Como realizar uma análise de riscos
Da página em branco a um registro de riscos que direciona o negócio. Sete passos baseados na ISO 31000 e ISO 27005, escritos para a prática.
By Kim Borg, Founder, RiskNote · Last updated
Por que a maioria das análises de riscos trava antes de começar
Todos sabem que deveria existir uma análise de riscos. O problema raramente é falta de vontade. É que o passo de ”deveríamos fazer uma” até de fato ter uma pronta parece grande demais.
Começa com uma página em branco. O que avaliamos? Quais categorias? Como definimos probabilidade e consequência? De repente passaram três meses e a página continua em branco.
Este guia leva você do início à análise de riscos concluída. Baseado na ISO 31000 e ISO 27005, mas escrito para a prática, não para o livro-texto. Baixe o modelo Excel se quiser acompanhar em seu próprio registro enquanto lê.
Passo 1 — Comece pelos ativos a proteger
Antes de identificar um único risco você precisa saber o que está realmente protegendo. É aqui que a maioria das análises de riscos erra: começa listando ameaças sem entender primeiro o que vale a pena proteger.
Ativos a proteger são aquilo que o negócio não consegue operar sem. Faça um inventário curto: o que acontece se isto desaparecer, for interrompido ou vazar? Essa é sua lista priorizada.
Informação
Dados de clientes, segredos comerciais, dados pessoais.
Disponibilidade
Sistemas críticos, processos, entregas.
Recursos financeiros
Fluxos de receita, ativos, fluxo de caixa.
Marca e confiança
Reputação, relações com clientes, posição de mercado.
Pessoas
Colaboradores, clientes, terceiros.
Conformidade regulatória
Licenças, autorizações, situação legal.
Passo 2 — Definir o escopo
Uma armadilha comum: tentar analisar todo o negócio de uma vez. O resultado fica superficial e inutilizável. Em vez disso, defina claramente o que está incluído, o horizonte temporal e quais partes interessadas são afetadas.
O que está no escopo?
A organização toda, um processo específico, um sistema, uma cadeia de fornecimento? Uma análise delimitada com profundidade vale mais do que uma ampla sem substância.
Qual horizonte temporal?
Os próximos 12 meses, um período de projeto ou um horizonte estratégico de três anos? O prazo define como avaliar probabilidade.
Quais partes interessadas são afetadas?
Direção, colaboradores, clientes, reguladores? Partes interessadas diferentes têm tolerâncias diferentes.
Uma análise de riscos delimitada com profundidade sempre ganha de uma ampla sem substância. Você sempre pode fazer mais.
Passo 3 — Identificar ameaças e riscos
Agora você preenche a página. Separe os conceitos: uma ameaça é o que pode acontecer (ransomware, falha de fornecedor). Uma vulnerabilidade é a fraqueza que torna a ameaça possível (backups inseguros, fornecedor único). Um risco é a combinação de ameaça, vulnerabilidade e consequência para um ativo a proteger.
Trabalhe sistematicamente. Alguns ângulos comprovados:
Por ativo a proteger
O que poderia atingir os dados de clientes? O que derrubaria a disponibilidade? O que ameaça a marca?
Por categoria de ameaça
Cyber, física, pessoal, fornecedor, regulatória, financeira. Garante cobertura ampla.
Por cenário
O que acontece se o servidor cair? Se a pessoa-chave sair? Se um subcontratado falir?
Envolva as pessoas certas. TI não sabe tudo sobre os processos, o negócio não sabe tudo sobre as ameaças. Um workshop com um grupo multidisciplinar sempre vence um analista solitário.
Passo 4 — Avaliar probabilidade e consequência
Aqui os riscos passam de palavras a dados de priorização. Use uma escala adequada ao seu negócio. Uma matriz 5×5 funciona melhor na maioria dos casos.
Defina as escalas antes de começar a avaliar. O que significa de fato ”consequência grave” em reais, tempo parado ou perda de clientes? Sem definições as avaliações ficam arbitrárias e não comparáveis ao longo do tempo.
Probabilidade (1–5) — quão provável dentro do horizonte
1. Improvável
Difícil imaginar como aconteceria.
2. Pouco provável
Pode acontecer, mas não é esperado.
3. Possível
Pode muito bem ocorrer.
4. Provável
Espera-se que ocorra.
5. Muito provável
Ocorre regularmente ou é iminente.
Consequência (1–5) — gravidade se o risco se materializar
1. Insignificante
Mal perceptível.
2. Limitada
Interrupção gerenciável.
3. Moderada
Impacto significativo, mas gerenciável.
4. Grave
Dano material ao negócio.
5. Catastrófica
Ameaça a sobrevivência do negócio.
Passo 5 — Priorizar ações, não só células vermelhas
Um mal-entendido comum: o produto final de uma análise de riscos é a matriz com células vermelhas. Não é. O produto final é uma lista priorizada de ações. Para cada risco identificado, escolha uma estratégia de tratamento.
Estratégias de tratamento
Reduzir
Diminuir probabilidade ou consequência com controles.
Transferir
Seguro, cláusulas contratuais, terceirização.
Aceitar
Risco consciente dentro da tolerância, documentado.
Evitar
Remover a atividade que cria o risco.
Cada ação deve ter
Dono claro
Pessoa nomeada com mandato para conduzir a ação.
Prazo
Data concreta. Não ”em breve” ou ”no outono”.
Resultado mensurável
Como você saberá que a ação funcionou?
Ligação ao risco
Qual risco é endereçado e como a ação afeta P e C?
Priorize ações pelo efeito por esforço, não apenas pelo nível do risco. Um risco médio com solução simples pode ser mais importante tratar primeiro do que um risco alto que exige investimento de três anos.
Passo 6 — Manter a análise viva
Uma análise de riscos arquivada em uma pasta está morta no dia seguinte. A realidade muda: novas ameaças surgem, o negócio evolui, ações são implementadas, a regulação aperta.
Uma análise de riscos funcional é um processo vivo:
Revisão regular
No mínimo anualmente, mais frequente em áreas críticas.
Atualizações por gatilho
Em incidentes, mudanças, novos sistemas, novos fornecedores, novas exigências regulatórias.
Acompanhamento contínuo
Da efetividade e status das ações, não só da lista de riscos.
Dono claro
Alguém que de fato assume manter atualizado.
Para organizações sujeitas à NIS2, ISO 27001 ou similares, uma análise de riscos viva não é apenas uma boa ideia. É um requisito.
Passo 7 — Mapear a frameworks e regulamentações
Se seu negócio está sujeito a exigências específicas, garanta que a análise de riscos as atenda. As mais comuns no contexto europeu:
ISO 31000
Gestão de riscos geral, princípios e framework. Ler o guia ISO 31000.
ISO 27005
Riscos de segurança da informação especificamente.
ISO 27001
Exige avaliação de riscos e plano de tratamento documentados. Ver o guia ISO 27001.
NIS2
Medidas de gestão de riscos para entidades essenciais e importantes. Ler sobre NIS2.
GDPR (DPIA)
Avaliação de impacto para tratamento de dados pessoais. Ver análise de riscos GDPR.
MSBFS 2020:6
Trabalho sistemático de segurança da informação para autoridades públicas suecas.
DORA
Resiliência operacional para o setor financeiro.
A mesma análise de riscos subjacente muitas vezes cobre vários frameworks. Trata-se mais de como é documentada e reportada.
Resumo — os sete passos
1. Começar pelos ativos a proteger
Saiba o que você está realmente protegendo.
2. Definir o escopo
Profundidade ganha de amplitude.
3. Identificar ameaças e riscos
Sistemático, multidisciplinar.
4. Avaliar probabilidade e consequência
Com escalas definidas.
5. Priorizar ações
Não células vermelhas, mas efeito por esforço.
6. Manter a análise viva
Regularmente e por gatilho.
7. Mapear a frameworks
Onde for necessário.
Perguntas frequentes sobre análise de riscos
Quanto tempo leva uma análise de riscos?
Para uma PME, meio dia de trabalho basta para a primeira rodada: 2–4 horas para identificação e avaliação, mais 1–2 horas para o plano de ação. Organizações maiores ou áreas que exigem workshops: conte com 2–5 dias de trabalho no total.
Qual a diferença entre análise de riscos e avaliação de riscos?
Análise de riscos é todo o processo: identificar, analisar, avaliar, tratar, monitorar. Avaliação de riscos costuma ser um subconjunto, a avaliação em si de probabilidade e consequência. Na prática os termos são usados como sinônimos, mas a ISO 31000 os separa.
Precisamos usar uma matriz 5×5?
Não. A ISO 31000 é agnóstica quanto ao tamanho da matriz. 5×5 é a prática comum porque 3×3 é grosseira demais (apenas 9 combinações) e 7×7 complexa demais. Algumas organizações usam categorias qualitativas em vez disso. O importante é que a escala seja consistente e definida de antemão.
Todas as análises precisam ser em workshop?
Não, mas análises feitas por uma pessoa quase sempre ficam mais estreitas. Um grupo multidisciplinar de 3–6 pessoas captura riscos que um analista solitário perde. Um workshop não precisa ser um dia inteiro. 90 minutos por rodada rendem bastante se for preparado.
Com que frequência a análise de riscos deve ser atualizada?
Riscos operacionais trimestralmente, estratégicos anualmente. Riscos de projeto atualizam por sprint ou reunião de comitê. Em incidentes, grandes mudanças (novo fornecedor, troca de sistema, mudança regulatória) sempre uma nova rodada. NIS2 e ISO 27001 exigem revisão regular documentada.
Quem deve ser dono da análise de riscos?
A direção detém o processo e a tolerância a risco. Um responsável de riscos designado (muitas vezes CISO, CFO ou COO em empresas menores) é responsável por manter a análise viva. Cada risco individual deve ter um dono nomeado com mandato para conduzir ações.
More guides
Da página em branco ao registro de riscos em 20 minutos
É exatamente para isso que o RiskNote foi construído. Descreva o negócio, a IA sugere riscos relevantes, e você tem um registro estruturado com matriz 5×5 no tempo de tomar um café. Depois refina junto com o negócio.