GESTÃO DE

RISCO
Michel Bernardo Fernandes da Silva

E-book 1
Neste E-Book:
INTRODUÇÃO���������������������������������������������� 3
INTRODUÇÃO À GESTÃO DE RISCOS�� 5
GESTÃO DE RISCOS�����������������������������������11
Paradoxo da Segurança���������������������������������������� 18

NORMAS PARA GESTÃO DE RISCOS

DA SEGURANÇA DA INFORMAÇÃO����21
PROCESSO DE GESTÃO DE RISCOS���28
De Segurança Da Informação������������������������������ 28

CONSIDERAÇÕES FINAIS���������������������� 33
SÍNTESE������������������������������������������������������� 35

2
INTRODUÇÃO
Apesar da conotação negativa que a palavra risco
carrega, inevitavelmente o risco faz parte da vida.
Por exemplo, quando um empresário abre um negó-
cio, quando um médico opera um paciente, ao tocar
projetos de engenharia etc., todas essas atividades
envolvem riscos.

Um aprendizado da sociedade é que o risco pode ser

administrado, apesar de não ser possível eliminá-lo.
Assim, a Tecnologia da Informação exerce um papel
fundamental na gestão de riscos. A existência de
ambientes tecnológicos complexos e interdepen-
dentes resulta em ambientes propícios para ata-
ques à segurança da informação, os quais exigem
respostas cada vez mais velozes das organizações.
Além disso, impõem-se normas de privacidade de
dados que aumentam a necessidade de as empresas
gerenciarem mais efetivamente suas informações.

Neste módulo, estudaremos os conceitos funda-

mentais da Gestão de Riscos em Segurança da
Informação. Antes disso, porém, faremos uma in-
trodução ao assunto, por essa razão, definiremos
alguns conceitos relevantes, como ameaça, vulne-
rabilidade, incidente e risco.

Na sequência, analisaremos as ameaças, as vulne-

rabilidades e suas consequências e seus impactos
sobre os negócios, caso o risco identificado se apre-
sente na prática. Além disso, apresentaremos a NBR

3
ISO/IEC 27005:2008 — Tecnologia da Informação,
Técnicas de segurança, Gestão de riscos de segu-
rança da informação.

Apesar da importância do gerenciamento de risco,

muitas empresas ainda o ignoram. Provavelmente,
isso se deva ao fato de o risco na maioria das vezes
não se apresentar de modo visível, sendo neces-
sárias ações para identificá-lo. Em outros casos,
o risco é fruto de ações repentinas que não estão
sob controle humano, como em eventos de causas
naturais (terremotos, erupções vulcânicas etc.).

4
INTRODUÇÃO À
GESTÃO DE RISCOS
Diariamente, são relatados vários problemas rela-
cionados a riscos tecnológicos de segurança da
informação em publicações das mais diversas áreas.
Episódios como roubos de mídias de backup e de
notebooks, vazamento de números de cartões de
crédito, manuseio impróprio de registros eletrôni-
cos, roubo de identidade e quebra de propriedade
intelectual ocorrem por todo o mundo.

Pode-se definir risco como uma estimativa de incer-

teza e consequências referentes à ocorrência de um
evento desejável ou indesejável. Existem diversas
definições para a palavra risco. Vamos a algumas
delas.

Segundo Lawrence Gitman (1997, p. 17), risco é “a

possibilidade de que os resultados realizados pos-
sam ser diferentes daqueles esperados”. Para Wilson
José de Oliveira (2001, p. 55), “é a probabilidade de
uma ameaça explorar vulnerabilidades para causar
perdas ou danos a um ativo ou grupo de ativos da
organização”.

Então perguntamos: qual é o risco dessa atividade?

Isso levanta dúvidas em relação à ocorrência de
algo incerto ou inesperado. Caso exista a certeza
de que um evento ocorrerá, ele não se configura um

5
risco, pois o risco implica incerteza, probabilidade
de algo acontecer.

Uma etapa fundamental no gerenciamento de risco

é a identificação do risco. Tal atividade implica ele-
mentos de subjetividade, já que os riscos indicados
podem ou não ocorrer.

REFLITA
Em 11 de setembro de 2001, houve o atentado às
torres gêmeas do World Trade Center, na cidade
de Nova Iorque (EUA). Será que o risco de ataque
a uma torre tinha sido identificado? Se tivesse
sido previsto, como seria o ataque?

Complemente sua reflexão com os relatos con-

tidos na reportagem sobre o acontecimento: ht-
tps://aventurasnahistoria.uol.com.br/noticias/re-
portagem/historia-torres-gemeas-18-anos.phtml.
Acesso em: 25 mar. 2020.

Como exemplo de risco, podemos citar as fraudes, os

erros de sistemas de informações, os desempenhos
insatisfatórios, as catástrofes naturais, as crises so-
ciais, a extrapolação de autoridade dos empregados,
as crises sistêmicas, os problemas com infraestru-
tura, entre outros.

6
Em segurança da informação, a incerteza se faz pre-
sente nos aspectos tecnológicos envolvidos, nos pro-
cessos executados e, principalmente, nas pessoas
que em algum instante interagem com a tecnologia
e com os processos.

SAIBA MAIS
Em Desafio aos deuses: a fascinante história do
risco, Peter Bernstein (1997) detalha a evolução
histórica de controle e previsão dos riscos pela
humanidade, desde a Grécia Antiga. Em suas pa-
lavras: “[...] aconteça o que acontecer e apesar de
todos os nossos esforços, os seres humanos não
possuem o conhecimento completo sobre as leis
que definem a ordem do mundo objetivamente
existente”. Com isso, Bernstein desqualifica o ser
humano enquanto “previsor perfeito do futuro”.

Para ambientes computacionais, um tipo de risco

é o de continuidade, que trata da permanência da
operação do negócio mesmo em panes nos am-
bientes físicos e lógicos. Esses ambientes devem
ser testados periodicamente para comprovar seu
funcionamento. Portanto, não basta o planejamento
para uma situação de não funcionamento inesperado,
sendo fundamental pelo menos um teste real para
comprovar a eficácia e eficiência do plano. Esse risco
potencial necessita do estabelecimento de planos
de contingência e de recuperação.

7
Os sistemas de informação eletrônicos apresentam
riscos de interromperem seu funcionamento devido
a erros no hardware, erros no software ou à má utili-
zação dos operadores. Conforme alerta Marcos Assi
(2012), caso não ocorra um controle adequado dos
sistemas e tecnologias de informação, bem como
não sejam adotadas as medidas de segurança físi-
ca e lógica adequadas, as empresas podem sofrer
perdas de dados.

Uma interrupção de serviço longa, causada por fa-

tores externos, representa uma preocupação não só
com os negócios, mas também com a reputação da
organização. Caso um site de comércio eletrônico
fique fora de operação por algumas horas, essa in-
terrupção impactará na continuidade do negócio.
Rapidamente, o site será notícias em mídias sociais,
e o dano à imagem da empresa é certo e relevante.

Dessa maneira, “o gerenciamento de riscos é o pro-

cesso de identificar, avaliar, priorizar e enfrentar
riscos” (KIM; SOLOMON, 2014, p. 92). As empresas
que realmente consideram a segurança um aspecto
relevante realizam o gerenciamento de riscos como
um processo contínuo. O gerenciamento de riscos
não deve ser feito apenas uma vez, mas deve ser um
processo contínuo e repetitivo na empresa. Além
disso, ressalta Bezerra (2013), o gerenciamento de
riscos deve receber o apoio da alta direção, ser re-
alizado em tempo apropriado e estar alinhado aos
requisitos de negócios.

8
Por isso, existem alguns princípios da Gestão de
Riscos, os quais se encontram elencados a seguir:

Princípios da gestão de riscos:

• A gestão de riscos cria e protege valor.
• A gestão de riscos é parte de todos os processos
organizacionais.
• A gestão de riscos é parte da tomada de decisões.
• A gestão de riscos aborda explicitamente a
incerteza.
• A gestão de riscos é sistemática, estruturada e
oportuna.
• A gestão de riscos baseia-se nas melhores infor-
mações disponíveis.
• A gestão de riscos é feita sob medida.
• A gestão de riscos considera fatores humanos e
culturais.
• A gestão de riscos é transparente e inclusiva.
• A gestão de riscos é dinâmica, iterativa e capaz de
reagir a mudanças.
• A gestão de riscos facilita a melhoria contínua da
organização.

Podcast 1

9
Nesse sentido, a gestão de riscos é primordial ao
contribuir com a realização demonstrável dos obje-
tivos, mas também com a melhoria do desempenho,
referente à segurança e à saúde das pessoas, à con-
formidade legal e regulatória, à aceitação pública, à
proteção do meio ambiente, à qualidade do produto,
ao gerenciamento de projetos, à eficiência nas ope-
rações, à governança e à reputação (ENAP, 2018).

10
GESTÃO DE RISCOS
Neste tópico, vamos definir conceitos relevantes
para a Gestão de Risco, como ativos, vulnerabilida-
des, evento de segurança de informação, ameaças,
incidentes de segurança, impacto do risco e controle.
Posteriormente, vamos estabelecer a relação entre
cada um desses conceitos.

Os ativos são quaisquer elementos que tenham valor

para a organização (ISO 27002) e dão suporte aos
processos de negócios. Portanto, os ativos devem
ser protegidos. Além de hardware, software e ser-
viços, os ativos de Tecnologia da Informação (TI)
incluem a propriedade intelectual da empresa, que é
representada pelas informações confidenciais, isto
é, patentes, códigos-fonte, fórmulas, receitas, pro-
jetos de engenharia etc., bem como todo elemento
utilizado para armazenar, processar, transportar,
manusear e descartar a informação.

Por exemplo, as empresas do ramo farmacêutico

investem bilhões de dólares em pesquisas e anos
para desenvolver novas drogas. Caso uma dessas
pesquisas ou fórmula do medicamento seja obtida
pelos concorrentes, a empresa perderia todo o di-
nheiro investido em Pesquisa e Desenvolvimento
(P&D), com isso, as receitas da nova droga não se-
riam compatíveis com as previsões anteriores.

Outro ativo da empresa é a sua reputação, a ima-

gem da marca. Empresas que apresentam falhas

11
de segurança cibernética e que sofreram ataques
maliciosos com roubos de informações confiden-
ciais, como dados de cartões de créditos de clientes,
enfrentam uma redução de reputação e na imagem
da empresa, o que acarreta sérias consequências
negativas, como uma potencial queda de receitas.

De acordo com a norma ISO 27002, vulnerabilidade

é uma fragilidade de ativos ou grupo de ativos, que
pode ser explorada por uma ou mais ameaças. A
vulnerabilidade é uma condição que, quando explo-
rada pelo atacante, pode resultar em violação de
segurança. É necessário gerenciar as vulnerabili-
dades de um sistema, que devem ser inicialmente
identificadas e corrigidas. As vulnerabilidades podem
ser físicas ou naturais, no hardware, no software ou
causada por humanos.

FIQUE ATENTO
A existência de uma vulnerabilidade por si só
não causa incidentes. As vulnerabilidades são
elementos passivos que dependem também
da existência de um agente causador, isto é, as
ameaças.

Outro conceito relevante é o de ameaça, que repre-

senta agentes ou causas potenciais de um incidente
indesejado, resultando em um dano para um sistema
específico ou para toda a organização (ISO 27002).
São exemplos de ameaças as falhas de software,

12
falhas de hardware, ações de natureza, terrorismo,
vandalismo, entre outros.

Podemos classificar as ameaças como naturais,

involuntárias ou voluntárias. As naturais referem-
-se a terremotos, enchentes, tsunamis, poluição,
incêndios naturais etc. As involuntárias são ame-
aças inconscientes, causadas normalmente pelo
desconhecimento do agente, por exemplo, acidentes,
erros, falta de energia. Quanto às voluntárias, são
ações causadas por seres humanos, como hackers,
ladrões, terroristas, entre outros. Portanto, o papel da
segurança da informação é prover os mecanismos
necessários para que as ameaças sejam impedidas
de explorar as vulnerabilidades.

Outro conceito importante é o de evento de seguran-

ça da informação, o qual pode ser entendido como
uma ocorrência identificada de um estado de siste-
ma, serviço ou rede, advertindo para uma possível
violação da política de segurança da informação ou
falha de controles que seja relevante para a segu-
rança da informação (ISO 27000:2009).

Por exemplo, o firewall Z não está bloqueando a por-

ta 1521 na máquina K; a senha do usuário X é fraca;
há 2 meses que o backup do banco de dados Z não
é realizado; a chave da sala de servidores quebrou; o
alarme de detecção de intrusos disparou três vezes
seguidas, entre outros.

Temos ainda os incidentes de segurança, que se re-

ferem a uma simples série de eventos de segurança
da informação indesejados ou inesperados e que po-

13
dem ter uma grande probabilidade de comprometer
as operações de negócios e ameaçar a segurança
da informação (ISO 27000:2009).

Os controles, por sua vez, podem representar as

medidas de segurança praticadas, isto é, os proce-
dimentos e mecanismos utilizados para a proteção
de ativos. A existência de controle visa tanto a im-
pedir que as ameaças explorem as vulnerabilidades,
quanto a reduzir o surgimento de vulnerabilidades
e minimizar o impacto dos incidentes de seguran-
ça da informação. Há tipos de controles técnicos,
administrativos e de gestão.

Por exemplo, um dos ativos de empresas são as

estações de trabalho para funcionários. Um evento
de segurança da informação pode ser um usuário
obter acesso lógico não autorizado decorrente de
erros na definição de permissões. Dependendo das
informações acessadas pelo usuário, o impacto pode
ser drástico para a organização.

Outro caraterística importante do risco é que ele

tem uma probabilidade de ocorrência dentro de um
período, sendo possível categorizar eventos com
base na probabilidade de ocorrência de evento.

Um evento puramente hipotético, ou seja, que não

tenha nenhuma chance de ocorrência futura, não se
configura como um risco, visto que não tem impacto
negativo significante.

Destacamos também que, mesmo que um evento

futuro tenha 50% de chance de ocorrer e impacto

14
negativo valorado, haverá sempre uma incerteza
associada a tal estimativa. Com isso, podemos ter
baixa, média ou alta confiança de que o evento tem
50% de chance de ocorrer, bem como podemos ter
baixa, média ou alta confiança de que o impacto
negativo real será do valor que estimamos.

Por exemplo, conforme consta no Manual de Gestão

de Risco do Instituto Nacional de Propriedade
Intelectual (INPI, 2018), a escala utilizada é:
• Muito baixa: baixíssima possibilidade de o evento
ocorrer, embora ainda não tenha ocorrido.
• Baixa: o evento ocorre raramente.
• Média: o evento já ocorreu algumas vezes e pode
voltar a ocorrer.
• Alta: o evento já ocorreu repetidas vezes e prova-
velmente voltará a ocorrer muitas vezes.

Outra grandeza a ser mensurada é o impacto, que

representa uma mudança adversa no nível obtido
dos objetivos de negócios. Trata-se de uma conse-
quência avaliada dos resultados com a ocorrência
de um evento em particular, em que determinada
vulnerabilidade foi explorada, uma ameaça ocorreu
e o risco se concretizou. Qual foi o impacto desse
evento nos negócios? Quanto se perdeu? A organi-
zação será responsabilizada? Haverá multas por tais
ações? Alguma ação legal será impetrada? Haverá
danos à imagem da empresa?

15
Por exemplo, segundo o Manual de Gestão de Risco
do Instituto Nacional de Propriedade Intelectual
(INPI, 2018), a escala utilizada é:
ƒ Muito baixo: quando a ocorrência do evento gera
consequências insignificantes.
ƒ Baixo: consequências menores em atividades ou
processos que não sejam considerados prioritários.
ƒ Médio: consequências relevantes em atividades e
processos que não sejam considerados prioritários
ou consequências menores em atividades e proces-
sos prioritários.
ƒ Alto: consequências relevantes em atividades e
processos prioritários.

A exposição ao risco é a frequência de ocorrência

de determinado evento em uma organização. Assim,
a estimativa de riscos é o processo utilizado para
atribuir valores à probabilidade e às consequências
de um risco. A estimativa de riscos torna possível
ainda quantificar ou descrever qualitativamente um
risco, permitindo às organizações priorizar os riscos
de acordo com os critérios estabelecidos.

As ações de modificação do risco são as medidas

tomadas com o intuito de reduzir a probabilidade, as
consequências negativas ou ambas, associadas a
um risco. Para a avaliação do impacto operacional
direto ou indireto, a NBR ISO/IEC 27005 propõe a
consideração dos seguintes efeitos:
• Custo financeiro de substituição de um ativo.

16
• Custo de aquisição, configuração e instalação de
um novo ativo ou de seu backup.
• Custo de operações suspensas devido ao acidente,
até que o serviço seja restaurado.
• Resultados devido a brechas na segurança da
informação.
• Violação de obrigações.
• Violação de códigos de conduta, entre outros.

Com base no que temos estudado até o momento,

um risco poderia, de modo abstrato, ser obtido pela
seguinte fórmula:

Risco de Segurança = Probabilidade de

Ocorrência*Impacto estimado*Incerteza das
medidas

A estimativa de dano potencial corresponde ao valor

necessário para corrigir ou reparar o dano provocado
pelo vazamento ou pela alteração das informações.
Esse valor pode ser baixo, como o custo para restau-
rar um backup do dia anterior, ou pode ser muito alto,
como o pagamento de multas elevadas aplicadas
pelos órgãos de controle ou ainda os custos dos
honorários de advogados a serem contratados para
defender a empresa e seus executivos.

Uma vez quantificado o impacto sobre os negócios,

atribui-se a cada risco um nível de impacto ou nível
de criticidade, o qual deve estar relacionado a cada
ativo, e pode empregar escalas qualitativas, usando

17
valores como “muito alto”, “alto”, “médio”, “baixo” e
“muito baixo”.

Paradoxo da Segurança
A segurança é um processo que implica o emprego
de uma quantidade considerável de recursos não
diretamente relacionados à satisfação das neces-
sidades de uma organização. Empregam-se tais
recursos com a finalidade de analisar os eventos,
processos e sistemas, bem como conceber, imple-
mentar, operar e aprimorar os controles.

Dado que é uma grande consumidora de recursos

não relacionados à realização das atividades-fim de
uma organização, a segurança acaba gerando um
aparente paradoxo.

Por um lado, há uma quantidade infinita de eventos

negativos que podem ocorrer, e a adoção de con-
troles de segurança para neutralizar cada evento
levaria uma organização a comprometer todos seus
recursos, ou seja, levaria à morte por esgotamento
de recursos. Logo, a segurança excessiva não é uma
garantia da continuidade da vida.

Por outro lado, a falta de controle de segurança, isto

é, meios pelos quais a organização possa observar
e aproveitar apenas os eventos positivos para a rea-
lização de negócios, conduz a empresa a exposição
e situações que resultarão em sua morte prematura.
Em outras palavras, a falta de segurança garante

18
que a vida seja descontinuada. A preocupação com
a segurança aumenta à medida que a organização
vive mais.

Na prática, quanto maior for o investimento de recur-

sos em segurança, mais a empresa garante sua sobre-
vivência durante situações difíceis (eventos danosos),
pois investimentos de recursos na busca ou aproveita-
mento de eventos para a satisfação de necessidades
básicas estão relacionados ao próprio desfrute da
existência ou à realização de objetivos de negócio.

O alcance da segurança efetiva exige uma situação

de equilíbrio na aplicação de recursos, em ambas as
situações. Dessa maneira,

O processo de encontro do ponto de equilíbrio

entre a segurança e a realização de objetivos
do negócio é iterativo, reflexivo e virtualmen-
te infinito. O processo é iterativo, porque são
necessários vários ciclos para o alcance de
uma situação adequadamente equilibrada. Ora
os controles de segurança são excessivos e
a organização perde oportunidade para reali-
zação de negócios; ora os controles de segu-
rança são insuficientes, e a sobrevivência da
organização é ameaçada (FERNANDES, 2009).

Segundo esse autor, o processo de segurança tem

um caráter reflexivo porque a adoção de controles de
segurança diante dos eventos negativos possíveis
influencia a futura ocorrência desses e de outros

19
eventos, fazendo com que os próprios ambientes
externo e interno se ajustem à medida que os con-
troles são adotados.

Ademais, o alcance do ponto de equilíbrio é um pro-

cesso virtualmente infinito, com duração para toda a
vida, devido a isso, as organizações que atuam em um
espaço modificam-se contínua e imprevisivelmente,
conforme a ação das demais (FERNANDES, 2009).

Quando combinada com a caoticidade da nature-

za e dos sistemas artificiais, inclusive de natureza
tecnológica, essa situação conduz a uma contínua
busca e coevolução, sendo parcialmente encerrada
quando a organização morre, mas continuada pelos
descendentes possivelmente gerados.

Portanto, para Fernandes (2009), o alcance do ponto

de equilíbrio entre a aplicação de controles de se-
gurança e a realização de negócios é encontrado
apenas por meio de um processo iterativo, reflexivo
e virtualmente infinito.

Embora consista em adoção planejada de controles,

a segurança deve ponderar não só a necessidade,
como também a suficiência dos controles de se-
gurança, perante o conjunto de eventos potenciais
negativos que possam vir a ocorrer no futuro, seja ele
próximo ou distante. Uma organização segura tem
planos de contingência estabelecidos para enfrentar
o risco antes mesmo que tais eventos ocorram. Com
isso, risco aceitável é o grau de risco que a organi-
zação está disposta a aceitar para a concretização
dos seus objetivos estratégicos.

20
NORMAS PARA
GESTÃO DE RISCOS
DA SEGURANÇA DA
INFORMAÇÃO
A International Standardization Organization (ISO)
criou uma família de normas voltadas à gestão e
operação da Segurança da Informação, a ISO 27.000
e suas variantes. Tal medida reflete o amadureci-
mento da área de segurança, impondo-lhe então
novos desafios.

A norma ABNT NBR ISO/IEC 27002:2005 é espe-

cífica para a Gestão de Riscos de Segurança da
Informação, por isso, possui um guia de implementa-
ção de 133 controles de segurança frequentemente
utilizados nas organizações. A norma ABNT NBR
ISO/ IEC 27001:2006 (ABNT, 2006) descreve, por seu
turno, um processo sistemático de introdução de
controles de segurança em organizações. No cerne
do processo proposto pela ABNT (2006), reside a
gestão de riscos.

A área de segurança da informação possui um con-

junto de normas para serem utilizadas nas mais
diversas organizações, a fim de permitir uma pa-
dronização dos requisitos e procedimentos para a
implementação de um SGSI (BEZERRA, 2013).

A Associação Brasileira de Normas Técnicas (ABNT),

uma entidade privada sem fins lucrativos, é o órgão

21
brasileiro responsável pela normalização técnica no
país, ou seja, o órgão que fornece a base necessária
ao desenvolvimento tecnológico brasileiro.

A ABNT NBR ISO/IEC 27001:2006 (Tecnologia da

Informação – Técnicas de segurança – Sistemas de
gestão de segurança da informação – Requisitos)
apresenta e descreve os requisitos que devem ser
implementados no estabelecimento de um Sistema
de Gestão de Segurança da Informação (SGSI).

Já a ABNT NBR ISO/IEC 27002:2005 (Tecnologia da

Informação – Técnicas de Segurança – Código de
prática para a gestão de segurança da informação)
apresenta as melhores práticas para a gestão ade-
quada da segurança da informação.

Essas normas podem ser aplicadas a qualquer

ambiente de Tecnologia da Informação (TI) de uma
organização, tornando evidente a necessidade da
gestão de riscos estruturada, com a padronização
de processos e requisitos de gestão de riscos nas
empresas.

A primeira norma sobre gestão de risco foi lançada

em 1995, quando a comissão de padronização da
Austrália e da Nova Zelândia apresentou a norma
AS/NZS 4360 – Gestão de Risco. Era uma norma
genérica, ainda assim, estabeleceu um processo de
gestão de riscos amplamente aceito, sendo atuali-
zada em 1999 (AS/NZS 4360:1999).

Em 2009, é lançada pela Isso, e imediatamente de-

pois pela ABNT, a norma ABNT NBR ISO 31000:2009

22
Gestão de Riscos – Princípios e Diretrizes. Essa nor-
ma estabeleceu os princípios e as diretrizes genéri-
cas para qualquer indústria ou setor. No mesmo ano,
foi lançada a ABNT ISO GUIDE 73:2009 — Gestão de
Riscos – Vocabulário, apresentando as definições
de termos genéricos relativos à gestão de riscos.

Quando se pretende fazer referência a um concei-

to de gestão de riscos, deve-se utilizar a definição
da ABNT ISO GUIDE 73:2009 Gestão de Riscos –
Vocabulário, pois, segundo a ABNT (2009),

Este guia fornece as definições de termos ge-

néricos relativos à gestão de riscos. Destina-
se a incentivar uma compreensão mútua e
consistente, uma abordagem coerente na
descrição das atividades relativas à gestão
de riscos e a utilização de terminologia uni-
forme de gestão de riscos em processos e
estruturas para gerenciar riscos.

Em 2012, foi lançada, em português, a ABNT NBR

ISO/IEC 31010:2012 Gestão de riscos – Técnicas
para o processo de avaliação de riscos, que deve ser
trabalhada em apoio à ABNT NBR ISO 31000:2009
Gestão de Riscos – Princípios e diretrizes. Essa nor-
ma descreve as diversas técnicas e ferramentas de
análise de risco, fornecendo orientações sobre a
seleção e aplicação de técnicas sistemáticas para
o processo de avaliação de riscos.

23
O grupo de normas ora comentado visa a atender
a qualquer tipo de ambiente de uma organização.
Proporciona, portanto, uma concepção ampla e gené-
rica da gestão de riscos, sendo aplicada para avaliar
e tratar qualquer tipo de risco corporativo. Durante o
desenvolvimento dessas normas, foi publicada em
2008, pelo grupo de trabalho específico de tecnologia
da informação, a ABNT NBR ISO/IEC 27005: 2008
Tecnologia da Informação – Técnicas de Segurança
– Gestão de riscos de segurança da informação.

Essa norma foi desenvolvida com base nos estudos

da ISO 31000:2009, portanto, atende aos seus requi-
sitos e ao seu processo de gestão de risco. A ISO/
IEC 27005 faz parte do conjunto de normas da série
de 27000, sobre o Sistema de Gestão de Segurança
da Informação (SGSI), no qual estão inclusas ainda
as normas ISO/IEC 27001 e ISO/IEC 27002. Esta
apresenta, por sua vez, as melhores práticas, bem
como possibilita o aprofundamento em aspectos
exclusivos da segurança da informação, enquanto
a ISO 31000 é mais genérica e contempla todos os
setores.

Por seu turno, a ABNT NBR ISO/IEC 27005:2008

Tecnologia da Informação – Técnicas de Segurança
– Gestão de riscos de segurança da informação
apresenta as diretrizes para o gerenciamento dos
riscos de segurança da informação e emprega os
conceitos da norma ABNT NBR ISO 27001:2005.

A norma foi publicada em julho de 2008 e apresenta

as diretrizes para o gerenciamento dos riscos de

24
segurança da informação. Emprega os conceitos da
norma ABNT NBR ISO 27001:2005, que especifica
os requisitos de sistemas de gestão da segurança
da informação. Descreve, ainda, todo o processo
necessário para a gestão de riscos de segurança
da informação e as atividades necessárias para a
perfeita execução da gestão. Apresenta práticas para
gestão de riscos da segurança da informação.

As técnicas nela descritas seguem o conceito, os

modelos e os processos globais especificados na
ABNT NBR ISO/IEC 27001, além de apresentar a me-
todologia de avaliação e de tratamento dos riscos
requeridos pela mesma norma.

Partindo do princípio de que a gestão de riscos é um

processo contínuo e que se realimenta, a norma está
dividida em seções e anexos. As seções contêm as
informações do processo e das atividades necessá-
rias para a sua execução. Existem 12 seções no total:
de 1 a 4 tratam das referências e da estrutura da
norma; 5 e 6 apresentam a visão geral do processo
de gestão de riscos. As seções 7 em diante tratam
especificamente do processo de gestão de riscos.
Os seis anexos são identificados de A a F e trazem
informações adicionais e exemplos.

Podcast 2

Nas seções de 7 a 12, as atividades de gestão são

apresentadas de acordo com a seguinte estrutura:

25
• Entrada: refere-se a insumos e premissas neces-
sários para a realização da atividade.
• Ação: descrição da atividade, sempre acompanha-
da do “convém”.
• Diretrizes para implementação: são as diretrizes
necessárias para a realização da ação, isto é, o deta-
lhamento de como a ação pode ser realizada. Essas
diretrizes devem ser adaptadas a cada tipo de organi-
zação. Também estão acompanhadas do “convém”.
• Saída: apresenta os resultados que devem ser al-
cançados e que vão servir para gerar evidências.

Segundo Bezerra (2013), os profissionais que atu-

am nas atividades de análise de risco têm um perfil
com conhecimento em diversas áreas, tais quais
Negócios, Legislação, Conhecimento técnico e pro-
cessos etc., uma vez que esse conhecimento multi-
disciplinar permite a identificação de ameaças e vul-
nerabilidades em qualquer ambiente da organização:
• O perfil de Negócios ampara a equipe no entendi-
mento das operações da empresa, sendo relevante
para o cálculo de impacto do risco.
• O perfil de Legislação refere-se ao entendimento
de quais aspectos legais e normativos do ambiente
em que a empresa se insere, visto que dependem
muito do setor de atuação da empresa.
• O perfil técnico na área de risco contribui para o
atendimento das demandas das diversas áreas téc-
nicas da organização, como a de hardware, redes

26
e infraestrutura, sistemas operacionais, software,
aplicação web, entre outras.
• O perfil de Processos é fundamental para o en-
tendimento dos processos, pois, pela análise de
processos, podem-se localizar ameaças e vulnerabi-
lidades. Portanto, são elaborados planos de gestão
e tratamentos dos riscos identificados.

27
PROCESSO DE
GESTÃO DE RISCOS

De Segurança Da Informação
A ABNT NBR ISO/IEC 27005:2011 estabeleceu o pro-
cesso de gestão de riscos de segurança, conforme
ilustrado na Figura 1.

DEFINIÇÃO DO CONTEXTO

MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS

PROCESSO DE
COMUNICAÇÃO E CONSULTA DO RISCO

AVALIAÇÃO DE RISCOS

IDENTIFICAÇÃO DE RISCOS

ANÁLISE DE RISCOS

AVALIAÇÃO DE RISCOS

PONTO DE DECISÃO 1 Não

Avaliação satisfatória
Sim

TRATAMENTO DO RISCO

PONTO DE DECISÃO 2 Não

Treinamento satisfatório
Sim

ACEITAÇÃO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS INTERAÇÕES

Figura 1: Processo de gestão de riscos de segurança da informação.

Fonte: (ISO/IEC 27005:2011).

28
Podemos notar, pela Figura 1, que as atividades estão
coordenadas para o direcionamento e controle de
uma empresa na gestão de riscos. É possível separar
os processos em seis grandes grupos de atividades:
• Definição do contexto.
• Análise/Avaliação de riscos.
• Tratamento do risco.
• Aceitação do risco.
• Comunicação do risco.
• Monitoramento e análise crítica.

A etapa inicial é a Definição de Contexto; nela ocorre

a definição do ambiente, escopo, critérios de ava-
liação, entre outras definições. Esta etapa é funda-
mental, pois por meio dela a equipe que realiza a
gestão de risco conhece todas as informações sobre
a organização. A fase de preparação para implemen-
tação da gestão de riscos envolve principalmente a
definição de três aspectos:

I) Critérios básicos para a Gerência de Riscos de

Segurança de Informação (GRSI).

II) Escopo e limites do Sistema de Gestão de Risco

de Segurança de Informação (SGRSI).

III) Organização que vai operar a GRSI.

Caso o contexto estabelecido consiga fornecer infor-

mações suficientes para que a determinação eficaz
das ações necessárias para redução dos riscos a
um nível aceitável, então a tarefa de Definição de

29
Contexto está completa, com isso, o tratamento do
risco pode continuar.

Todavia, se as informações do ambiente forem insu-

ficientes para o gerenciamento dos riscos, executa-
-se uma outra iteração do processo de avaliação de
riscos, revisando-se o contexto. Por exemplo, os cri-
térios de avaliação de riscos, de aceitação do risco
ou de impacto, possivelmente em partes limitadas
do escopo.

Depois da Definição de Contexto, ocorre a etapa de

Análise/Avaliação de riscos, na qual se identificam
os riscos e determinam as ações necessárias para
reduzir o risco a um nível aceitável pela organiza-
ção. É conveniente que os riscos sejam identificados,
quantificados ou descritos qualitativamente, para
então serem priorizados com base em critérios de
avaliação de riscos e dos objetivos relevantes da
organização.

Após essa etapa, ocorre o Tratamento do risco. A

partir dos resultados obtidos nas etapas anteriores,
são estabelecidos os controles necessários para o
tratamento do risco, sendo assim, as opções para o
tratamento dos riscos são selecionadas e o Plano de
Tratamento do Risco (PTR) é definido. Os controles
a se implementar são especificados pela ABNT NBR
ISO/IEC 27001.

Na etapa de Aceitação do risco, devem-se assegurar

os riscos aceitos pela organização, isto é, os riscos
que por alguma razão não são tratados ou são tra-
tados parcialmente, denominados riscos residuais e

30
cujo enquadramento nesta categoria deve ser justi-
ficado. Assim, o risco residual representa o nível de
risco remanescente após o tratamento de riscos.
Uma vez que o PTR tenha sido definido, os riscos
residuais precisam ser estimados.

A Comunicação do risco transmite a existência do

risco e a forma como será tratado, para todas as áre-
as operacionais e seus gestores. Assim, ocorre uma
troca ou compartilhamento de informações sobre o
risco entre o tomador de decisões e os stakeholders,
isto é, outras partes interessadas.

A ação de evitar o risco implica uma decisão de não

se envolver ou agir de modo a mitigar uma situação
de risco. Já uma ação de retenção do risco é a acei-
tação do ônus da perda ou do benefício do ganho
associado a um determinado risco. Por sua vez, o
compartilhamento do risco é a ação de partilhar-se
com outra entidade do ônus da perda ou do benefício
do ganho associado a um risco.

Por fim, a etapa final é a do Monitoramento e Análise

Crítica, na qual as atividades de acompanhamento
dos resultados, implementação dos controles e de
análise crítica para a melhoria contínua do processo
de gestão de riscos.

O processo de gestão de riscos de segurança da

informação ocorre de forma iterativa para o processo
de avaliação de riscos e/ou para as atividades de
tratamento do risco. A gestão do risco se desenvolve
de modo incremental, através de uma quantidade de
iterações. A cada iteração, há entrega ou saída para

31
a próxima iteração, o que permite o aprofundamento
e o detalhamento da avaliação em cada passo.

Com isso, é possível otimizar tanto o tempo quanto

o esforço despendidos na identificação de controles,
ao mesmo tempo em que riscos de alto impacto ou
de alta probabilidade sejam avaliados com segu-
rança e de maneira adequada.

32
CONSIDERAÇÕES FINAIS
A fim de enfrentar novas ameaças e demandas, as
organizações devem desenvolver uma atitude pro-
ativa, antecipando-se em conhecer suas fraque-
zas e suas vulnerabilidades. Esse processo pode
ser obtido com a adoção de um processo formal
de gerenciamento de riscos de segurança da infor-
mação, que permite à organização estabelecer um
nível aceitável de risco.

Os proprietários de organizações têm propriedade

dos ativos e quantificam o valor dos ativos da em-
presa. Cada ativo apresenta uma gama de vulnerabi-
lidade, isto é, fragilidades que podem ser exploradas
por ameaças. Com isso, a vulnerabilidade expõe os
ativos ao risco. Por meio de ferramentas de controle,
inseridas pelos proprietários, a vulnerabilidade dos
ativos é reduzida e, consequentemente, o risco é
reduzido.

É necessário, para isso, que as empresas adotem

um gerenciamento de riscos. Dessa maneira, a ex-
posição ao risco não será excessiva, eliminando a
ocorrência de eventos inesperados. Assim, a empre-
sa evita enfrentar uma perda relevante. Com base
nesses objetivos, fizemos uma breve introdução à
Gestão de riscos à segurança da informação. Em se-
guida, conceituamos o que é um risco de segurança,
para tanto, recorremos a vários exemplos extraídos
do mundo empresarial.

33
Na sequência, analisamos as ameaças e vulnerabi-
lidades de uma organização, detalhando cada uma
delas para que o entendimento fosse o mais claro
possível. Por fim, passamos à análise das conse-
quências e dos impactos que as ameaças exercem
sobre as empresas, caso não tenham um plano de
contingenciamento.

34
 SÍNTESE

GESTÃO DE
RISCOS
INTRODUÇÃO À GESTÃO DE RISCO

Neste e-book, estudamos conceitos fundamentais para a Gestão

de riscos, os quais são mais bem sistematizados no gráfico a
seguir:

Têm propriedade e
Proprietários quantificam o valor dos Ativos

Inserem Possuem

Reduzem a
Controle exposição ao Risco

Expõem
Minimizam

Ameaças Exploram Vulnerabilidades

Referências Bibliográficas
& Consultadas
ABNT. ASSOCIAÇÃO BRASILEIRA DE NORMAS
TÉCNICAS. NBR ISO/IEC 27002:2006. Código
de Prática para a Gestão da Segurança da
Informação.

ABNT. ASSOCIAÇÃO BRASILEIRA DE NORMAS

TÉCNICAS. NBR ISO/IEC 27005:2008. Gestão de
Riscos da Segurança da Informação.

ASSI, M. Gestão de riscos com controles in-

ternos - como vencer os desafios e manter a
eficiência dos negócios. São Paulo: Saint Paul,
2012.

BERNSTEIN, P. Desafio aos deuses: a fascinante

história do risco. São Paulo: Campus, 1997.

BEZERRA, E. K. Gestão de riscos de TI: NBR

27005. Rio de Janeiro: RNP/ESR, 2013.

ENAP. ESCOLA NACIONAL DE ADMINISTRAÇÃO

PÚBLICA. Implementando a gestão de riscos
no setor público. Brasília, 2018. Disponível
em: https://repositorio.enap.gov.br/bitstre-
am/1/4088/1/Modulo%201-Estruturas%20de%20
Gerenciamento%20e%20Bases.pdf. Acesso em:
25 mar. 2020.
FERNANDES, J. H. C. Introdução à ges-
tão de riscos de segurança da informação.
CEGSIC 2009-2011 v1.2. Brasília (DF): Editora
da UnB, 2009. Disponível em: https://www.
trf3.jus.br/documentos/rget/seguranca/CLRI/
GSIC302_Introducao_Gestao_Riscos_Seguranca_
Informacao.pdf. Acesso em: 25 mar. 2020.

GITMAN, L. Princípios de Administração

Financeira. 10. ed. São Paulo: Editora Pearson
Addison Wesley, 2004.

INPI. INSTITUTO NACIONAL DA PROPRIEDADE

INDUSTRIAL. Manual de gestão de riscos do
INPI. Instituto Nacional da Propriedade Industrial.
Divisão de Gestão de Riscos. Rio de Janeiro: INPI/
DEGER, 2018. Disponível em: http://www.inpi.gov.
br/sobre/estrutura/manual-gestao-de-riscos-inpi.
pdf. Acesso em: 25 mar. 2020.

KIM, D.; SOLOMON, M. G. Fundamentos de

segurança de sistemas de informação. Rio de
Janeiro: LTC, 2014.

MCCLURE, S.; SCAMBRAY, J.; KURTZ, G.

Hackers Expostos. 7. ed. Porto Alegre: Bookman,
2014 [Minha Biblioteca].

MOLINARO, L. F. R. Gestão de tecnologia da

informação: governança de TI: arquitetura e
alinhamento entre sistemas de informação
e o negócio. Rio de Janeiro: LTC, 2011 [Minha
Biblioteca].

MACHADO, F. N. R. Segurança da Informação:

princípios e controle de ameaças. São Paulo:
Érica, 2014 [Minha Biblioteca].

OLIVEIRA, W. J. Segurança da Informação:

técnicas e soluções. Florianópolis: Visual Books,
2001.