Como fazer uma análise de riscos

Uma análise de riscos é um método estruturado para identificar, avaliar e priorizar riscos que podem afetar os objetivos, ativos ou funções de uma organização. O objetivo é fornecer uma base para decisões bem fundamentadas sobre como os riscos devem ser tratados — reduzindo, transferindo, aceitando ou evitando-os.

Uma análise de riscos completa contém seis componentes essenciais:

• Ativos protegidos

  O que precisa ser protegido — informações, pessoas, finanças, marca, disponibilidade.

• Ameaças e vulnerabilidades

  O que pode dar errado — de ataques cibernéticos e falhas de fornecedores a escassez de pessoal.

• Avaliação de probabilidade

  Qual a probabilidade de algo acontecer, com base em histórico e contexto.

• Avaliação de consequências

  Qual será a gravidade do resultado, expressa em termos mensuráveis (dinheiro, tempo de inatividade, perda de clientes).

• Avaliação do risco

  Combinação de probabilidade e consequência em relação à tolerância a risco da organização.

• Plano de ação

  O que será feito — com responsável, prazo e acompanhamento.

A análise de riscos é a base do trabalho sistemático de segurança em frameworks como ISO 31000, ISO 27005, NIS2, GDPR e ISO 27001. Em alguns contextos (especialmente saúde e segurança ocupacional), o processo é chamado de avaliação de riscos — os termos são frequentemente usados como sinônimos.

A análise de riscos é importante por três razões.

Conformidade regulatória. NIS2, GDPR, ISO 27001, DORA e regulamentos similares exigem gestão de riscos documentada. Sem uma análise de riscos, a organização não consegue demonstrar que o trabalho de segurança é sistemático.

Priorização de recursos. Nenhuma organização tem um orçamento ilimitado para segurança. A análise de riscos mostra quais riscos realmente merecem ser tratados primeiro — com base em probabilidade, consequência e custo da ação.

Suporte à decisão para a liderança. Uma análise de riscos traduz riscos técnicos e operacionais em uma linguagem que a direção e o conselho podem usar para tomar decisões. Ela transforma segurança em uma questão de negócio, não apenas de TI.

Uma versão condensada do método estruturado. Cada etapa contém um link para um artigo aprofundado.

• Etapa 1 — Identificar os ativos protegidos

  Comece listando o que a organização realmente precisa proteger: informações, disponibilidade, ativos financeiros, marca, pessoas, conformidade. Sem ativos protegidos, a análise de riscos se torna um exercício abstrato. Leia mais: Identificando ativos protegidos →

• Etapa 2 — Definir o escopo

  Decida claramente o que está no escopo — toda a organização, um processo específico, um sistema, uma cadeia de suprimentos. Defina o horizonte temporal e as partes interessadas envolvidas. Leia mais: Escopo e limites →

• Etapa 3 — Identificar ameaças e riscos

  Trabalho sistemático e multifuncional. Percorra as ameaças por ativo protegido, por categoria de ameaça (cibernética, física, pessoal, fornecedor, regulatória) e por cenário. Envolva tanto a TI quanto o negócio. Leia mais: Identificando ameaças e riscos →

• Etapa 4 — Avaliar probabilidade e consequência

  Use uma matriz 5×5 com escalas claramente definidas. Defina o que cada nível significa na prática — em dinheiro, tempo de inatividade, perda de clientes ou outra unidade mensurável. Leia mais: Probabilidade e consequência →

• Etapa 5 — Priorizar ações

  O produto final não são células vermelhas na matriz — é uma lista priorizada de ações. Escolha uma estratégia por risco: reduzir, transferir, aceitar ou evitar. Priorize pelo efeito por esforço. Leia mais: Priorizando ações além da matriz →

• Etapa 6 — Manter a análise ativa

  Uma análise de riscos não é um projeto único. Revise regularmente e atualize em caso de incidentes, mudanças e novos requisitos regulatórios. A responsabilidade clara é essencial. Leia mais: Mantendo a análise ativa →

• Etapa 7 — Mapear para frameworks

  Certifique-se de que a análise de riscos atende aos requisitos dos frameworks aplicáveis — ISO 27001, NIS2, GDPR, DORA ou outros. Leia mais: Análise de riscos e conformidade →

[Leia o guia principal completo passo a passo →](/guide/genomfora-riskanalys)

Diferentes frameworks impõem diferentes requisitos sobre como uma análise de riscos deve ser conduzida e documentada.

• ISO 31000 — Gestão de riscos geral

  Norma internacional para gestão de riscos em nível abrangente. Define princípios, framework e processo. Utilizada como base para outras normas. Saiba mais sobre ISO 31000 →

• ISO 27005 — Riscos de segurança da informação

  Focada especificamente em riscos relacionados à segurança da informação. Complementa a ISO 27001 e fornece metodologia detalhada para avaliação de riscos.

• ISO 27001 — Gestão de segurança da informação

  Exige avaliação de riscos documentada e plano de tratamento de riscos. A análise de riscos é parte central da certificação. Saiba mais sobre ISO 27001 →

• Diretiva NIS2

  Legislação sueca em vigor desde 2025. Exige medidas de gestão de riscos para entidades essenciais e importantes em infraestruturas críticas, saúde, administração pública e mais. Saiba mais sobre NIS2 →

• GDPR e DPIA

  Quando o tratamento de dados pessoais envolve alto risco, deve ser realizada uma avaliação de impacto sobre a proteção de dados (DPIA) — um tipo específico de análise de riscos. Saiba mais sobre análise de riscos GDPR →

• DORA — Digital Operational Resilience Act

  Regula a resiliência operacional digital do setor financeiro na UE. Exige gestão abrangente de riscos de TIC.

• MSBFS 2020:6

  Regulamentos da Agência Sueca de Contingências Civis sobre trabalho sistemático de segurança da informação para autoridades estatais.

[Qual framework se aplica à sua organização? →](/guide/genomfora-riskanalys#step-7)

Uma análise de riscos madura distingue três medidas de risco por risco. Estes são os termos que auditores de ISO 27001 e conselhos esperam ver:

• Risco bruto (risco inerente)

  O risco sem nenhum controle ou tratamento. Qual seria o pior cenário possível? Essencial para justificar investimentos.

• Risco líquido / risco residual

  O risco após os controles existentes serem considerados. Este é o valor comparado com a tolerância a risco da organização.

• Risco-alvo

  O nível que se pretende alcançar após os tratamentos planejados. A diferença entre o risco líquido e o risco-alvo mostra se as ações planejadas são suficientes.

Por que isso importa? Um risco com alto risco bruto, mas baixo risco líquido (graças a controles robustos) requer manutenção dos controles, não novos tratamentos. Leia mais no guia de registro de riscos →

Dois recursos que aceleram o processo — um modelo gratuito em Excel e o aplicativo RiskNote.

• Modelo de análise de riscos para download (Excel)

  Um modelo estruturado em Excel com matriz 5×5, inventário de ativos protegidos e lista de ações — construído conforme a ISO 31000. Download gratuito, sem necessidade de cadastro. Baixe o modelo →

• RiskNote — Análise de riscos com IA em 20 minutos

  Aplicativo móvel que guia você pela análise de riscos. Você descreve o negócio, a IA sugere riscos relevantes com base no setor e nos ativos protegidos, e você obtém um registro de riscos estruturado com matriz 5×5 em 20 minutos. Compatível com NIS2, GDPR, ISO 27001 e ISO 31000. Disponível para iOS e Android, em 11 idiomas. Saiba mais sobre o RiskNote →

Material detalhado para cada etapa do método.

• Identificando ativos protegidos

  O que realmente precisa ser protegido — e como evitar deixar de lado ativos críticos, porém invisíveis. Leia o aprofundamento →

• Escopo e limites na análise de riscos

  Como estabelecer limites claros sem ignorar dependências. Leia o aprofundamento →

• Identificando ameaças e riscos

  Método multifuncional com quatro perspectivas: ativo, categoria de ameaça, cenário, cadeia de suprimentos. Leia o aprofundamento →

• Probabilidade e consequência — escalas que funcionam

  Como definir os níveis da matriz 5×5 em termos mensuráveis que você pode defender. Leia o aprofundamento →

• Priorizando ações além da matriz

  Por que células vermelhas não são um plano de ação — e como obter o máximo de efeito por esforço. Leia o aprofundamento →

• Mantendo a análise de riscos ativa

  Ciclos de revisão, responsabilidade e gatilhos que mantêm a análise fora de uma gaveta. Leia o aprofundamento →

• Análise de riscos e conformidade

  Como mapear a análise para ISO 27001, NIS2, GDPR e DORA sem retrabalho. Leia o aprofundamento →

Análise de riscos não é sobre preencher uma planilha em branco com categorias. É sobre compreender — de forma estruturada — o que a organização precisa proteger, o que pode dar errado e quais ações geram mais efeito por esforço.

O método tem sete etapas: ativos protegidos → escopo → ameaças e riscos → avaliação → priorização de ações → acompanhamento contínuo → mapeamento de frameworks.

Ferramentas como o RiskNote tornam o método acessível a mais pessoas — sem substituir o julgamento humano.

Método primeiro. Ferramentas depois. Segurança sempre.

Dúvidas sobre análise de riscos, ou quer discutir como o RiskNote se encaixa na sua organização? Fale conosco →