Edit Risk

Configure os detalhes e análise do risco

A ISO 31000 define risco como o "efeito da incerteza nos objetivos". A identificação é o primeiro passo do processo de gestão de riscos, onde catalogamos ameaças potenciais que podem afetar a organização.

Categorias de Risco (ISO 31000)
  • Strategic — Riscos que afetam os objetivos estratégicos e a direção do negócio
  • Operational — Riscos nas operações diárias, processos e sistemas
  • Compliance — Riscos de não conformidade com leis, regulações e normas
  • Financial — Riscos de perdas financeiras diretas ou indiretas
  • Reputational — Riscos à imagem e confiança perante clientes e parceiros
Matriz de Risco 5×5

O risco é calculado pela multiplicação da Probabilidade pelo Impacto. A matriz 5×5 classifica o resultado em 4 níveis:

Score do Risco = Probabilidade × Impacto
  • Low (1-4): Monitorar, ação não urgente
  • Medium (5-9): Planejar ações de mitigação
  • High (10-14): Ação prioritária necessária
  • Critical (15-25): Ação imediata obrigatória
Exemplo Prático
Risco "Comprometimento de Credenciais Administrativas": Categoria Operacional, Probabilidade 4 (Provável), Impacto 5 (Catastrófico) → Score = 20 (Crítico). Requer resposta imediata e plano de mitigação.

A ISO 27005 estabelece diretrizes para a gestão de riscos de segurança da informação. O processo segue um fluxo estruturado que decompõe o risco em seus elementos constituintes:

Fluxo de Análise
Ativo → Fonte de Ameaça → Evento de Ameaça → Vulnerabilidade → Risco
Campos desta Aba
  • Ativo de Informação — O que precisa ser protegido (ex: servidor de banco de dados, sistema ERP, dados de clientes, credenciais privilegiadas)
  • Fonte de Ameaça — Quem ou o que pode causar o dano (ex: cibercriminoso externo, funcionário insatisfeito, malware, falha de hardware)
  • Evento de Ameaça — O que pode acontecer (ex: ataque de phishing direcionado, exploração de vulnerabilidade não corrigida, acesso não autorizado via credenciais comprometidas)
  • Vulnerabilidade — Fraqueza que pode ser explorada (ex: falta de MFA em contas administrativas, patches desatualizados, ausência de monitoramento de logs)
Exemplo Prático
Ativo: "Servidor AD com credenciais de 500 usuários". Fonte: "Atacante externo". Evento: "Ataque de brute force contra contas privilegiadas". Vulnerabilidade: "Política de senhas fraca sem bloqueio automático". Esta decomposição permite identificar controles específicos para cada elemento.
Risk Context
Ativos de Informação
API Gateway software
Active Directory / LDAP software
Certificate Authority (CA) software
Cloud IAM Console software
Database Servers hardware
Email Server software
HR System (HRIS) software
Identity Provider (IdP) software
MFA Server software
PAM Solution software
SIEM Platform software
Secrets Manager / Vault software
Service Accounts data
User Credentials Database data
VPN Gateway infrastructure
Fontes de Ameaça
Advanced Persistent Threat (APT) adversarial
Broker de Acesso Inicial (IAB) adversarial
Credential Stuffing Bot adversarial
Desastre Natural environmental
Desenvolvedor de Aplicativo OAuth Malicioso adversarial
Erro Humano accidental
Falha de Hardware structural
Falha de Software structural
Fraudster de SIM Swap adversarial
Insider Malicioso adversarial
Insider Negligente accidental
Queda de Energia environmental
Ransomware Operator adversarial
Social Engineering adversarial
Supply Chain Attack adversarial
Eventos de Ameaça
Account Manipulation persistence
Brute Force de Credenciais credential_access
Escalação de Privilégios privilege_escalation
Exfiltração via API exfiltration
Golden Ticket Attack credential_access
Kerberoasting credential_access
LDAP Injection credential_access
MFA Fatigue / Push Bombing credential_access
Pass-the-Hash lateral_movement
Phishing para Credenciais initial_access
Service Account Abuse persistence
Token Theft / Session Hijacking credential_access
Vulnerabilidades
APIs sem Autenticação Adequada critical
Ausência de MFA critical
Certificados Expirados high
Configuração Fraca de Session medium
Contas Órfãs high
Excesso de Privilégios critical
Falta de Revisão de Acessos high
Falta de Segregação de Funções high
Logs de Acesso Insuficientes medium
Protocolos de Autenticação Obsoletos high
Secrets Hardcoded critical
Senhas Fracas ou Padrão critical
Risk Assessment
Inherent Risk
12345
Rare Unlikely Possible Likely Almost Certain
Residual Risk
12345
Rare Unlikely Possible Likely Almost Certain

O NIST SP 800-30 fornece orientação para conduzir avaliações de risco em sistemas de informação. A abordagem classifica ameaças em quatro tipos e identifica condições que influenciam a probabilidade de materialização.

Tipos de Ameaça
  • Adversarial — Ataques intencionais por indivíduos ou grupos (hackers, insiders maliciosos, estados-nação). Motivados por ganho financeiro, espionagem ou sabotagem.
  • Accidental — Erros humanos não intencionais (configuração incorreta de firewall, envio de dados sensíveis para destinatário errado, exclusão acidental de dados).
  • Structural — Falhas de equipamentos, software ou infraestrutura (falha de disco, bug de software, degradação de hardware, esgotamento de recursos).
  • Environmental — Desastres naturais e condições ambientais (inundações, terremotos, incêndios, quedas de energia prolongadas, temperaturas extremas).
Condições Predisponentes

São fatores que aumentam ou diminuem a probabilidade de uma ameaça se materializar. Exemplos: exposição à internet, nível de treinamento dos funcionários, idade dos equipamentos, complexidade dos sistemas, nível de acesso de terceiros.

Nível de Risco = Probabilidade (Ameaça × Vulnerabilidade) × Impacto
Exemplo Prático
Tipo: Adversarial. Condições Predisponentes: "Servidor exposto à internet sem WAF, equipe de segurança reduzida, última auditoria há 18 meses, 3 vulnerabilidades CVE conhecidas não corrigidas". Estas condições aumentam significativamente a probabilidade de um ataque ser bem-sucedido.
Guia: Quantificação Financeira (FAIR)

O modelo FAIR (Factor Analysis of Information Risk) transforma avaliações qualitativas em quantificação financeira objetiva. Diferente de outros frameworks, o FAIR expressa o risco em termos monetários, facilitando a tomada de decisões de negócio.

Componentes Fundamentais

LEF Frequência de Eventos de Perda

Quantas vezes o evento de perda pode ocorrer por ano. É composto pela Frequência de Eventos de Ameaça (TEF) multiplicada pela Vulnerabilidade (probabilidade de sucesso do ataque).

LEF = TEF × Vulnerabilidade

LM Magnitude da Perda

O impacto financeiro quando o evento ocorre. Inclui 6 tipos: Perda de Produtividade, Perda de Resposta (investigação/remediação), Perda de Substituição (reparação), Multas regulatórias, Perda de Reputação e Perda de Vantagem Competitiva.

ALE Exposição Anual a Perdas

ALE = LEF × Magnitude da Perda

Representa o custo financeiro esperado do risco em um ano. A simulação Monte Carlo executa 10.000 iterações com distribuições log-normais, gerando não um número único, mas uma distribuição de resultados com probabilidades.

Como Preencher
  • Frequência Mín./Máx. — Intervalo da frequência anual de eventos. Ex: 0.1 (1 a cada 10 anos) a 2.5 (2.5 por ano)
  • Magnitude Mín./Máx. — Intervalo do impacto financeiro por evento. Ex: R$ 50.000 a R$ 1.000.000
Exemplo Prático — Ransomware
Cenário: Ataque de ransomware em servidor de banco de dados crítico. LEF: 0.1 a 2.5 eventos/ano (baseado em inteligência de ameaças). Magnitude: R$ 50.000 a R$ 1.000.000 (resposta a incidentes + multas LGPD + perda de reputação). Resultado Monte Carlo: Média ALE = R$ 50.596, P95 = R$ 132.257. Interpretação: Em média R$ 50.596/ano de exposição, com 5% de chance de exceder R$ 132.257.
Tomada de Decisão com FAIR

Se um novo controle custa R$ 30.000/ano e reduz a LEF em 50%, a economia potencial é ~R$ 25.298/ano. Compare o custo do controle com a redução na ALE para justificar investimentos.

Simulation Results
-
Média
-
Mediana
-
P10
-
P90
-
P95

O tratamento de riscos define como a organização responderá a cada risco identificado. A ISO 31000 estabelece quatro opções de resposta, e o risco residual representa o nível de risco após a aplicação dos controles.

Opções de Resposta ao Risco
  • Avoid — Eliminar a atividade que gera o risco. Ex: descontinuar um serviço vulnerável ou não processar determinado tipo de dado.
  • Modify — Implementar controles para reduzir probabilidade ou impacto. Ex: adicionar MFA, criptografar dados, implementar backup. É a opção mais comum.
  • Share — Transferir parte do risco para terceiros. Ex: contratar seguro cibernético, terceirizar operação para provedor especializado.
  • Retain — Aceitar o risco conscientemente. Apropriado quando o custo do tratamento excede o impacto potencial ou o risco está dentro do apetite de risco.
Risco Residual
Risco Residual = Probabilidade Residual × Impacto Residual

Após implementar controles, reavalie a Probabilidade e o Impacto na aba ISO 27005 (matriz residual). A diferença entre o risco inerente e o residual demonstra a efetividade dos controles implementados.

Exemplo Prático
Risco Inerente: 4×5 = 20 (Crítico). Tratamento: Modificar — implementar MFA + monitoramento SIEM + política de senhas forte. Risco Residual esperado: 2×4 = 8 (Médio). Redução de 60%. Custo dos controles: R$ 45.000/ano vs. ALE original de R$ 132.000 = ROI positivo.

Associar controles ao risco permite rastrear quais medidas de segurança mitigam cada ameaça. A maturidade dos controles associados influencia diretamente o risco residual nas avaliações.

Efetividade dos Controles
Efetividade = Média da Maturidade dos Controles / Nível Máximo (5)

Quando uma avaliação é concluída, o sistema captura automaticamente um snapshot do risco com base na maturidade dos controles avaliados. Controles com maturidade alta (4-5) indicam mitigação efetiva; controles com maturidade baixa (1-2) indicam exposição.

Critérios de Seleção
  • Selecione controles que diretamente reduzem a probabilidade ou impacto deste risco
  • Considere controles preventivos (reduzem probabilidade) e detectivos (reduzem impacto)
  • Evite associar controles que não têm relação direta com o risco
Exemplo Prático
Para o risco "Comprometimento de Credenciais": associar AUTH-001 (Política de Autenticação, maturidade 3), AUTH-003 (MFA, maturidade 4), MON-002 (Monitoramento de Logs, maturidade 2). Efetividade = (3+4+2)/3/5 = 60%. Indica necessidade de melhorar o monitoramento.
Cancelar
Inherent Score
-
-
Residual Score
-
-