SSI-01. ANÁLISE DE RISCOS

1. 1.1 O que é risco na Segurança da Informação?

1.1. Risco é a possibilidade de algo dar errado e causar danos. Na Segurança da Informação, significa a chance de que uma vulnerabilidade seja explorada e cause impacto negativo — seja financeiro, operacional ou reputacional.

1.2. Um risco nasce quando três elementos se encontram: uma ameaça, uma vulnerabilidade e um ativo exposto.

1.3. Exemplo prático: se você tem um servidor com falha de atualização (vulnerabilidade), que pode ser atacado por um hacker (ameaça), e esse servidor guarda dados críticos (ativo), então você tem um risco real.

2. 1.2 Conceito de ameaça

2.1. Ameaça é qualquer evento ou agente (interno ou externo) com potencial para explorar uma falha e causar prejuízo.

2.2. Pode ser humana (um funcionário mal-intencionado), natural (um raio), acidental (erro de configuração) ou tecnológica (malware).

2.3. A ameaça em si não causa dano se não houver vulnerabilidade a ser explorada.

3. 1.3 Conceito de vulnerabilidade

3.1. Vulnerabilidade é uma fraqueza que pode ser explorada.

3.2. Pode estar em sistemas, processos, pessoas ou infraestrutura.

3.3. Exemplos: softwares desatualizados, senhas fracas, falhas de configuração, ausência de backups ou falta de treinamento dos usuários.

4. 1.4 Conceito de impacto

4.1. Impacto é a consequência da exploração de um risco.

4.2. Pode ser medido em perdas financeiras, danos à reputação, perda de dados, interrupção de serviços ou penalidades legais.

4.3. Quanto maior o valor do ativo e a exposição, maior tende a ser o impacto.

5. 1.5 Avaliação de risco

5.1. A avaliação de risco é o processo de identificar, classificar e priorizar riscos.

5.2. Envolve três passos:

5.2.1. 1. Identificação de ameaças e vulnerabilidades.

5.2.2. 2. Análise da probabilidade de ocorrência.

5.2.3. 3. Avaliação do impacto potencial.

5.3. Uma matriz de risco é frequentemente usada para visualizar a gravidade de cada risco (baixa, média ou alta).

6. 1.6 Tratamento do risco

6.1. Uma vez que o risco é identificado, existem quatro estratégias:

6.1.1. Aceitar o risco – quando o impacto é tolerável.

6.1.2. Evitar o risco – eliminando a causa.

6.1.3. Transferir o risco – por exemplo, contratando um seguro.

6.1.4. Mitigar o risco – implementando controles para reduzir a probabilidade ou o impacto.

6.2. O ideal é sempre tentar reduzir o risco a um nível aceitável para a organização.

7. 1.7 Importância da análise de risco

7.1. A análise de risco orienta decisões estratégicas.

7.2. Permite que recursos sejam alocados onde o risco é maior.

7.3. Fortalece a segurança proativa, antecipa cenários e evita surpresas catastróficas.

7.4. Também é exigida por normas como ISO 27001, LGPD e marcos regulatórios de diversos setores.

8. 1.8 Risco residual

8.1. Mesmo após ações de mitigação, pode restar um risco residual — que é o risco que ainda permanece.

8.2. Ele deve ser conhecido, documentado e aprovado pela alta direção.

8.3. Ignorá-lo é um erro comum que pode comprometer todo o planejamento de segurança.

9. 1.9 Cultura de risco

9.1. Promover uma cultura de risco significa envolver todos os colaboradores no entendimento de que segurança não é apenas tarefa da TI.

9.2. Conscientização, treinamentos e comunicação transparente fazem parte dessa cultura.

9.3. A gestão de riscos eficaz começa com pessoas bem informadas.

10. 1.10 Ciclo contínuo

10.1. A análise de risco não é um evento pontual.

10.2. Deve ser feita de forma cíclica e contínua, pois os ativos, as ameaças e o cenário tecnológico estão sempre mudando.

10.3. A segurança da informação é dinâmica, e o risco hoje pode não ser o mesmo amanhã.