Governance, Risk & Compliance
Gestão de Riscos
O que é?
Gestão de riscos em cibersegurança é o processo de identificar, avaliar, tratar e monitorizar riscos. Envolve equilibrar proteção com custos e necessidades de negócio.
Porque é importante?
Recursos são limitados - não se pode proteger tudo ao mesmo nível. Gestão de risco permite priorizar onde investir para maximizar a redução de risco com orçamento disponível.
Como funciona?
1. Identificar ativos e ameaças. 2. Avaliar probabilidade e impacto. 3. Calcular risco (P x I). 4. Decidir tratamento: aceitar, mitigar, transferir ou evitar. 5. Monitorizar e reavaliar.
Exemplo do dia a dia
É como decidir que seguro de casa comprar. Avalia-se o valor do conteúdo, probabilidade de roubo na zona, custo do seguro, e decide-se o nível de cobertura adequado.
Caso real
A Target aceitou riscos de um fornecedor de HVAC ter acesso à rede. Quando esse fornecedor foi comprometido, atacantes moveram-se para sistemas de pagamento. Má avaliação de risco de terceiros.
Erros comuns
- Avaliar riscos apenas uma vez
- Não considerar riscos de terceiros
- Usar escalas de risco inconsistentes
- Não envolver o negócio nas decisões
Como te proteger
- Estabelecer framework consistente (ISO 27005, NIST RMF)
- Reavaliar riscos regularmente
- Incluir riscos de supply chain
- Documentar decisões de aceitação de risco
Mini atividade prática
analiseAvalie um Risco
Escolha um risco (ex: laptop roubado com dados sensíveis). Avalie probabilidade (1-5) e impacto (1-5). Calcule o score. Que tratamento recomendaria: aceitar, mitigar, transferir ou evitar?
Sabias que...?
A fórmula básica de risco é: Risco = Probabilidade × Impacto. Mas muitos frameworks adicionam fatores como exposição, detetabilidade e valor do ativo.