorias: “Catalogação de Sistemas de Informação Externos”, “Proteção
de Dados em Repouso” e “Investigação de Notificações de Sistemas de Detecção”.
• Referências Informativas: são seções específicas sobre normas, diretrizes e práticas comuns
entre os setores de infraestrutura crítica que ilustram um método para alcançar os resultados
relacionados a cada subcategoria. As Referências Informativas apresentadas na Estrutura
Básica são ilustrativas e exemplificativas. Elas são baseadas em orientações intersetoriais
referenciadas com maior frequência durante o processo de desenvolvimento da Estrutura.
As cinco funções da Estrutura Básica são definidas abaixo. Essas funções não se destinam a formar um caminho sequencial
ou levar a um estado final engessado. Em vez disso, as funções devem ser executadas simultânea e continuamente para criar
uma cultura operacional que lide com o risco dinâmico da segurança cibernética.
São Elas:
• Identificar - Desenvolver uma compreensão organizacional para gerenciar o risco de

segurança cibernética no que tange a sistemas, pessoas, ativos, dados e recursos.
• As atividades na Função Identificar são fundamentais para o uso eficiente do Guia. Uma organização
é capaz de focar e priorizar seus esforços de forma consistente com sua estratégia de gerenciamento
de riscos e demandas empresariais, a partir da compreensão do contexto de seu nicho, dos recursos

que suportam funções críticas e dos riscos de segurança cibernética envolvidos. Os exemplos de
Categorias de resultados no âmbito desta Função incluem: Gerenciamento de Ativos; Ambiente
Empresarial; Governança; Avaliação de Risco; e Estratégia de Gerenciamento de Risco.
• Proteger - Desenvolver e implementar proteções necessárias para garantir a prestação de serviços críticos.
A Função Proteger fornece apoio à capacidade de limitar ou conter o impacto de uma possível ocorrência
de segurança cibernética. Os exemplos de Categorias de resultados no âmbito desta Função incluem:
Gerenciamento de Identidade e Controle de Acesso; Conscientização e Treinamento; Segurança de dados;
Processos e Procedimentos de Proteção da Informação; Manutenção; e Tecnologia de Proteção.
• Detectar - Desenvolver e implementar atividades necessárias para identificar a ocorrência de um

evento de segurança cibernética. A Função Detectar permite a descoberta oportuna de ocorrências
de segurança cibernética. Os exemplos de Categorias de resultados no âmbito desta Função incluem:
Anomalias e Ocorrências; Monitoramento Contínuo de Segurança; e Processos de Detecção.
• Responder - Desenvolver e implementar atividades apropriadas para agir contra um incidente de

segurança cibernética detectado. A Função Responder suporta a capacidade de conter o impacto de
um possível incidente de segurança cibernética. Exemplos de Categorias de resultados no âmbito desta
Função incluem: Planejamento de Resposta; Notificações; Análise; Mitigação; e Aperfeiçoamentos.
• Recuperar - Desenvolver e implementar atividades apropriadas para manter planos de resiliência e restaurar
quaisquer recursos ou serviços que tenham sido prejudicados devido a um incidente de segurança cibernética.
A Função Recuperar oferece apoio ao restabelecimento pontual para as operações normais, de modo a reduzir
o impacto de determinado incidente de segurança cibernética. Os exemplos de Categorias de resultados
dentro desta Função incluem: Planejamento de Restabelecimento; Aperfeiçoamentos; e Notificações.

No Framework Gestão de Riscos Cibernéticos, optamos por implantar o questionário do NIST 800-30 com suas 5 funções
e categorias, com o objetivo de identificar as não conformidades - NC. As não conformidades do questionário contêm um
campo para que o analista coloque a escala de importância, de 1 a 3. Este grau de importância irá ser utilizado em outra
ferramenta para avaliar a relevância da não conformidade.
A NC é considerada fator de risco, tanto de consequência como preventivo. As funções de responder e recuperar são todas
de consequência, porque só irão ter lugar depois que o risco tiver sido materializado.
No questionário, deve-se preencher também os controles existentes, para sua posterior avaliação na quantificação dos
riscos residuais.
O nível de maturidade em segurança cibernética fornece ao analista as áreas em que deve focar, no âmbito dos
processos críticos, informações estratégicas e sistemas críticos. O questionário permite um olhar abrangente sobre o todo

da segurança cibernética ou sobre partes dele, como as Joias da Coroa. O Nível de Maturidade é dotado de uma régua em
cinco níveis:
Ex
MATURIDADE DF ATÉ RECOMENDAÇÃO
Insuficiente 0,00 3,00 Tratar com urgência
Regular 3,01 5,00 Tratar
Bom 5,01 7,50 Melhorar
Muito bom 7,51 9,00 Aprimorar
Excelente 9,01 10,00 Manter
Figura 61: Nível de Maturidade – Régua.


O Nível de Maturidade será calculado automaticamente, a partir das respostas do questionário:
Figura 62: Questionário do Nível de Maturidade.


O questionário proporciona também espaço para o analista inserir evidências positivas e negativas, bem como os
comentários pertinentes sobre as questões e o contexto encontrado.
Figura 63: Questionário do Nível de Maturidade.


Ao final fornece a contabilidade da situação encontrada, por função, e um gráfico radar com as funções dispostas, com o
objetivo de ressaltar os pontos fortes e fracos.
Figura 64: Questionário do Nível de Maturidade com 14 funções – visando melhor detalhamento.
Pode-se elaborar o questionário da forma que o analista achar que terá maior eficácia. No caso acima, temos 14 funções
para possibilitar uma análise mais detalhada.

Figura 65: Gráfico Radar do Nível de Maturidade.

Figura 66: Nível de Maturidade Insuficiente e seu Gráfico Radar
Com o uso de indicadores automáticos, os gestores de segurança cibernética conseguem detectar os pontos com maiores
falhas e os mais relevantes da sua estrutura cibernética.

Figura 67: Indicadores das Funções e Categorias – Visão holística da situação.

Os indicadores mostram a visão da situação da segurança cibernética em termos de funções e categorias que se
encontram mais fragilizadas.
Com isto o gestor de segurança cibernética consegue priorizar onde e porque investir para melhorar seu índice de
conformidades.
Ressalva importante é que o Grau de Maturidade não significa o Grau de Risco, mas mostra o quanto a empresa ou as Joias
da Coroa estão em termos de não conformidades. O grau de risco será verificado na 4a fase.
7.2.5 - 4 a Fase: Listagem de Riscos Cibernéticos, Relevância

dos Fatores de Riscos e Avaliação dos Riscos Inerentes
e Residuais Cibernéticos – Avaliação dos Controles
Nesta quarta fase, com base na Maturidade Cibernética, com seus

pontos fortes (conformidades) e pontos fracos (não conformidades), os
gestores de riscos cibernéticos, em conjunto com os gestores de negócio,
fazem um brainstorming para levantar a quais riscos cibernéticos a
empresa e as Joias da Coroa estão expostas.
Ponto importante é a coerência em listar riscos cibernéticos que sejam aderentes aos indicadores que foram constatados.
Outro recurso que o Framework de Gestão de Riscos Cibernéticos oferece, junto com o Software INTERISK, é em relação
ao fornecimento automático dos fatores de riscos. Os fatores de riscos de consequência são oriundos das funções responder
e recuperar. Já os fatores de riscos proteger, identificar e detectar são relativos à prevenção, pois influenciam o risco futuro.
Os consequentes influenciam a massividade do impacto do risco. Por esta razão, a resiliência é a estratégia mais coerente e
sábia para gerir um ataque cibernético. Isso significa oferecer respostas eficazes e rápidas para conter o dano.

As respostas consideradas conformes são os controles, que já devem estar previstos no questionário, através da avaliação
situacional. Exemplo: ter plano de respostas a incidentes cibernéticos. Ter o PRI bem estruturado diminui a consequência do
ataque, com protocolos de contenção.
O Framework Gestão de Riscos Cibernéticos prevê que com o Software INTERISK esta listagem seja produzida de forma
automática.
Figura 68: Listagem de Fatores Consequência – FC e de Fatores de Riscos – FR .


Figura 69: Listagem dos Controles Cibernéticos.
Com base neste contexto, Fatores de Riscos x Fatores Consequência x Controles, os gestores de negócio, em conjunto com
o de cibernética, irão elencar os riscos cibernéticos.

Figura 70: Listagem de Riscos Cibernéticos.
Tendo a listagem dos riscos e os fatores de riscos/consequências, temos que fazer a associação para entender os riscos.
Entendendo os riscos, suas causas e consequências, poderemos saber onde atuar de forma rápida e focada.
Precisamos montar os diagramas de causa e efeito, para cada um dos riscos cibernéticos, com o objetivo de enxergar suas
respectivas consequências.

Figura 71: Diagrama de Causa e efeito – DCE e o Diagrama da Consequência - DC.

Figura 72: Diagrama de Causa e efeito – DCE e o Diagrama da Consequência - DC.

Os diagramas elaborados apresentam indicadores:
Figura 73: Indicadores dos DCE e DC.

Podemos observar que dos 225 fatores de riscos gerados para todos os riscos, os maiores problemas que existem nesta
empresa, em seu núcleo duro, são os meios organizacionais – políticas, processos, planos e controles lógicos. Desta forma
os gestores de negócio e de cibernética ficam sabendo onde focar. A grande vantagem em utilizar este referencial do
Framework Gestão de Riscos Cibernéticos é representada pelos indicadores que ele gera, possibilitando aos gestores o
conhecimento necessário para atuar de forma objetiva.

Matriz de Relevância
Ao elaborarmos os diagramas de causa e efeito, com os de consequências, iremos avaliar a relevância das causas,
preventivas como de consequências, tendo como critérios a Magnitude (número de vezes que aparece nos diagramas) e a
Importância (nota já dada no questionário e que vai automaticamente para a régua).
Esta ferramenta é denominada Matriz SWOT. Nela separamos os fatores em ambiente interno (controles lógicos, físicos,
recursos humanos, meios organizacionais e rede) e ambiente externo. O Software INTERISK já ranqueia automaticamente a
relevância dos fatores.
Figura 74: Ranqueamento dos Fatores de Riscos.


Podemos verificar acima que o ranqueamento feito já selecionou fatores com maior relevância.
Vale notar que os fatores consequência tiveram relevância baixa, em função de ter sido associado apenas em um único
risco. Fizemos de propósito para alertar que a associação entre riscos e fatores é de suma importância. Caso haja erro e ou
esquecimento, haverá erro por parte do analista de avaliação. Por esta razão enfatizamos que nesta fase a associação é de
maior relevância.
O resultado do ranqueamento dos Fatores é a Matriz de Relevância:
Figura 75: Matriz de Relevância dos Fatores de Riscos e Consequências.


Figura 76: Indicador dos Fatores de Riscos e Consequências.
A Matriz de Relevância acima mostra uma dicotomia, pois grande parte dos Fatores de Riscos avaliados, 71,42% estão
localizados no quadrante verde. O que significa que são fatores pouco influentes na materialização dos riscos. São pouco
motrizes. Os mais relevantes de 84 fatores, são apenas 4,76%. Muito baixo. Na visão estratégica enxergamos uma miopia.
É preciso ter muito cuidado no emprego desta ferramenta. Caso contrário os gestores de negócio e cibernético irão perder
tempo e desencadear ações sem nexo.
A Matriz de Relevância abaixo, Figura 77, é mais coerente, pois os fatores possuem maior motricidade, ou influência para
que outros riscos sejam materializados.

Figura 77: Matriz de Relevância dos Fatores de Riscos e Consequências.
Riscos Inerentes x Riscos Residuais
Todas as melhores práticas do mercado sugerem de forma enfática que a área de gestão de riscos trabalhe com um
processo estruturado, independentemente da disciplina, em que efetue de duas maneiras a avaliação do risco: a avaliação de
riscos inerentes e a avaliação de riscos residuais.

Risco Inerente
Risco inerente é o risco que uma organização terá de enfrentar na falta de medidas que a administração possa adotar para
alterar a probabilidade ou o impacto dos eventos. É o risco associado ao negócio e existe independentemente de qualquer
ação tomada para sua redução.
Avaliar o risco inerente significa avaliar a probabilidade e impacto da ocorrência de um risco, desconsiderando a estrutura
existente de sistemas de TI, no caso cibernético, tanto preventivo como contingencial. Ou seja, avaliamos os riscos sem
levar em consideração seus controles e sistemas. Temos que enxergar os riscos “pelados”, sem qualquer tipo de controle ou
sistema que possa reduzi-los.
Risco Residual
Risco residual é aquele que ainda permanece após a resposta da administração. É o risco remanescente após a
implementação dos sistemas de TI, tanto preventivos como os de contingência, ou suas atividades de controle.
A avaliação de riscos é aplicada primeiramente aos riscos inerentes, visando identificar quais são os riscos inerentes
críticos, pois são estes que o gestor deve monitorar e tratar. Após a implantação de sistemas e controles, a tendência é
reduzir a criticidade dos riscos inerentes a níveis aceitáveis, dentro do apetite de risco que a empresa impôs.
Na segunda avaliação de riscos, o processo de gestão de riscos deve prever a avaliação dos sistemas e dos controles
existentes e implantados, para determinar se a estrutura que a empresa possui é eficaz o suficiente para manter seus riscos
críticos dentro do nível requerido. Se estiver dentro do apetite ao risco, o gestor irá apenas monitorar. Já se estiver fora do
apetite ao risco, terá que implantar, desenhar e/ou implantar novos sistemas e/ou controles até que o residual do risco esteja
dentro do respectivo apetite.

No quadro abaixo temos uma representação do risco inerente e residual.
Figura 78: Risco Inerente.

Figura 79: Risco Residual.


Conceito importante é que a diferença entre o risco inerente e o risco residual, fornece o resultado da eficácia dos controles
e sistemas de TI/Cibernético que poderão prevenir, detectar e responder a ataques cibernéticos. É importante, segundo esta
premissa, o entendimento de que no risco cibernético o gestor deve trabalhar com cenários de riscos cibernéticos, ou seja,
realizar análises prospectivas sobre como poderá ser atacado, de que maneira, com quais ferramentas. O que isto significa?
Significa que o gestor terá que lidar com vários riscos cibernéticos simultaneamente, o que gera uma incerteza muito grande
na tomada de decisões. No meu ponto de vista, este é o diferencial no processo da gestão de riscos cibernéticos, em relação
a uma gestão de riscos corporativos.
A construção de Cenários Prospectivos Cibernéticos passa a ser então a grande arma de defesa, pois se a empresa
consegue se preparar para um ataque cibernético, imaginando qual será o modus operandi do atacante, sua velocidade de
resposta será muito rápida e elevará em muito as chances de sucesso.
Controles Cibernéticos - Conceito
Esta seção teve como referência a Norma ABNT NBR ISO/IEC 27032:2015 – Tecnologia da Informação – Técnica de
Segurança – Diretrizes para Segurança Cibernética, que está orientada de forma assertiva, no seu capítulo 12 – Controles de
Segurança Cibernética, que são controles a serem operacionalizados.
Ressalto também que a ABNT NBR ISSO/IEC 27002 Tecnologia da Informação – Técnicas de Segurança – Código de Prática
para a Gestão da Segurança da Informação detalha os controles da segurança da informação, que totalizam trinta e nove
categorias principais.
Uma vez que os riscos para a Segurança Cibernética são identificados e diretrizes apropriadas são elaboradas, controles
de Segurança Cibernética que suportam os requisitos de segurança podem ser selecionados e implementados. Esta seção dá
uma visão geral dos controles-chave Cibernéticos que podem ser implementados para apoiar as diretrizes estabelecidas pela
organização.

Controles de nível de aplicativo
Os controles de nível de aplicativo incluem o seguinte:
a. Apresentação de notas breves, que contenham resumos concisos de uma página (usando uma linguagem
simples) de políticas online essenciais da empresa. Com isso, os usuários são capazes de fazer escolhas mais
informadas sobre o compartilhamento de suas informações online. É recomendado que as notas breves estejam
de acordo com todos os requisitos regulamentares e forneçam links para declarações legais completas e outras
informações relevantes para que os clientes que querem mais detalhes possam facilmente clicar para ler a
versão mais longa. Com uma única nota, os clientes podem ter uma experiência mais consistente em todas as
propriedades da empresa, com os mesmos padrões de privacidade e expectativas estendidos para muitos sites.
b. Manejo seguro de sessões para aplicativos web, que pode incluir mecanismos online, como cookies.
c. Validação e manejo seguros de entradas de dados (input) para evitar ataques comuns como
Injeção SQL. Com base no fato de que websites, que são geralmente considerados como
confiáveis, são cada vez mais utilizados para distribuição de códigos maliciosos, a validação
de entrada e saída de dados tem de ser realizada por conteúdo ativo e dinâmico.
d. Escrita segura da página web para evitar ataques comuns, como Cross-site Scripting.
e. Revisão e teste da segurança de código por entidades qualificadas apropriadamente.
f. Convém que o serviço da organização seja fornecido pela própria organização ou por uma parte que
representa a organização, de forma que o consumidor possa autenticar o serviço. Isso pode incluir o
provedor que usar um subdomínio de um nome de domínio de marca da organização e possivelmente o
uso de credenciais HTTPS registrados para a organização. É recomendado que o serviço evite o uso de
métodos enganosos em que o consumidor pode ter dificuldade em determinar com quem está lidando.

Proteção do servidor
Os seguintes controles podem ser usados para proteger os servidores contra acesso e hospedagem não autorizados de
conteúdo enganoso em servidores:
a. Configurar servidores, incluindo sistemas operacionais que os sustentam de acordo com um guia de configuração
de segurança. É recomendado que este guia inclua definição adequada dos usuários versus administradores de
servidores, implementação de controles de acesso nos diretórios e arquivos de sistema e controle e habilitação
de trilhas de auditoria, em particular, para eventos de segurança e outros eventos de falha no sistema. Além
disso, recomenda-se instalar um sistema minimalista em servidor, a fim de reduzir o vetor de ataque.
b. Implementar um sistema para testar e implantar atualizações de segurança e garantir

que o sistema operacional do servidor e aplicativos sejam mantidos prontos para
atualizar-se quando novas atualizações de segurança estejam disponíveis.
c. Monitorar o desempenho de segurança do servidor por meio de revisões regulares das trilhas de auditoria.
d. Revisar a configuração de segurança.
e. Executar controles de software maliciosos (como antivírus e anti-spyware) no servidor.
f. Verificar regularmente todos os conteúdos hospedados e baixados utilizando-se de controles de softwares

maliciosos atualizados. Reconhecer que um arquivo pode, por exemplo, ainda ser um spyware ou malware,
mesmo se não for detectado pelos controles atuais, devido às restrições de informação imperfeita.
g. Realizar regularmente avaliações de vulnerabilidade e testes de segurança para os sites e

aplicativos online para garantir que a sua segurança esteja adequadamente mantida.
h. Verificar regularmente por comprometimentos.

Controles de usuário final
A seguir, encontra-se uma lista incompleta de controles que os usuários finais podem usar para proteger seus sistemas
contra explorações e ataques conhecidos:
a. Uso de sistemas operacionais suportados com os patches de segurança mais atualizados instalados.
Consumidores organizacionais têm a responsabilidade de estar cientes e seguir a política organizacional
em relação a sistemas operacionais suportados. Convém que os consumidores individuais estejam
cientes e considerem o uso de sistemas operacionais recomendados pelo provedor. Em todos os casos, é
recomendado que o sistema operacional seja mantido atualizado com vistas aos padrões de segurança.
b. A utilização dos aplicativos de software suportados mais recentes, com os padrões mais atualizados.
Consumidores organizacionais têm a responsabilidade de estar cientes e seguir a política organizacional
em vista de software de aplicativo suportado. Convém que os consumidores individuais estejam
cientes e usem o software de aplicativo recomendado pelo provedor. Em todos os casos, recomenda-
se que o software de aplicativo seja mantido atualizado em relação aos padrões de segurança.
c. Usar ferramentas antivírus e anti-spyware. Se possível, convém que um provedor de serviço, como um
ISP, considere a parceria com os fornecedores de segurança confiáveis para oferecer essas ferramentas
aos usuários finais, como parte do pacote de assinatura ou sob renovação. Consumidores organizacionais
têm a responsabilidade de estar cientes da política organizacional em relação ao uso de ferramentas
de software de segurança. Convém que os consumidores individuais usem ferramentas de software
de segurança. É recomendado que eles visem o provedor para qualquer software de segurança
recomendado, proporcionado ou descontinuado. Em todos os casos, recomenda-se que o software de
segurança seja mantido atualizado com os padrões de segurança e bancos de dados de assinatura.

d. Implementar salvaguardas apropriadas de antivírus e anti-spyware. Navegadores e barras de ferramentas
mais comuns já incorporaram recursos como bloqueadores de pop-up, que previnem contra sites
mal-intencionados exibindo janelas que contêm spyware ou software enganoso que poderiam explorar
as fraquezas do sistema ou navegador ou usar engenharia social para persuadir os usuários a baixar
e instalá-los em seus sistemas. É recomendado que as organizações estabeleçam uma política para
possibilitar o uso destas ferramentas. Convém que organizações provedoras de serviços agreguem
uma lista de ferramentas recomendadas e que o uso destas seja incentivado para os usuários finais,
com orientações sobre a sua habilitação e concessão de permissão para sites confiáveis.
e. Habilitar bloqueador de script. Ativar bloqueadores de script ou configuração de mais alto nível de segurança
web para garantir que apenas os scripts de fontes confiáveis sejam executados em um computador local.
f. Usar filtros de phishing. Navegadores web e barras de ferramentas mais comuns muitas vezes
incorporam essa capacidade, o que pode determinar se um site que um usuário está visitando é
encontrado dentro de um banco de dados de sites conhecidos de pishing, ou contém padrões de escrita
que são semelhantes aos típicos sites de phishing. O navegador forneceria alertas, normalmente sob
a forma de destaques codificados por cores, para avisar os usuários sobre o risco potencial. Convém
que as organizações estabeleçam uma política para possibilitar o uso desta ferramenta.
g. Utilizar outras características de segurança disponíveis do navegador web. De tempos em tempos, com
o surgimento de novos riscos para a Segurança Cibernética, provedores de navegadores web e barras de
ferramentas adicionam novos recursos de segurança para proteger os usuários contra os riscos. Recomenda-
se que os usuários finais se mantenham a par destes desenvolvimentos, aprendendo sobre as atualizações que
normalmente são fornecidas pelos provedores de ferramentas. Convém que organizações e provedores de
serviços revejam igualmente estes novos recursos e atualizem os respectivos serviços e políticas para atender
melhor às necessidades de suas organizações e clientes e enfrentar os riscos relacionados à Segurança Cibernética.

h. Habilitar firewall e HIDS pessoal. Firewall pessoal e HIDS são importantes ferramentas para controlar
serviços de rede para acessar os sistemas do usuário. Uma série de sistemas operacionais mais recentes
têm incorporado firewall e HIDS pessoal. Enquanto eles são ativados por padrão, os usuários ou aplicativos
podem desativá-los, resultando em exposições indesejáveis de segurança de rede. Convém que as
organizações adotem uma política sobre o uso de firewall e HIDS pessoal e avaliem as ferramentas ou
produtos adequados para a implementação de modo que seu uso seja ativado por padrão para todos os
funcionários. É recomendado que os provedores de serviços incentivem o uso de funções de firewall e HIDS
pessoal e/ou que sugiram o uso de outros produtos de firewall e HIDS pessoal testados e considerados
confiáveis, educando e ajudando os usuários a estabelecer a segurança básica de rede no seu nível.
i. Ativar atualizações automáticas. Enquanto os controles de segurança técnica acima são capazes de
lidar com a maioria dos softwares enganosos em seus respectivos níveis de funcionamento, eles não
são muito eficazes contra a exploração de vulnerabilidades que existem em sistemas operacionais e
produtos de aplicativos. Para prevenir tais explorações, convém que a função de atualização disponível
em sistemas operacionais, bem como aquelas prestadas por aplicativos confiáveis aos usuários (por
exemplo, produtos antivírus e anti-spyware considerados confiáveis por terceiros) sejam habilitadas
para atualizações automáticas. Isso garantiria que os sistemas fossem atualizados com os últimos
padrões de segurança disponíveis, reduzindo a janela de oportunidade para explorações.
Controles contra a engenharia social
Os criminosos cibernéticos estão cada vez mais recorrendo a táticas de engenharia social. Ou seja, focam no elo mais fraco.
EXEMPLO 1: O uso de e-mails que transportam URL direcionando os usuários desavisados a sites de phishing.
EXEMPLO 2: E-mails fraudulentos solicitando aos usuários que forneçam informações de identificação pessoal ou
informações relativas à propriedade intelectual corporativa.

A proliferação das redes sociais e sites de comunidades fornece novos veículos que possibilitam posteriormente mais
golpes e fraudes. Cada vez mais, esses ataques também estão transcendendo a tecnologia, além dos sistemas de PC e
conectividade de rede tradicional, aproveitando telefones celulares, redes sem fio (incluindo Bluetooth), e voz sobre IP (VoIP).
Esta seção fornece uma estrutura de controles aplicável para gerir e minimizar o risco de Segurança Cibernética em relação
a ataques de engenharia social. A orientação fornecida nesta Seção é baseada na noção de que a única forma eficaz para
reduzir a ameaça da engenharia social é por meio da combinação de:
• Tecnologias de segurança;
• Políticas de segurança que estabeleçam regras básicas para o comportamento

pessoal, tanto como individuo quanto como empregado, e
• Educação e treinamento adequados.
O quadro abrange, portanto:
• Políticas;
• Métodos e processos;
• Pessoas e organizações, e
• Controles técnicos aplicáveis.
Políticas
Alinhadas com práticas comuns de gestão de riscos de segurança da informação, convém que políticas básicas
conduzindo a criação, coleta, armazenamento, transmissão, compartilhamento, processamento e uso geral de informações
organizacional e pessoal e propriedade intelectual na Internet e no Espaço Cibernético sejam determinadas e documentadas.
Em particular, isto se relaciona com aplicativos como mensagens instantâneas, blogues, compartilhamento de arquivos P2P
e redes sociais que são, normalmente, fora do âmbito da rede corporativa e da segurança da informação.

Como parte das políticas corporativas, convém que as declarações e as sanções relativas ao uso indevido de aplicativos do
Espaço Cibernético também sejam incorporadas para dissuadir as práticas de abuso indevido por funcionários e terceiros na
rede corporativa ou sistemas que acessam o Espaço Cibernético.
É recomendado que sejam desenvolvidas e promulgadas políticas administrativas que promovam a conscientização e
compreensão dos riscos de Segurança Cibernética e incentivando, senão obrigando, a aprendizagem e o desenvolvimento de
habilidades contra ataques de Segurança Cibernética, em particular, os ataques de engenharia social. Convém que isto inclua
requisitos de comparecimento assíduo a tais reuniões e treinamentos.
Por meio da divulgação de políticas e conscientizações adequadas sobre os riscos da Segurança Cibernética, não é
mais possível que os funcionários aleguem desconhecimento destes riscos e exigências e, ao mesmo tempo, desenvolve
uma compreensão das melhores práticas e políticas esperadas de redes sociais externas e outros aplicativos do Espaço
Cibernético como, por exemplo, o acordo de política de segurança do provedor de serviços.
Métodos e processos
Categorização e classificação de informações
Para apoiar as políticas que visam à conscientização e proteção de informações sensíveis pessoais e aquelas classificadas
como corporativas, incluindo propriedades intelectuais, é recomendado que processos de categorização e classificação de
informações sejam implementados.
Para cada categoria das informações envolvidas, convém que controles de segurança específicos para proteção contra
exposição acidental e acesso não autorizado intencional sejam desenvolvidos e documentados.
Usuários em organizações poderiam, então, diferenciar entre as diferentes categorias e classificação de informações que
eles geram, coletam e manipulam. Usuários podem então ter a cautela necessária e controles protetores ao utilizarem o
Espaço Cibernético.

Convém que também sejam desenvolvidos e promulgados procedimentos sobre como lidar com as propriedades
intelectuais da empresa, dados pessoais e outras informações confidenciais.
Conscientização e treinamento
Conscientização e treinamento de segurança, incluindo a atualização regular de conhecimento e aprendizado relevantes,

são um elemento importante para combater ataques da engenharia social no Espaço Cibernético.
Como parte do programa de Segurança Cibernética de uma organização, é recomendado que os funcionários e contratados
terceirizados sejam submetidos a um número mínimo de horas de treinamento e conscientização a fim de garantir que
eles, como indivíduos que utilizam o Espaço Cibernético, estejam conscientes de seus papéis e responsabilidades no Espaço
Cibernético e dos controles técnicos que se recomenda sejam implementados. Além disso, como parte do programa para
combater ataques de engenharia social no Espaço Cibernético, convém que estes treinamentos de conscientização incluam
conteúdos como os seguintes:
a. As ameaças mais recentes e as formas de ataques de engenharia social, por exemplo, como phishing evoluiu
de sites falsos isolados para uma combinação de Spam, Cross Site Scripting e ataques de Injeção de SQL.
b. Como informações individuais e corporativas podem ser roubadas e manipuladas através de

ataques de engenharia social: proporcionar a compreensão de como os atacantes podem tirar
proveito de características da natureza humana, tais como a tendência a obedecer a pedidos
feitos com uma postura de autoridade (embora possam ser irreais), comportamento amigável em
relação a quem se passa por vítima e reciprocidade, primeiro dando algo de valor ou ajuda.
c. Informações que precisam ser protegidas e como protegê-las, de acordo com a política de segurança da informação.
d. Quando relatar ou denunciar um evento suspeito ou aplicativo enganoso para alertar as

autoridades ou agências de resposta e informações sobre contatos disponíveis.

Convém que organizações que fornecem serviços e aplicativos no Espaço Cibernético online forneçam materiais de
conscientização para os assinantes ou consumidores, cobrindo o conteúdo acima no contexto de seus aplicativos ou
serviços.
Teste
É recomendado que os funcionários assinem um reconhecimento de que aceitam e compreendem o conteúdo da política
de segurança da organização.
Como parte do processo para melhorar a conscientização e assegurar a devida atenção a esse risco, convém que
a organização considere proceder à realização de testes periódicos para determinar o nível de conscientização e de
cumprimento de políticas e práticas relacionadas. Estes testes podem incluir, mas não estão limitados à criação de sites
de phishing, spam e e-mails fraudulentos funcionais, porém controlados usando conteúdo de engenharia social crível. Ao
realizar estes testes, é importante assegurar que:
a. Os servidores de teste e os conteúdos estejam todos dentro do controle e comando da equipe de testes;
b. Profissionais que tenham experiência prévia de funcionamento de

tal teste estejam engajados, sempre que possível;
c. Os usuários estejam preparados para tais testes, por meio dos programas de conscientização e treinamento; e
d. Todos os resultados dos testes sejam apresentados de forma agregada, a fim de proteger a
privacidade do indivíduo, pois, por exemplo, o conteúdo apresentado em tais testes pode
constranger pessoas e causar problemas de privacidade se não for gerido de forma adequada.
Pessoas e organização
Enquanto os indivíduos são os principais alvos dos ataques de engenharia social, uma organização também pode ser a
vítima. As pessoas, no entanto, permanecem o ponto de entrada principal para ataques de engenharia social no Espaço

Cibernético. Como tais, as pessoas precisam estar cientes dos riscos relacionados ao Espaço Cibernético e convém que
as organizações estabeleçam políticas relevantes e tomem medidas proativas para patrocinar programas que tendem a
assegurar a conscientização e competência das pessoas.
Como um guia geral, é recomendado que todas as organizações (incluindo empresas, provedores de serviços e governo)
incentivem os consumidores no Espaço Cibernético a aprender e compreender os riscos da engenharia social no Espaço
Cibernético e os passos recomendados para proteger-se contra potenciais ataques.
Controles para Operações na Nuvem
O primeiro passo para a empresa ter operação na nuvem é dispor ou exigir de seu prestador de serviço uma Política de
Segurança Cibernética.
Política de Segurança Cibernética
A política de segurança cibernética deve contemplar, no mínimo:
1. Os objetivos de segurança cibernética da empresa;
2. Os procedimentos e os controles adotados para reduzir a vulnerabilidade da empresa

a incidentes e atender aos demais objetivos de segurança cibernética;
3. Os controles específicos, incluindo os voltados para a rastreabilidade da informação

e que busquem garantir a segurança das informações sensíveis;
4. O registro, a análise da causa e do impacto, bem como o controle dos efeitos

de incidentes relevantes para as atividades da organização;
5. As diretrizes para: a) a elaboração de cenários de incidentes considerados nos testes de continuidade

de negócios; b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento
dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem

dados ou informações sensíveis ou que sejam relevantes para a condução das atividades
operacionais da instituição; c) a classificação dos dados e das informações quanto à relevância; e
d) a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes;
6. Os mecanismos para disseminação da cultura de segurança cibernética na instituição, incluindo: a) a

implementação de programas de capacitação e de avaliação periódica de pessoal; b) a prestação de informações
a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros; e c) o comprometimento
da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética;
7. As iniciativas para compartilhamento de informações sobre os incidentes relevantes;
8. Na definição dos objetivos de segurança cibernética deve ser contemplada a capacidade da organização
para prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético;
9. Os procedimentos e os controles devem abranger, no mínimo, a autenticação, a criptografia, a

prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica
de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos,
o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da
rede de computadores e a manutenção de cópias de segurança dos dados e das informações;
10. Os procedimentos e os controles devem ser aplicados, inclusive, no desenvolvimento de sistemas de

informação seguros e na adoção de novas tecnologias empregadas nas atividades da empresa;
11. O registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes, devem
abranger inclusive informações recebidas de empresas prestadoras de serviços a terceiros;
12. As diretrizes descritas neste tópico devem contemplar procedimentos e controles em níveis de
complexidade, abrangência e precisão compatíveis com os utilizados pela própria empresa.

Divulgação da Política de Segurança Cibernética
A política de segurança cibernética deve ser divulgada aos funcionários da organização e às empresas prestadoras
de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções
desempenhadas e com a sensibilidade das informações.
As empresas devem divulgar, a critério do Conselho de Administração, aos clientes um resumo contendo as linhas gerais
da política de segurança cibernética.
Plano de Ação e Resposta a Incidentes
As organizações devem estabelecer plano de ação e de resposta a incidentes visando à implementação da política de
segurança cibernética.
O plano de ação deve abranger, no mínimo:
1. As ações a serem desenvolvidas pela organização para adequar suas estruturas organizacional
e operacional aos princípios e às diretrizes da política de segurança cibernética;
2. As rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na

resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética;
3. A área responsável pelo registro e controle dos efeitos de incidentes relevantes.
As organizações devem designar o diretor de riscos corporativos, juntamente com o gerente de riscos da área da
tecnologia da informação para serem responsáveis pela política de segurança cibernética e pela execução do plano de ação e
de resposta a incidentes.
A Terceira Linha de Defesa – Auditoria Interna deverá auditar o Plano de Ação e Resposta a Incidentes, através de um
relatório anual sobre sua implementação. O relatório de que trata o caput deve abordar, no mínimo:
1. A efetividade da implementação das ações propostas com seus respectivos controles;

2. O resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles
e das tecnologias a serem utilizados na prevenção e na resposta a incidentes e a descrição dos
incidentes relevantes materializados no ambiente cibernético, com causa e efeito;
3. Os resultados dos testes de continuidade de negócios, considerando

cenários de indisponibilidade ocasionada por incidentes;
4. O relatório de auditoria sobre as condições do plano de ação e respostas a incidentes deve ser
apresentado ao conselho de administração ou, na sua inexistência, à diretoria da organização;
5. A política de segurança cibernética, o plano de ação e de resposta a incidentes devem ser aprovados
pelo conselho de administração ou, na sua inexistência, pela diretoria da organização;
6. A política de segurança cibernética e o plano de ação e de resposta a incidentes

devem ser documentados e revisados, no mínimo, anualmente.
Contratação de Serviços de Processamento e Armazenamento de Dados e de Computação em Nuvem
As organizações devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na
regulamentação em vigor ou nas melhores práticas de mercado, especificamente no tocante aos critérios de decisão quanto
à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados
e de computação em nuvem, no Brasil ou no exterior.
As organizações, previamente à contratação de serviços relevantes de processamento e armazenamento de dados e de

computação em nuvem, devem adotar procedimentos que contemplem:
1. A adoção de práticas de governança corporativa e de gestão proporcionais à relevância

do serviço a ser contratado e aos riscos a que estejam expostas;
2. A verificação da capacidade do potencial prestador de serviço de assegurar:

a) O cumprimento da legislação e da regulamentação em vigor;
b) O acesso da organização aos dados e às informações a serem

processados ou armazenados pelo prestador de serviço;
c) A confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e

das informações processados ou armazenados pelo prestador de serviço;
d) A sua aderência a certificações exigidas pela organização para a prestação do serviço a ser contratado;
e) O acesso da organização contratante aos relatórios elaborados por empresa de auditoria

especializada independente contratada pelo prestador de serviço, relativos aos procedimentos
e aos controles utilizados na prestação dos serviços a serem contratados;
f) O provimento de informações e de recursos de gestão adequados

ao monitoramento dos serviços a serem prestados;
g) A identificação e a segregação dos dados dos clientes da organização por meio de controles físicos ou lógicos;
h) A qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes da instituição.
Na avaliação da relevância do serviço a ser contratado, a organização contratante deve considerar a criticidade do serviço e
a sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado, levando em
conta, inclusive, a classificação realizada.
Segurança da Informação e Cibernética
O Processo Organizacional da Segurança da Informação, baseado nas Normas da Família 27000 e outras complementares,
facilita o atendimento aos requisitos para a Segurança Cibernética e Prestação de Serviços em Nuvem.
O Processo Organizacional de Segurança da Informação é a base para que a organização tenha condições de cumprir os
controles cibernéticos com eficácia.

A Arquitetura da Segurança da Informação contempla a Segurança Cibernética e por esta razão a grande maioria das
organizações estarão obrigadas a seguir controles mais rígidos no que tange a segurança da informação, segurança
cibernética e segurança na nuvem. Esta tríade atingirá um maior número de organizações.
Avaliação e Análise de Riscos Inerentes
Probabilidade x impacto
Determinação do Nível de Probabilidade
A probabilidade do risco é calculada através de dois critérios, sendo que cada um deles possuirá um peso diferenciado,
tendo em vista seu grau de importância.
Os critérios de probabilidade são:
Figura 80: Critérios de Probabilidade.


Segurança/Controle: é avaliada a questão dos fatores de riscos e controles identificados na análise situacional. Quanto
maior a nota, pior é a condição de segurança e dos controles.
SEGURANÇA / CONTROLE
CRITÉRIO Pontuação
Muito ruim 05
Ruim 04
Média 03
Boa 02
Muito Boa 01
Tabela 6: Critérios da Segurança/Controles.


Frequência / Exposição: é a frequência com que o risco costuma manifestar-se na empresa ou em empresas similares,
podendo-se levar em consideração históricos internos ou externos (empresas similares).
FREQUÊNCIA / EXPOSIÇÃO
CRITÉRIO Pontuação
Diário 05
Quinzenal 04
Mensal 03
Anual 02
Eventual 01
Tabela 7: Critérios da Frequência/Exposição.

O Nível de Probabilidade (Pb) é o resultado da média ponderada dos dois critérios de probabilidade, conforme
demonstrado abaixo:

O nível de probabilidade possui a seguinte classificação:
GRAU DE PROBABILIDADE ESCALA NÍVEL DE PROBABILIDADE
4,51 – 5,00 5 Elevada
3,51 – 4,50 4 Muito Alta
2,51 – 3,50 3 Alta
1,51 – 2,50 2 Média
1,00 – 1,50 1 Baixa
Tabela 8: Régua da Probabilidade.


Determinação do Nível de Impacto
Para mensurar o impacto, não devemos levar em consideração somente a questão financeira. Com o objetivo de o gestor
obter uma visão holística do impacto, existe a necessidade de projetar todas as consequências dos eventos. Utilizaremos
o mesmo critério adotado para identificar o processo crítico. Cada fator de impacto terá um peso diferenciado, tendo em
vista seu grau de importância. Cada critério de impacto possui um peso e uma nota de valoração, tendo em vista o nível de
consequência. O objetivo é a obtenção de uma Média Ponderada, equalizando desta forma o Nível de Impacto. Os critérios
de impacto são:
Figura 81: Critérios do Impacto.


Cada fator de impacto possui a seguinte tabela:
IMAGEM Pontuação
Repercussão prolongada ou não na mídia internacional: possível boicote aos

serviços, manifestações de massa. Preocupação pública/da mídia/política
nacional e internacional. Restrição ou revogação de uma ou múltiplas licenças de
funcionamento. Também tende a mobilizar grupos de ação. Atenção para reações 05
de sindicatos de trabalhadores e de rede sociais e possíveis greves de funcionários.
Impacto sobre o preço das ações/avaliação de crédito. Viabilidade financeira
ameaçada. Repercussão internacional no ambiente organizacional.
Repercussão nacional: preocupação pública/ da mídia/ política nacional.

Repercussões junto a autoridades governamentais e representantes de nível
nacional e/ou regional; possibilidade de medidas restritivas à organização. Restrição
04
ou revogação de uma ou múltiplas licenças de funcionamento. Também tende
a mobilizar grupos de ação. Atenção para possíveis reações de sindicatos de
trabalhadores e de redes sociais. Repercussão nacional no ambiente organizacional.
Repercussão regional: preocupação pública/da mídia/política dentro do estado.

Pode haver envolvimento adverso de grupos de ação e/ou do governo local.
03
Atenção para possíveis reações de sindicatos de trabalhadores e de redes sociais.
Repercussão local no ambiente organizacional.
Repercussão local: envolve algum interesse público local do munícipio e/ou alguma
atenção política local e/ou mídia local, com possíveis aspectos adversos para as 02
operações. Repercussão limitada no ambiente organizacional.
Sem repercussão: situações nas quais há o conhecimento do público, mas não existe
interesse público. A ocorrência não ultrapassa os limites internos da organização e/ 01
ou de suas unidades.

FINANCEIRO Pontuação
Catastrófica: acima de r$ 300.000,00 05
Crítica: de r$ 150.000,00 A r$ 300.000,00 04
Grave: de r$ 100.000,00 A r$ 150.000,00 03
Moderada: de r$ 50.000,00 A r$ 100.000,00 02
Leve: até r$ 50.000,00 01
LEGAL Pontuação
Catastrófica: questões legais em que há possibilidade de abertura de fiscalização/

investigação/processo na empresa, havendo descumprimento nos procedimentos
ou legislação e ainda em que não há argumentos e provas para inibir a aplicação
de multas ou pagamentos de indenizações, havendo também possibilidade da 05
suspensão das atividades da empresa, com prisão de empregados. Uma ou múltiplas
ações judiciais e multas de valor alto. Ação judicial muito séria incluindo ações
populares. Encerramento legal das operações.
Crítica: questões legais em que há possibilidade de abertura de fiscalização/

investigação/processo na empresa, havendo descumprimento dos procedimentos
04
ou legislação e ainda em que não há argumentos e provas para inibir a aplicação de
multas ou pagamentos de indenizações.

LEGAL Pontuação
Graves: questões legais em que há possibilidade de abertura de fiscalização/

investigação/processo na empresa, havendo pequenas falhas nos procedimentos
03
ou legislação e ainda em que há argumentos e provas para inibir parcialmente a
aplicação de multas ou pagamentos de indenizações.
Moderada: questões legais em que há possibilidade de abertura de fiscalização/

investigação/processo na empresa, porém há argumentos e provas contundentes 02
para inibir a aplicação de multas ou pagamento de indenizações.
Leve: questões legais sem qualquer impacto. 01
OPERACIONAL Pontuação
Massivo: impacta outros processos muito fortemente. 05
Severo: impacta outros processos de forma direta. 04
Moderado: impacta levemente outros processos. 03
Leve: impacta somente o próprio processo. 02
Insignificante: não impacta nada. 01
Tabela 9: Critérios do Impacto.


O nível de impacto é o resultado da soma dos resultados de cada fator de impacto (multiplicação do peso versus a nota),
dividido pela soma dos pesos, conforme demonstrado abaixo:
O nível do impacto possui a seguinte classificação:
GRAU DE IMPACTO ESCALA NÍVEL DE IMPACTO
4,51 – 5,00 5 Massivo
3,51 – 4,50 4 Severo
2,51 – 3,50 3 Moderado
1,51 – 2,50 2 Leve
1,00 – 1,50 1 Muito leve
Tabela 10: Régua do Impacto.


Abaixo um exemplo da análise de riscos inerente
Figura 82: Análise de Riscos Inerentes.

Fonte: Software INTERISK Brasiliano, 2022

Figura 83: Matriz de Riscos Inerentes.

Figura 84: Legenda da Matriz de Riscos Inerentes.
Nível de Riscos da Matriz de Riscos Inerentes
Após a finalização da etapa para determinar a criticidade de cada risco, deve ser elaborado o Nível do Risco da Área ou
Departamento. O Nível do Risco é um índice que deve ser calculado sempre que houver a avaliação de riscos, geralmente
semestralmente, possibilitando mensurar o grau de riscos dos processos ou áreas analisadas, visando facilitar o
monitoramento e acompanhamento da evolução dos riscos. Para calcular o Nível de Risco, é necessário utilizar as variáveis já
identificadas na etapa anterior de Avaliação de Riscos – Grau de Probabilidade (GP) e Impacto (I), conforme metodologia de
cálculo abaixo:
Nível de Risco = Média do GP x Média do I

Para identificarmos o Nível de Risco (Média GP x Média I) é necessário utilizar a tabela de conversão abaixo:
NÍVEL DE RISCO ESCALA QUADRANTE TRATAMENTO
Áreas ou departamentos que estão na zona

Quadrante IV
1a5 1 de conforto, devendo ser gerenciadas e
(Verde)
administradas.
Áreas ou departamentos com algum grau

de riscos, mas que causam consequências
Quadrante III
5,1 a 10 2 gerenciáveis à organização. Essas áreas ou
(Amarelo)
departamentos devem ser monitoradas de
forma rotineira ou sistemática.
Áreas ou departamentos que devem receber

tratamento em médio e curto prazo. Possuem
Quadrante II cruzamento do grau de risco com médio
10,1 a 15 3
(Laranja) e alto nível de riscos e elevados impactos.
São áreas ou departamentos que devem ser
constantemente monitorados.
Áreas ou departamentos que têm alto grau

de risco e poderão resultar em impacto
Quadrante I
15,1 a 25 4 extremamente severo. Exigem implementação
(Vermelho)
imediata das estratégias de proteção e
prevenção, ou seja, ação imediata.
Tabela 10: Régua do Nível de Riscos.


É importante ressaltar que, quanto maior o nível do risco, maior sua criticidade para o processo.
Figura 85: Régua Nível de Riscos.

O Nível de Risco é utilizado para determinar seu apetite ao risco. Dessa forma, níveis de riscos de processos ou áreas do
nível 3 para cima (laranja e vermelho), são considerados intoleráveis. Riscos cujos níveis alcancem esses dois quadrantes
devem receber tratamento imediato por parte dos gestores.
Figura 86: Nível de Riscos da Matriz de Riscos Inerentes.


Avaliação e Análise do Risco Residual
Entende-se por risco residual a análise e avaliação dos riscos considerando os controles já existentes. Esse conceito
permite que os controles sejam avaliados e que sua efetividade seja comprovada posteriormente durante os testes de
auditoria.
Avaliação dos Controles – Walkthrough
Com o objetivo de confirmar a eficácia dos controles de cibernética identificados é necessário realizar o walkthrough.
No final dessa etapa, a informação disponível permitirá ao gestor responsável o conhecimento da eficácia, ineficácia ou
inexistência dos controles para que seja construída uma análise de riscos residuais.
Para auxiliar na elaboração do Walkthrough deve-se utilizar as seguintes questões para análise:
• Tipo? Escrever o tipo de controle, ou seja, manual ou automático (sistema).
• Controle? Descrever o nome do controle.
Controle é uma ação tomada para certificar-se de que algo se cumpra. Os controles também
são meios usados para verificar que certa ação é eficiente ao seu propósito.
• Descrição do controle? Conceituar / descrever o controle.
• Objetivo do controle? Escrever o objetivo do controle.
Os controles e os meios devem ser dirigidos para um objetivo a ser atingido. Decidir
qual o objetivo é o primeiro passo em qualquer processo de controle.
• A qual risco o controle está associado?
• Periodicidade? Escrever a periodicidade do uso do controle, ou seja, diário, quinzenal, mensal etc.

• Categoria? Escrever a categoria do controle, ou seja, se é preventivo, detectivo ou corretivo.
- Preventivo - Desenhado para prevenir resultados indesejados.

Reduzem a possibilidade de sua ocorrência e detecção.
- Detectivo - Desenhado para detectar fatos indesejáveis. Detectam a manifestação/ocorrência de um fato.
- Corretivo - Desenhado para corrigir os efeitos de um fato indesejável.

Corrigem as causas do risco que seja detectado.
• Resultado do Walkthrough? Escrever o resultado dos procedimentos efetuados no

walkthrough, o qual tem por objetivo avaliar os controles aplicados.
• Parecer? Escrever o parecer do controle analisado, ou seja, eficaz ou ineficaz.
• Conclusão do walkthrough? Tendo em vista a avaliação dos controles,

escrever a conclusão geral sobre o Walkthrough.

Figura 87: Exemplos de Avaliação de Controles.

Figura 88: Indicadores de Controles.

Análise e Avaliação de Riscos Residuais
Figura 89: Análise dos Riscos Residuais.

Fonte: Software INTERISK Brasiliano,2022

Figura 90: Matriz de Riscos Residuais.

Figura 91: Nível de Riscos Residuais.
O nível de riscos está acima do que a empresa admite, pois a empresa não admite Nível de Risco nos quadrantes Laranja ou
Vermelho. A empresa conta com 3 riscos no quadrante vermelho, acima de seu apetite.

Figura 92: Níveis de Riscos Inerentes e Residuais
O nível de risco inerente com caiu de 13,26 para 10,61. Esta pequena queda significa que os controles não foram eficazes o
suficiente para baixar os riscos. Há necessidade de esta empresa tratar os três riscos plotados no quadrante vermelho com
urgência, mediante a implantação de controles nos riscos acima do apetite e nos Fatores de relevância.

7.2.6 - 5 a Fase: Elaboração e Avaliação
de Cenários de Ataques Cibernéticos
Nesta quinta fase teremos que integrar os riscos

cibernéticos e elaborar cenários de ataques.
Os cenários de ataques são elaborados com base

na Inteligência de Ameaça, tendo o conhecimento do
modus operandi, ou seja, de como um ataque direcionado a seu segmento de empresa pode acontecer.
Os cenários de ataque são na verdade a integração dos vários riscos cibernéticos, atuando de forma integrada. Tenho que
descrever a massividade do ataque, ou seja tenho que descrever a forma como o ataque será materializado e o impacto que
causa na empresa.
Utilizando os riscos residuais avaliados foram elaborados os seguintes cenários de ataque:
Figura 93: Descrição de Cenários de Ataques Cibernéticos.


Os cenários de ataques cibernéticos traduzem para os executivos, de forma clara e objetiva, como a empresa será
impactada. A base é a integração dos riscos. Vejam que é muito diferente de descrever um risco isolado, que na verdade não
traduz a magnitude de um ataque. Desta forma, de acordo com nossa opinião, os executivos e os membros do Conselho de
Administração ficarão mais sensíveis ao tema segurança cibernética.
Para cada cenário, há a necessidade de entender os riscos que o compõem:

Figura 94: Composição dos Cenários de Ataques Cibernéticos pelos Riscos Cibernéticos.
A avaliação de riscos de cenários é calculada automaticamente pelo Software INTERISK, através da média aritmética das
notas de probabilidade e impacto dos riscos residuais que compõem os cenários de ataques.

Figura 95 Análise dos Cenários de Ataques Cibernéticos.
O resultado é a Matriz de Criticidade dos Cenários de Ataques Cibernéticos:
Figura 96: Matriz Análise dos Cenários de Ataques Cibernéticos.


O Nível de Risco dos Cenários de Ataques Cibernéticos tem que ser calculado para que a empresa conheça sua criticidade e
exposição em relação a ataques cibernéticos.
Figura 97: Nível de Riscos dos Cenários de Ataques Cibernéticos.

Neste caso a empresa possui um nível de risco acima do apetite ao risco estipulado. Portanto, em termos de riscos e
cenários, esta empresa se encontra com exposição alta, pois tem três cenários no quadrante vermelho e um no laranja. Os
cenários que estão no quadrante vermelho são de massividade severa.

7.2.6 - 6 a Fase: Elaboração dos Planos de Ação:
Critérios de Apetite ao Risco x Criticidade dos
Cenários de Ataques Cibernéticos x Criticidade
dos Riscos x Relevância dos Fatores de Riscos
O foco do plano de ação para cenários de ataques

cibernéticos deve seguir a seguinte lógica:
• Priorizar os Cenários de Ataques Cibernéticos que estão no quadrante vermelho e acima do apetite ao risco;
• Priorizar os riscos acima do apetite ao risco e plotados no quadrante

vermelho, dentro de cada cenário de ataque cibernético;
• Priorizar os Fatores de Riscos relevantes dos riscos críticos e dos cenários de ataques cibernéticos também críticos.
Esta dissecação dos cenários de riscos serve para ir direto às causas raízes e investir focado na prevenção e na resiliência
cibernética.

Segue-se a lógica:
Temos 3 Cenários de Ataques Cibernéticos no quadrante vermelho:
Figura 98: Cenários de Ataques Cibernéticos.

Em seguida tenho que priorizar os fatores de riscos mais relevantes:
Figura 99: Riscos Críticos.


Figura 100: Fatores Riscos Relevantes - Plano de Ação.

Precisamos saber se estes fatores de Riscos compõem os riscos no vermelho:
Figura 101: Fatores de Riscos Relevantes x Riscos Relevantes fora do apetite.


Podemos observar que os 4 fatores de riscos relevantes pertencem aos riscos também relevantes. O foco do plano de ação
deve ser então os quatro fatores de riscos.
Figura 102: Fatores Riscos Relevantes.

Implantar controles lógicos de acesso, implantar gerenciamento de permissões automatizada, gerenciamento remoto e
monitoramento de rede.
7.2.7 -7 a Fase: Monitoramento e Análise

Crítica: indicadores Chaves de Riscos
O monitoramento e a análise crítica devem ser planejados como parte do

processo da avaliação de riscos e devem envolver a checagem ou vigilância de
maneira regular. Podem ser periódicos ou acontecer em resposta a um fato
específico.
Devem ser monitorados:
• Plano de Ação;

• Grau de Risco – Matriz de Risco;
• Nível de Risco.
De forma clara e objetiva, o monitoramento envolve dois processos:
O primeiro é a verificação se o Plano de Ação proposto está sendo executado. Para isso devemos utilizar um farol, com
os indicadores, conforme a figura abaixo. Também devem ser acompanhados os resultados das ações e medidas propostas.
Devem ser acompanhados para saber se seus objetivos foram atingidos e, se não foram, quais as dificuldades encontradas e
as ações corretivas.
Figura 103: Quadro de acompanhamento dos Planos de Ações.


O segundo processo de monitoração diz respeito à evolução das condições dos riscos identificados e analisados. Neste
caso, deve-se elaborar INDICADORES CHAVES DE RISCOS CIBERNÉTICOS.
Do inglês Key Risk Indicators (KRI), os Indicadores Chaves de Risco são, como o nome sugere, indicadores sobre os riscos
cibernéticos aos quais uma organização está exposta.
São as métricas utilizadas pelas empresas para verificar qual é o potencial de exposição a um determinado risco. Com eles,
gerentes, diretores e conselheiros monitoram o nível de risco de uma área ou da própria organização.
Quando implementados como parte integrante da Gestão de Riscos, os KRI’s são pontos críticos para informar à direção
sobre o perfil do risco em relação ao apetite ao risco.
Em alguns casos, representam os eventos monitorados pela gerência a fim de verificar a evolução de um risco ou
oportunidade em potencial.
Seja qual for o motivo, os Indicadores Chaves de Risco são utilizados pelos gestores para sinalizar a necessidade de ações a
serem tomadas.
Os Indicadores de Risco fornecem informações significativas para o atingimento de metas estratégicas e é exatamente por
isso que devem estar alinhados aos objetivos da empresa.
O que são Indicadores Chaves de Performance - KPI’s?
Em linhas gerais, KPI’s mostram se a empresa está progredindo em direção a suas metas, enquanto os KRI’s ajudam
a entender as mudanças no perfil do risco da empresa, o impacto e a probabilidade de isso atrapalhar os objetivos
estratégicos.
Como ambos trabalham com os objetivos da organização, cada Indicador Chave de Risco deve refletir os impactos
negativos que podem atingir os Indicadores Chave de Performance.

A importância dos Indicadores Chave de Risco na gestão de riscos
Os Indicadores Chaves de Riscos (KRI’s), desempenham um papel importante na Gestão de Riscos.
São eles os responsáveis por medirem os riscos potenciais e por permitirem ações em tempo hábil, garantindo, desse
modo, o sucesso de uma organização.
Com os Indicadores Chave de Risco, as empresas estão aptas a:
• Identificar a exposição ao risco atual e as tendências de riscos emergentes;
• Destacar os pontos fracos de controle e permitir o fortalecimento de controles deficientes;
• Facilitar o processo de notificação e escalonamento de riscos;
• Fornecer informações detalhadas aos gestores sobre estratégias a serem tomadas para evitar um risco;
• Cumprir os requisitos regulamentares;
• Incentivar seu quadro de colaboradores sobre a importância da Gestão de Riscos;
• Promover a conscientização das questões envolvendo os riscos de quaisquer atividades da empresa;
• Reportar os níveis de risco o mais rapidamente possível;
• Garantir controles efetivos;
• Entender como o perfil do risco muda em diferentes circunstâncias;
• Entender os sinais de possíveis riscos que podem vir a afetar a empresa;
• Detectar problemas como parte de um “sistema de alerta precoce”.

Figura 104: Indicadores Chaves de Riscos - KRI.
Fonte: COSO – Indicador Chave de Riscos, 2010
Como definir KRIs eficazes?
Para determinar os Indicadores Chave de Riscos, alguns princípios devem ser observados.
O principal deles é ter profundo conhecimento dos objetivos organizacionais e dos riscos que podem afetar o atingimento
desses objetivos.
Além disso, Indicadores Chaves de Riscos devem:
• Ser mensuráveis;
• Ser previsíveis, ou seja, fornecer sinais de que podem ocorrer;
• Ser comparáveis durante um período;
• Ter uma pessoa responsável por eles;
• Estar inseridos no contexto do negócio.

Além dos princípios citados, a dica para estabelecer um Indicador Chave de Risco é fazer as perguntas:
Como nosso perfil de risco está mudando?
Está dentro dos níveis de apetite desejados?
A partir das respostas, será mais fácil tanto definir o perfil do risco quanto fazer o monitoramento.
Outro fator a se considerar é que KRIs eficazes são provenientes de informações de alta qualidade - constantemente
revisadas - usadas para rastrear um risco.
Uma boa prática aqui é reunir alguns insights com os membros das equipes, fornecedores, parceiros e clientes sobre riscos
que podem ser prejudiciais para a empresa em um nível gerencial.
Figura 105: Indicadores Chaves de Riscos - KRI.

Fonte: COSO – Indicador Chave de Riscos, 2010

Geralmente, não é possível mapear todos os aspectos de um risco em um único Indicador Chave. Por esse motivo, o ideal é
trabalhar com dois indicadores:
• Indicador para mensuração da probabilidade;
• Indicador para mensuração do impacto;
Figura 106: KRI: probabilidade x impacto x plano de ação.

No nosso caso, em que temos três riscos cibernéticos no quadrante vermelho e quatro fatores mais relevantes, podemos
elaborar os seguintes KRI’s:
1. Apetite aos riscos – deve ser sinalizado como parâmetro de medição dos riscos e do investimento;
2. Probabilidade – deve ser incluída no monitoramento, para saber se sofre redução em função do plano de ação;

3. Impacto – deve ser incluído no monitoramento, para ver se cai em função da resiliência cibernética da empresa;
4. KRI de aumento de intrusão em sistemas de empresas brasileiras do mesmo segmento;
5. KRI da eficácia do sistema de gerenciamento de acessos;
6. KRI da eficácia do sistema de monitoramento de rede;
7. KRI da mudança cultural de inclusão da cibernética nos processos decisórios;
8. KRI de aumento de intrusão de ransomware em sistemas de empresas brasileiras do mesmo segmento;
9. KRI da eficácia dos Planos de Respostas de Incidentes;
10. KRI do número de testes dos PRI;
11. KRI da resiliência cibernética;
12. KRI do número de capacitações realizadas;
13. KRI do número de campanhas realizadas;
14. KRI do número de simulações realizadas;
15. KRI do percentual de colaboradores que clicaram no e-mail teste malicioso.
Estes 15 KRI, medidos na janela temporal de semestral a quinzenal, colocam a empresa em condições de identificar
se os riscos possuem maior probabilidade de serem materializados e seu grau de magnitude.

Figura 107: KRI de riscos cibernéticos.

Da primeira à última fase deste Framework de Gestão de Riscos Cibernéticos, buscou-se, mediante o monitoramento
e a análise crítica, a plena integração com as estratégias e os objetivos estratégicos da empresa. Desta forma o gestor de
segurança cibernética, em apresentações e interações com a alta gestão, poderá interconectar a área cibernética com a área
de negócios da empresa.

8
Conclusão
8.1 Conclusões
O presente livro tinha como objetivo geral construir um framework metodológico de gestão de riscos cibernéticos,
com a interconectividade entre as questões estratégicas de negócio – estratégia e objetivos – com as questões de riscos
cibernéticos e sua magnitude de impacto, em caso de materialização.
Para sua concretização, foi descrita a metodologia utilizada, com a definição de cada umas das etapas seguidas, desde sua
concepção até a obtenção dos resultados.
Em cumprimento ao primeiro e segundo objetivos específicos, foi necessário realizar revisão bibliográfica (capítulos 4, 5 e
6), conhecendo as principais abordagens para a o gerenciamento dos riscos cibernéticos, junto com os perfis dos hackers e
formas de ataques.
Em cumprimento ao terceiro objetivo específico, nos capítulos 2, 3 e 4, apontou-se a situação atual de segurança
cibernética, com foco no Brasil. Foram identificadas e mapeadas as estruturas de segurança cibernética existentes, além de
compreender o contexto cultural das empresas. Também ficou claro que os principais problemas estão interligados com as
áreas de negócio e a área cibernética, que não interagem em função da falta de cultura e também do problema de o gestor
cibernético não levar temas estratégicos para a alta gestão. Costumam levar temas táticos e operacionais, o que desestimula
a alta gestão e a leva a não valorar as informações.
Já no capítulo 6, foram apresentados processos de gerenciamento de riscos cibernéticos, integrados com os da segurança
da informação, baseados nas práticas ISO da família 27000, NIST e COBIT.
A abordagem utilizada na construção do Framework de Gestão de Riscos Cibernéticos foi a da interligação da área
estratégica da empresa com as questões técnicas e operacionais da cibernética.
Foi trabalhada a construção do modelo de gestão de riscos cibernéticos utilizando o princípio das Joias da Coroa (processos
críticos, informações críticas e sistemas críticos), como o foco do planejamento estratégico e seus objetivos. Também não

foi esquecida a maturidade das pessoas que detêm a autorização para manipular as Joias da Coroa, pois tudo será posto a
perder se o fator humano vier a cometer um erro ou deslize, e simplesmente abrir as portas para os intrusos.
Conclui-se que há uma forte tendência de continuidade da manutenção dos atuais índices de ataques cibernéticos,
caso os gestores de segurança cibernética não mudem suas atitudes e posturas ao levar para a alta gestão quais são
as consequências para o negócio e qual o nível do prejuízo com que a empresa terá que arcar em termos financeiros,
reputacionais, operacionais e legais.
8.2 Novos Estudos
A gestão de riscos cibernéticos deverá permitir, a partir da interconectividade entre as áreas estratégicas e cibernéticas,
acompanhar as tendências e demandas do setor de segurança cibernética para os próximos anos, o que deve colaborar para
o planejamento estratégico das empresas em iniciativas que gerem valor agregado. Assim, recomenda-se o estudo de outras
abordagens para outros segmentos.
As características da segurança cibernética visando à segurança do negócio são únicas, os investimentos devem ser
direcionados com uso de tecnologias intensivas em capital e para aproximação junto a clientes com estratégias de
fidelização e atração de novos clientes.
Por fim, entende-se ser importante monitorar os cenários de Ataques Cibernéticos para que as empresas, governo e
população possam ter uma maior liberdade de atuação.
Um outro entendimento é que o gestor de riscos cibernéticos, responsável pela segurança cibernética da empresa,
fornecendo diretrizes, metodologia, assessorando as áreas de negócio, deve ser detentor das competências abaixo, para
poder sensibilizar a alta gestão das empresas:

1. Gerenciar a interconectividade dos riscos: a empresa precisa adotar uma gestão integrada de riscos para identificar
e administrar as correlações entre todos os riscos aos quais ela está exposta, incluindo todas as disciplinas;
2. Alimentar uma forte cultura de controles com o processo descentralizado: o gestor de riscos cibernéticos
deve sensibilizar a administração da empresa em criar uma cultura que enfatize a importância de
o dono do processo ser o dono do risco, de todos os riscos, incluindo o risco cibernético;
3. Fornecer informações em “tempo real”: o gestor de riscos cibernéticos precisa implantar sistemas de informações
internos e mecanismos de comunicação para assegurar que a Diretoria Executiva e o Conselho de Administração
recebam informações corretas, em tempo real, sobre as causas e os impactos dos riscos cibernéticos;
4. Enfrentar os riscos com baixa frequência e alto impacto: o gestor de riscos cibernéticos deve empregar
“testes de estresse” para assegurar que os controles internos e os planos de respostas a incidentes
cibernéticos possuam resiliência a ataques cibernéticos de alto impacto ou, pelo menos, que possam dar
flexibilidade para responder rapidamente a cenários adversos, aumentando a resiliência cibernética;
5. Entender o “core Business” da empresa, as Joias da Coroa, para poder focar: o gestor de riscos cibernético precisa
entender o negócio da empresa e se tornar um prestador de serviço interno, colocando as Joias da Coroa em
primeiro lugar. Esse entendimento é hoje um fator crítico de sucesso, pois desta forma não perderá tempo em
apresentar para a alta gestão orçamentos sem foco no negócio. Tem que saber quantificar o risco cibernético,
medindo sua exposição, inclusive em termos monetários, para torná-lo tangível. No que se refere a cenários
de ataques há esta possibilidade, em função de saber projetar os custos em termos de parada do negócio
e vazamento de informações. Os aspectos reputacional, operacional e legal devem estar embutidos nesta
exposição, devendo elaborar uma estimativa da perda financeira por dia de paralização do “core business”.
O importante é que todas as empresas, independentemente do perfil e do porte, precisam conhecer a efetiva dimensão
dos riscos cibernéticos das atividades em que estão envolvidas. Mesmo não podendo evitar os riscos, as empresas podem

melhorar seu controle sobre o ambiente, prevenindo, amenizando ou recuperando-se mais rapidamente desses eventos. As
empresas devem ter resiliência cibernética.
O framework de Gestão de Riscos Cibernéticos aqui descrito é uma técnica para auxiliar o gestor de riscos cibernéticos na
sensibilização da priorização do tratamento dos riscos cibernéticos, possibilitando integrar as origens de cada risco com seu
nível de influência em caso de concretização e de resposta aos riscos. Assim, ele auxilia de forma direta na construção da
matriz de riscos e da matriz de priorização de ações.
O framework de Gestão de Riscos Cibernéticos é uma técnica para facilitar a tomada de decisões e auxiliar na implantação
de medidas reais preventivas e contingenciais deixando a empresa com um nível maior de Resiliência Cibernética.

9
Bibliografia
ABNT NBR ISO 22301: 2020 - Segurança da Sociedade - Sistema de Gestão de Continuidade de Negócios - Requisitos.
ABNT NBR ISO 22313: 2020 - Segurança da Sociedade - Sistema de Gestão de Continuidade de Negócios - Orientações.
ABNT NBR ISO 22316: 2020 – Segurança e Resiliência – Resiliência Organizacional – Princípios e atributos
ABNT ISO/TS 22317: 2023 – Segurança e Resiliência – Sistemas de Gestão de Continuidade de Negócios – Diretrizes para
análise de impacto nos negócios (BIA).
ABNT NBR ISO 22322: 2020 – Segurança e Resiliência – Gestão de Emergências – Diretrizes para aviso público.
ABNT ISO GUIA 73: 2009 - Gestão de Riscos – Vocabulário.
ABNT NBR ISO 31.000: 2018 – Gestão de Riscos – Princípios e Diretrizes
ABNT NBR ISO 31.010: 2021 - Gestão de Riscos – Técnicas para o Processo de Avaliação de Riscos.
ABNT NBR ISO 28000: 2009 – Especificação para Sistemas de Gestão de Segurança para a Cadeia Logística
ABNT NBR ISO/IEC 27001: 2013- Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão de Segurança da
Informação – Requisitos
ABNT NBR ISO/IEC 27002: 2022- Tecnologia da Informação – Técnicas de Segurança – Código de Prática para Controles de
Segurança da Informação
ABNT NBR ISO/IEC 27003: 2011- Tecnologia da Informação – Técnicas de Segurança – Diretrizes para Implantação de um
Sistema de Gestão de Segurança da Informação
ABNT NBR ISO/IEC 27004: 2017- Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da
Informação – Monitoração, medição, análise e avaliação
ABNT NBR ISO/IEC 27005: 2019 – Tecnologia da Informação – Técnicas de Segurança – Gestão de Riscos de Segurança da
Informação

ABNT NBR ISO/IEC 27014: 2013- Tecnologia da Informação – Técnicas de Segurança – Governança de Segurança da
Informação
ABNT NBR ISO/IEC 27017: 2016- Tecnologia da Informação – Técnicas de Segurança – Código de Prática para Controles de
Segurança da Informação com Base ABNT NBR ISO/IEC 27002 para serviços em nuvem
ABNT NBR ISO/IEC 27031: 2023 – Tecnologia da Informação – Diretrizes para a prontidão para a continuidade de negócios
da tecnologia da informação e comunicação
ABNT NBR ISO/IEC 27032: 2015- Tecnologia da Informação – Técnicas de Segurança – Diretrizes para Segurança
Cibernética
ABNT NBR ISO/IEC 38500: 2018- Tecnologia da Informação – Governança da TI para a Organização
ABNT NBR 16337:2014 - Gerenciamento de riscos em projetos - Princípios e diretrizes gerais
COSO I – Controles Internos – Estrutura Integrada (2013)
COSO II - Enterprise Risk Management Integrated Framework – ERM (2004).
COSO ERM – Gerenciamento de Riscos Corporativos Integrado com Estratégia e Performance (2017)
IBGC – INSTITUTO BRASILEIRO DE GESTÃO DE RISCOS CORPORATIVOS. Guia de Orientação para Gerenciamento de Riscos
Corporativos (www.ibgc.org.br).
NIST TIR 8374: 2021 – Perfil de Framework da Cyber – Segurança para a Gestão de Risco de Ransomware
NIST TIR 8374: 2021 – Perfil de Framework da Cyber – Segurança para a Gestão de Risco de Ransomware
NIST 800-61 Revisão 2: 2012 – Guia de Manuseio de Incidentes de Segurança em Computadores
NIST Revisão 1.1: 2018 – Guia de Aperfeiçoamento de Segurança Cibernética para Infraestrutura Crítica

NIST Versão 1.0: 2020: Estrutura de Privacidade do NIST: uma Ferramenta que Melhora a Privacidade por Meio do
Gerenciamento de Riscos Corporativos
NIST 800 - 30 Revisão 1: 2012 – Guia para Conduzir Avaliação de Risco
NIST 800–37 Revisão 2: 2018 - Risk Management Framework for Information Systems and Organizations
NIST 800 -53 Revisão 5: 2020 Security and Privacy Controls for Information Systems and Organizations
NIST 800 – 82 Revisão 2: 2015 Guia para Segurança de Sistemas de Controle Industrial (ICS)

10
Autor
Antonio Celso Ribeiro Brasiliano, PhD
DICS, MCRC, CIEAI, CEGRC, MBCR, CIEAC, CIEIE,
CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Membro da Galeria dos Imortais da Academia Brasileira de Ciências Econômicas, Políticas e Sociais – ANE –Academia
Nacional de Economia, ocupando a cátedra 190.
É Presidente da Brasiliano INTERISK e idealizador do Software - Inteligência em Riscos Corporativos INTERISK;
Profissional com experiência nacional e internacional, com mais de 30 anos de mercado, nas áreas de governança, riscos,
compliance, auditoria, controles internos e segurança corporativa, com vivência nos países: Portugal, Cabo Verde, Angola,
Moçambique, Uruguai, Argentina, Paraguai, Colômbia, México;
Doctor of Philosophy in International Security Sciences, pela Cambridge International University, Inglaterra, Reino Unido,
com a tese MODELO DE GESTÃO DE RISCOS CIBERNÉTICOS FOCADO NO NEGÓCIO DA EMPRESA;
Doutor Internacional em Ciencias de la Seguridad, pela Cooperación Euro-Americana de Seguridad – Madrid, Espanha;
Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique – UNIVERSITÉ PARIS – EST (Marne- La-
Vallée) – Paris – França;
Master Degree - Diplome D´Etudes Approfondies (DEA) en Information Scientifique et Technique Veille Technologique –
UNIVERSITÉ TOULON – Toulon - França;
Especializado em: Master em Ciencia de Gestión de Riesgos Cibernéticos pelo CEAS – Espanha – Madrid, Inteligência
Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacional pela
Universidad Pontifícia Comillas de Madrid – Espanha - DSE; Planejamento Empresarial pela Fundação Getúlio Vargas - SP;
Elaboração de Currículos pelo Centro de Estudos de Pessoal do Exército – CEP – Exército Brasileiro;

Bacharel em: Ciências Militares, graduado pela Academia Militar das Agulhas Negras e em Administração de Empresas,
graduado pela Universidade Mackenzie;
Certificações: Certificação Internacional pela Corporación Euro-Americana de Seguridad – CEAS – Espanha em

Especialista em Análisis de Inteligencia - CIAI, Especialista en Gestión de Riesgos Cibernéticos - CEGRC; Certificación
Internacional de Especialista en Antifraude y Compliance – CIEAC; Certificación Internacional de Especialista en Investigación
Empresarial – CIEIE, Certificación Profesional de Seguridad Internacional – CPSI e Certificación Internacional Gestión
de Riesgos – CIGR; pelo IIA Global (Institute of Internal Auditors) Risk Management Assurance – CRMA; pela Associação
Brasileira de Segurança Orgânica - ABSO; Especialista em Segurança Empresarial – CES, pela Brasiliano INTERISK em Master
Business Security; pela Universidad Comillas de Madrid – Espanha – Director de Seguridad Empresarial – DSE.
Autor de 17 livros versando sobre Governança, Compliance, Gestão e Análise de Riscos, entre os mais recentes : Inteligência
em Riscos: Gestão Integrada em Riscos, com a inclusão do COSO ERM 2017 e ISO 31000: 2018 – Método Avançado Brasiliano;
Mundo VICA – Volátil, Incerto, Complexo, Ambíguo; Estamos Preparados?; Fraud Risk Assessment – FRA – Gestão de Risco
de Fraude, entre outros.
Professor Convidado: da Fundação Dom Cabral, MBA e Cursos Abertos de GRC – Governança, Riscos e Compliance;
Atual Coordenador Técnico e Professor do MBA - Gestão de Riscos Corporativos pela Brasiliano INTERISK; Idealizador,
Coordenador e Professor do Curso Avançado em Segurança Empresarial – Master Business Security – MBS, curso este que
foi pioneiro no segmento de riscos corporativos, e hoje se encontra na 59ª Turma.
Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 – ISO 31000/31010/31004 – Gestão de
Riscos e ISO 22301/22313 Gestão de Continuidade de Negócio – Segurança da Sociedade.

O livro de Gestão de Riscos Cibernéticos aborda a construção de um framework em gestão
de riscos cibernéticos, com a implantação de uma fase formalizada, na qual o gestor deve
identificar de forma clara e objetiva a denominada Joia da Coroa. A Joia da Coroa é o “core
business” da empresa, que precisa ser protegida de possíveis ataques cibernéticos.
Esse “core business” é formado pela cadeia de valor da empresa que, sendo interpretada de
modo correto, identifica os processos críticos, com suas informações estratégicas (relativas ao
negócio e aos quesitos regulatórios), os sistemas de tecnologia da informação e a tecnologia
operacional, itens estes considerados relevantes para suportar a estratégia e o atingimento
dos objetivos estratégicos da empresa. Sem esse conhecimento, de acordo com as pesquisas
de mercado expostas no livro, o gestor de segurança cibernética não consegue sensibilizar
a alta gestão, uma vez que não demonstra os impactos que os ataques cibernéticos poderão
causar em termos reputacionais, financeiros, legais e operacionais. Algumas vezes até mesmo
as vidas de colaboradores ou de pessoas externas à organização podem ser postas em risco,
quando se trata, por exemplo, de infraestruturas críticas.
O framework elaborado também contempla uma fase de construção de cenários de ataques

cibernéticos com base em riscos. Como as atuais superfícies de ataques cibernéticos são muito
abrangentes, os gestores devem focar em “blindar” o “core business” da empresa, trabalhando
para isso as causas primárias motrizes.
O framework de gestão de riscos cibernéticos, focados na Joia da Coroa, se apresenta como

uma ferramenta de gestão poderosa que pode melhorar o planejamento estratégico das
empresas, ao fornecer visões alternativas das incertezas digitais e cibernéticas, tornando
possível preparar a empresa para uma resiliência cibernética que suporte as ameaças do
século XXI.

FBC 826

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

FBC 826

Enviado por

Direitos autorais:

Formatos disponíveis

GESTÃO DE RISCOS

Antonio Celso Ribeiro Brasiliano

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 1

Antonio Celso Ribeiro Brasiliano

© Copyright by Antonio Celso Ribeiro Brasiliano

1a edição, abril de 2023

Direitos dessa edição cedidos por contrato para:

Antonio Celso Ribeiro Brasiliano

São Paulo, abril de 2023

Sempre arrisquem, dentro de seu apetite aos riscos!

Antonio Celso Ribeiro Brasiliano

2 . Riscos Estratégicos da Quarta Revolução Industrial.......................................................................37

3. Risco Cibernético é uma realidade.......................................................................................................47

4. Estratégias de Defesa para Ataques Cibernéticos........................................................................... 79

5. Perfis dos Hackers ...............................................................................................................................107

6. Revisão da Literatura de Processos de Gestão de Riscos Cibernéticos....................................... 127

7. Framework da Gestão de Riscos Cibernéticos - Joias da Coroa..................................................... 161

10. Autor................................................................................................................................................... 297

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 19

1.2 Histórico do Termo VUCA

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 20

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 21

- Complexidade: traduz a dificuldade de compreender as interações de múltiplas partes ou fatores e

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 22

Figura 1: Interconectividade entre os riscos globais

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 23

Esse relatório foi publicado em 08 de janeiro de 2020, o que evidencia o negacionismo

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 24

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 25

A figura abaixo resume o posicionamento do Mundo VUCA:

Figura 3: Mundo VUCA – Ações dos Líderes

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 26

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 27

Sistemas frágeis são suscetíveis a falhas repentinas e catastróficas. Ao contrário de

Non Linear - Não-Linear

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 28

As mudanças climáticas, a pandemia e quaisquer outros ciclos de associação entre “causa e

1.5 Como lidar com isso

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 29

Figura 4: Mundo BANI – Situações Caóticas – Ações dos Líderes

1.6 O mundo girando muito rápido

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 30

1.7 Aumento de ataques cibernéticos na pandemia COVID 19

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 31

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 32

1. Segurança Cibernética na pauta de negócios: 51% das organizações

2. Deep Dive no board: 73% das empresas planejam Comitê exclusivo de

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 33

5. A discussão do tema segurança cibernética vive momentos distintos nos Conselhos de

6. Barreiras à Segurança Cibernética: Médias empresas sofrem com desafios orçamentários,

7. Mais organizações expandem orçamento em cibernética. O crescimento, no entanto,

9. Centralização de fornecedor de cibernética

12. Investimentos em segurança cibernética acompanharam os movimentos

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 34

• Antecipar situações de ameaça;

• Dar tempo mínimo para as empresas se adaptarem.

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 35

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 39

Adicionalmente, consequências complexas e imprevistas da interconectividade entre as pessoas, as organizações e o

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 40

a. Primeiro Risco Estratégico Cibernético: INTERCONECTIVIDADE

GESTÃO DE RISCOS CIBERNÉTICOS - FOCO NOS NEGÓCIOS - AS JOIAS DA COROA | 41

b. Segundo Risco Cibernético Estratégico: TROCA DE INFORMAÇÕES –