A gestão do risco de segurança da informação e cibersegurança é fundamental para as organizações e empresas nos tempos atuais.
A sua relevância para a operacionalização de um sistema de gestão de segurança da informação ou de uma “framework de governance, gestão e operação de segurança da informação e cibersegurança, é fundamental.

Pensamento baseado em risco, uma necessidade

O pensamento baseado em risco deve ser um postulado para a gestão e é fundamental para as organizações – no âmbito da adoção de um sistema de gestão da qualidade, no planeamento e execução de projetos, na proteção de dados pessoais – e tem enorme relevância no âmbito da gestão de segurança da informação e da cibersegurança.

A gestão do risco é nuclear para assegurar uma eficiente gestão de segurança da informação e cibersegurança. Definindo-se esta como: planear, organizar, dirigir e controlar as atividades necessárias para assegurar a confidencialidade, a integridade e disponibilidade (CID) da informação e dos ativos que a armazenam, processam e transmitem (tecnologias e sistemas de informação).

Para isso, as organizações devem utilizar controlos de vários tipos (“governance” e gestão, físicos, humanos e tecnológicos), com diferentes objetivos (prevenir, detetar e identificar, deter ou desviar, responder e recuperar) e princípios de segurança (defesa em profundidade, necessidade de conhecer e mínimo privilégio, simplicidade).

Neste âmbito, considera-se o risco de segurança da informação como a probabilidade/possibilidade de uma ameaça/método de ataque ocorrer, explorar uma ou mais vulnerabilidades de um ativo de uma organização e o impacto negativo que lhe causará. Quer nas propriedades de segurança da informação (CID), quer no negócio (ex.: perdas financeiras, danos na imagem e reputacionais).

A necessidade de identificar, analisar, avaliar e tratar este tipo de risco é fundamental perante:

  • Realidade dos ciberataques atuais e do seu elevado impacto nas organizações. Cujos ataques se centram nos principais ativos/componentes dos sistemas de informação, como demonstra o mais recente em Portugal, o do Hospital Central do Funchal – Dr. Nélio Mendonça, entre outros;
  • Obrigatoriedade de cumprir com legislação nacional e europeia (ex. Decreto-Lei n.º 65/2021; Diretiva NIS 2/2022 da União Europeia);
  • Automatização cada vez maior dos processos de negócio, o seu suporte em tecnologias e sistemas de informação e a realidade da cloud;
  • Introdução nas organizações de tecnologias emergentes (ex.: sistemas de aprendizagem automatizada), cujos efeitos ainda não são totalmente claros em termos de segurança da informação e cibersegurança.


Quais as soluções que podem ser adotadas pelas organizações?

Para abordar a gestão do risco de segurança da informação e cibersegurança nas organizações existem várias abordagens, normas, boas práticas, frameworks, modelos e metodologias, que as organizações podem utilizar, como sejam a título exemplificativo: ISO 31000; ISO 31010; ISO/IEC 27005; NIST 800-30; Octave Forte; EBIOS; CRAMM; FAIR; CORAS; COBIT 5 for Risk;  LAVA; DREAD; ENISA (recomendações); IT Security Risks; (xvi) e MAGERIT.

Esta temática, no caso português, é tratada e descrita no “guia para a gestão dos riscos em matérias de segurança da informação e cibersegurança” do Centro Nacional de Cibersegurança.

Nestas abordagens, as principais variáveis a considerar estão identificadas no modelo representado na Figura 1 (Mayer, 2009), que são definidas, embora com ligeiras diferenças e nem sempre coincidentes nas abordagens anteriormente referenciadas, especialmente na norma internacional ISO 31000 e ISO/IEC 27005.


A seleção de uma metodologia ou abordagem de gestão do risco de segurança de informação e cibersegurança por uma organização é uma decisão estratégica. Como tal, deve basear-se em critérios claramente definidos, como, por exemplo: os recursos que são necessários para a sua aplicação; a necessidade de recolha de informação; o custo associado à sua aplicação; o tempo necessário para a preparação e execução; a simplicidade da sua aplicação.

Quais as principais atividades a executar no âmbito da gestão do risco?

Nas abordagens de gestão do risco anteriormente referenciadas, estão identificadas e descritas as principais atividades, das quais se salientam e devem ser preocupação das organizações: a identificação dos riscos; a análise; a avaliação; e o seu tratamento (mitigar, aceitar, transferir ou evitar).

Outras atividades complementares são também importantes, pois contribuem para a eficiência da operação e a integração deste processo no negócio, das quais se salientam a: monitorização; auditoria; revisão; comunicação; e o reportar dos riscos de segurança da informação e cibersegurança.

Daqui se deduz que a dificuldade da implementação de um processo de gestão do risco, certamente, não se deve à inexistência de referenciais de suporte e modelos teóricos, mas sim no assegurar a conceção de um processo que responda realisticamente aoque fazer, porque fazer e como fazer? E que esteja ligado ao negócio.

Fonte: JornalDeNegócios