Gestão de Riscos de Segurança da Informação: como identificar, avaliar e tratar
- Mainsafe
- há 7 dias
- 4 min de leitura
Entenda como aplicar a ISO 27005 para proteger informações e fortalecer a conformidade com a LGPD e a ISO 27001
A gestão de riscos de segurança da informação é o coração de um sistema de proteção eficaz.Ela permite que as organizações antecipem ameaças, reduzam vulnerabilidades e adotem controles proporcionais aos riscos reais.
Na prática, a gestão de riscos é o elo entre a LGPD, que exige medidas preventivas, e a ISO 27001, que define o sistema de gestão da segurança da informação (SGSI).A norma que detalha esse processo é a ISO/IEC 27005, referência mundial para identificar, analisar, avaliar e tratar riscos relacionados à informação.
O que é gestão de riscos de segurança da informação
De acordo com a ISO 27005, gestão de riscos é o processo sistemático de identificar, analisar, avaliar e tratar riscos que possam comprometer a confidencialidade, integridade e disponibilidade das informações.
Em outras palavras, é entender quais eventos podem ocorrer, quais danos podem causar e como evitá-los ou mitigá-los.
A norma reforça que a gestão de riscos deve ser contínua, documentada e alinhada à estratégia do negócio — não se trata de um projeto pontual, mas de um processo permanente de governança.
Etapas da gestão de riscos segundo a ISO 27005
A norma propõe um ciclo estruturado de seis etapas principais, que se integra diretamente ao ciclo PDCA da ISO 27001:
Etapa | Descrição | Objetivo |
1. Contexto e escopo | Definir limites, ativos protegidos e objetivos de segurança. | Garantir foco e relevância do processo. |
2. Identificação de riscos | Identificar ativos, ameaças, vulnerabilidades e impactos. | Mapear o que pode comprometer a segurança. |
3. Análise de riscos | Avaliar probabilidade e impacto de cada risco identificado. | Estimar o nível de risco (baixo, médio, alto). |
4. Avaliação de riscos | Comparar riscos com critérios definidos (tolerância, apetite). | Decidir quais riscos exigem tratamento. |
5. Tratamento de riscos | Selecionar e implementar controles (ISO 27001 Anexo A). | Reduzir riscos a níveis aceitáveis. |
6. Aceitação e monitoramento | Registrar decisões, revisar e acompanhar periodicamente. | Assegurar melhoria contínua e rastreabilidade. |
Esse modelo é cíclico — a cada auditoria ou mudança no ambiente de TI, o ciclo recomeça com base nas lições aprendidas.
Etapa 1: Identificar riscos — o ponto de partida
A identificação de riscos começa com o inventário de ativos de informação:
Pessoas, processos, sistemas, bancos de dados, equipamentos, redes e documentos.
Para cada ativo, devem ser identificadas:
Ameaças (como ataques, erros humanos, falhas físicas, desastres naturais);
Vulnerabilidades (brechas técnicas, falta de políticas, ausência de backups);
Impactos (perda financeira, vazamento, indisponibilidade, dano à reputação).
💡 Exemplo prático:
Ativo: servidor de e-mail
Ameaça: phishing e roubo de credenciaisVulnerabilidade: ausência de autenticação multifator (MFA)
Impacto: vazamento de dados de clientes e bloqueio de comunicações
Etapa 2: Analisar e avaliar riscos
Após identificar os riscos, é hora de avaliar a probabilidade de ocorrência e o impacto potencial.A combinação desses dois fatores define o nível de risco, geralmente classificado em:
Baixo: risco aceitável;
Médio: requer monitoramento;
Alto: exige tratamento imediato.
A ISO 27005 recomenda o uso de matrizes de risco visuais e documentadas.
Etapa 3: Tratar riscos
Depois de avaliar, é preciso decidir o que fazer com cada risco.
As opções de tratamento previstas pela norma são:
Evitar o risco: eliminar a causa (ex.: desligar um serviço vulnerável).
Reduzir o risco: aplicar controles técnicos e administrativos (ex.: implementar firewall, política de senhas, conscientização).
Transferir o risco: contratar seguro cibernético ou terceirizar um serviço especializado.
Aceitar o risco: quando o custo do controle for maior que o impacto potencial.
A norma ISO 27001, em seu Anexo A, fornece uma lista de controles aplicáveis — e o RIPD (Relatório de Impacto à Proteção de Dados) pode ser integrado a essa fase para tratar riscos ligados à LGPD.
Etapa 4: Monitorar e revisar riscos
A gestão de riscos é um processo vivo.
A ISO 27005 exige que as organizações revisem periodicamente:
Mudanças tecnológicas;
Incidentes de segurança e lições aprendidas;
Novas regulamentações (como guias da ANPD);
Resultados de auditorias internas.
Essas revisões garantem melhoria contínua, permitindo ajustar controles e reforçar políticas preventivas.
Relação entre gestão de riscos, LGPD e ISO 27001
A LGPD (art. 46 e 50) determina que empresas adotem medidas de segurança proporcionais aos riscos — exatamente o que a ISO 27005 operacionaliza.
LGPD | ISO 27005 | ISO 27001 |
Art. 46 – Segurança e prevenção | Identificação e análise de riscos | Implementação de controles |
Art. 50 – Boas práticas | Revisão e melhoria contínua | Política e auditoria |
Art. 48 – Comunicação de incidentes | Avaliação de impacto e resposta | Procedimentos de tratamento |
Implementar a ISO 27005 é, portanto, a forma mais prática de demonstrar conformidade com a LGPD e com os princípios de responsabilização e prevenção exigidos pela ANPD.
Como o DPONOTE e a MainSafe podem ajudar
O DPONOTE automatiza todo o ciclo da ISO 27005, permitindo:
Cadastro de ativos, ameaças e vulnerabilidades;
Associação com controles ISO 27001 e relatórios LGPD (RoPA, RIPD);
Registro de responsáveis e planos de ação;
Relatórios para auditorias internas e externas.
MainSafe – Consultoria e auditoria ISO
Implementação completa da ISO 27001
Diagnóstico e plano de tratamento de riscos;
Auditorias de conformidade e acompanhamento da LGPD;
Treinamentos corporativos e capacitação de equipes.
Comentários