botbook/docs/chapter-09-Risk Management.md

---
title: 9. Gestão de Riscos
sidebar_label: 9. Gestão de Riscos
sidebar_position: 9
---

# 9. Gestão de Riscos

## 9.1 Introdução à Gestão de Riscos

A gestão de riscos é um componente fundamental do framework de compliance da Pragmatismo, permitindo à organização identificar, avaliar e mitigar riscos que possam afetar seus objetivos de negócio, a segurança de seus ativos de informação e a conformidade com requisitos regulatórios. Este capítulo estabelece diretrizes e procedimentos para uma gestão eficaz dos riscos relacionados à segurança da informação e privacidade de dados.

### 9.1.1 Objetivos da Gestão de Riscos

1. Identificar ameaças e vulnerabilidades que possam afetar os ativos de informação da Pragmatismo.
2. Avaliar o impacto potencial e a probabilidade de ocorrência dos riscos identificados.
3. Implementar controles adequados para mitigar riscos a níveis aceitáveis.
4. Monitorar continuamente a eficácia dos controles implementados.
5. Garantir a conformidade com requisitos de ISO 27001, HIPAA e LGPD.

### 9.1.2 Escopo da Gestão de Riscos

A gestão de riscos na Pragmatismo abrange:

1. **Riscos de Segurança da Informação**: Relacionados à confidencialidade, integridade e disponibilidade das informações.
2. **Riscos de Privacidade**: Relacionados à proteção de dados pessoais e conformidade com regulamentações.
3. **Riscos Operacionais**: Relacionados à continuidade dos processos de negócio e operações de TI.
4. **Riscos de Terceiros**: Relacionados a fornecedores, parceiros e prestadores de serviços.
5. **Riscos de Desenvolvimento**: Relacionados ao ciclo de vida de desenvolvimento do General Bots e outros produtos.

## 9.2 Framework de Gestão de Riscos

### 9.2.1 Metodologia de Avaliação de Riscos

A Pragmatismo adota uma metodologia estruturada para avaliação de riscos, baseada nas melhores práticas da ISO 27005 e NIST SP 800-30, compreendendo as seguintes etapas:

1. **Identificação do Contexto**: Estabelecimento do contexto interno e externo, incluindo objetivos de negócio e requisitos regulatórios.
2. **Identificação de Riscos**: Levantamento sistemático de ameaças e vulnerabilidades que possam afetar os ativos de informação.
3. **Análise de Riscos**: Avaliação da probabilidade e impacto potencial de cada risco identificado.
4. **Avaliação de Riscos**: Priorização dos riscos com base em sua criticidade.
5. **Tratamento de Riscos**: Seleção e implementação de controles para mitigar riscos.
6. **Monitoramento e Revisão**: Acompanhamento contínuo da eficácia dos controles implementados.
7. **Comunicação e Consulta**: Comunicação regular com partes interessadas sobre riscos e tratamentos.

### 9.2.2 Critérios de Avaliação de Riscos

#### 9.2.2.1 Escala de Probabilidade

| Nível | Classificação | Descrição |
|-------|--------------|-----------|
| 1 | Raro | Pode ocorrer apenas em circunstâncias excepcionais; menos de uma vez a cada 5 anos |
| 2 | Improvável | Não é esperado que ocorra; uma vez a cada 2-5 anos |
| 3 | Possível | Pode ocorrer em algum momento; uma vez a cada 1-2 anos |
| 4 | Provável | Provavelmente ocorrerá; uma vez por ano |
| 5 | Quase certo | Espera-se que ocorra na maioria das circunstâncias; várias vezes ao ano |

#### 9.2.2.2 Escala de Impacto

| Nível | Classificação | Descrição |
|-------|--------------|-----------|
| 1 | Insignificante | Impacto mínimo na operação; sem danos financeiros ou reputacionais |
| 2 | Menor | Interrupção de curto prazo; pequeno impacto financeiro ou reputacional |
| 3 | Moderado | Interrupção significativa; impacto financeiro ou reputacional moderado |
| 4 | Maior | Operações severamente prejudicadas; grande impacto financeiro ou reputacional |
| 5 | Catastrófico | Falha crítica das operações; impacto financeiro ou reputacional grave |

#### 9.2.2.3 Matriz de Risco

| Probabilidade/Impacto | Insignificante (1) | Menor (2) | Moderado (3) | Maior (4) | Catastrófico (5) |
|-----------------------|---------------------|----------|--------------|-----------|------------------|
| Quase certo (5) | Médio (5) | Alto (10) | Alto (15) | Extremo (20) | Extremo (25) |
| Provável (4) | Médio (4) | Médio (8) | Alto (12) | Alto (16) | Extremo (20) |
| Possível (3) | Baixo (3) | Médio (6) | Médio (9) | Alto (12) | Alto (15) |
| Improvável (2) | Baixo (2) | Baixo (4) | Médio (6) | Médio (8) | Alto (10) |
| Raro (1) | Baixo (1) | Baixo (2) | Baixo (3) | Médio (4) | Médio (5) |

#### 9.2.2.4 Níveis de Aceitação de Risco

| Nível de Risco | Classificação | Ação Requerida |
|----------------|--------------|----------------|
| 1-3 | Baixo | Aceitar o risco; gerenciar por procedimentos de rotina |
| 4-9 | Médio | Implementar controles básicos; monitorar regularmente |
| 10-16 | Alto | Implementar controles robustos; monitorar ativamente |
| 17-25 | Extremo | Ação imediata requerida; monitoramento contínuo |

### 9.2.3 Opções de Tratamento de Riscos

A Pragmatismo considera as seguintes opções para tratamento de riscos:

1. **Mitigar**: Implementar controles para reduzir a probabilidade ou o impacto do risco.
2. **Transferir**: Compartilhar o risco com terceiros, como seguradoras ou parceiros.
3. **Evitar**: Eliminar a atividade ou processo que gera o risco.
4. **Aceitar**: Aceitar o risco sem ação adicional, quando o custo do tratamento supera o benefício.

## 9.3 Processo de Avaliação de Riscos

### 9.3.1 Identificação de Ativos

Todos os ativos de informação relevantes devem ser identificados e registrados no Inventário de Ativos, incluindo:

1. **Ativos de Informação**: Dados, bases de dados, documentação.
2. **Ativos de Software**: Aplicações, sistemas, ferramentas.
3. **Ativos Físicos**: Servidores, computadores, dispositivos de rede.
4. **Serviços**: Serviços de TI, utilities, outros serviços de suporte.
5. **Pessoal**: Equipes, habilidades, experiência.

### 9.3.2 Identificação de Ameaças e Vulnerabilidades

As ameaças e vulnerabilidades relevantes devem ser identificadas para cada ativo ou grupo de ativos, considerando:

1. **Ameaças Naturais**: Incêndios, inundações, terremotos.
2. **Ameaças Humanas**: Erro humano, ações maliciosas, engenharia social.
3. **Ameaças Técnicas**: Falhas de hardware/software, malware, hacking.
4. **Vulnerabilidades Técnicas**: Falhas de configuração, sistemas desatualizados, bugs de software.
5. **Vulnerabilidades Organizacionais**: Processos inadequados, falta de treinamento, controles insuficientes.

### 9.3.3 Análise e Avaliação de Riscos

Para cada combinação de ameaça e vulnerabilidade, deve-se:

1. Avaliar a probabilidade de ocorrência com base em dados históricos, relatórios de inteligência de ameaças e experiência da equipe.
2. Avaliar o potencial impacto nos negócios, considerando aspectos financeiros, operacionais, reputacionais e legais.
3. Calcular o nível de risco multiplicando a pontuação de probabilidade pela pontuação de impacto.
4. Priorizar os riscos com base em sua classificação.

### 9.3.4 Plano de Tratamento de Riscos

Para cada risco identificado, deve ser desenvolvido um plano de tratamento que inclua:

1. **Descrição do Risco**: Detalhes sobre o risco, incluindo ativos afetados, ameaças e vulnerabilidades.
2. **Nível de Risco**: Classificação do risco antes do tratamento.
3. **Opção de Tratamento**: Mitigar, transferir, evitar ou aceitar.
4. **Controles Selecionados**: Descrição dos controles a serem implementados.
5. **Responsável**: Pessoa ou equipe responsável pela implementação do controle.
6. **Prazo**: Data limite para implementação do controle.
7. **Recursos Necessários**: Recursos financeiros, humanos ou técnicos necessários.
8. **Risco Residual**: Nível de risco esperado após a implementação dos controles.

### 9.3.5 Implementação de Controles

Os controles selecionados devem ser implementados conforme o plano de tratamento de riscos, considerando:

1. **Controles Preventivos**: Para reduzir a probabilidade de ocorrência do risco.
2. **Controles Detectivos**: Para identificar rapidamente quando um risco se materializa.
3. **Controles Corretivos**: Para minimizar o impacto quando um risco se materializa.
4. **Controles Compensatórios**: Para compensar fraquezas em outros controles.

## 9.4 Monitoramento e Revisão de Riscos

### 9.4.1 Monitoramento Contínuo

O monitoramento contínuo de riscos deve incluir:

1. **Monitoramento de Indicadores**: Acompanhamento de indicadores-chave de risco (KRIs).
2. **Auditorias Internas**: Verificação regular da eficácia dos controles implementados.
3. **Testes de Vulnerabilidade**: Realização de varreduras e testes de penetração periódicos.
4. **Revisão de Incidentes**: Análise de incidentes de segurança para identificar novas ameaças ou vulnerabilidades.
5. **Feedback de Stakeholders**: Coleta de feedback de colaboradores, clientes e parceiros.

### 9.4.2 Revisão Periódica

O processo de gestão de riscos deve ser revisado periodicamente para garantir sua eficácia:

1. **Revisão Anual Completa**: Reavaliação completa do perfil de risco da organização.
2. **Revisões Específicas**: Quando ocorrerem mudanças significativas no ambiente de negócios, tecnologia ou requisitos regulatórios.
3. **Revisão Pós-Incidente**: Após incidentes significativos de segurança ou privacidade.

### 9.4.3 Melhoria Contínua

O processo de gestão de riscos deve ser continuamente melhorado com base em:

1. **Lições Aprendidas**: Experiências de incidentes passados e exercícios de simulação.
2. **Novas Ameaças**: Inteligência de ameaças e informações sobre novas vulnerabilidades.
3. **Evolução Tecnológica**: Novas tecnologias e ferramentas de segurança.
4. **Feedback de Auditoria**: Resultados de auditorias internas e externas.

## 9.5 Requisitos Específicos de Regulamentações

### 9.5.1 ISO 27001

Para conformidade com ISO 27001, a gestão de riscos deve:

1. Ser parte integrante do Sistema de Gestão de Segurança da Informação (SGSI).
2. Ser documentada, incluindo metodologia, critérios e resultados.
3. Ser aprovada pela Alta Direção.
4. Ser revisada e atualizada periodicamente.

### 9.5.2 HIPAA

Para conformidade com HIPAA, a gestão de riscos deve:

1. Incluir uma avaliação abrangente de riscos à confidencialidade, integridade e disponibilidade de informações de saúde eletrônicas (ePHI).
2. Documentar ameaças e vulnerabilidades que podem comprometer ePHI.
3. Implementar medidas de segurança para reduzir riscos a um nível razoável e apropriado.
4. Ser revisada e atualizada regularmente.

### 9.5.3 LGPD

Para conformidade com LGPD, a gestão de riscos deve:

1. Incluir avaliação de riscos específicos ao tratamento de dados pessoais.
2. Considerar o impacto potencial aos direitos e liberdades dos titulares de dados.
3. Implementar medidas técnicas e organizacionais para proteger os dados pessoais.
4. Incluir a realização de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) para tratamentos de alto risco.

## 9.6 Papéis e Responsabilidades na Gestão de Riscos

### 9.6.1 Alta Direção

1. Aprovar a política de gestão de riscos e definir o apetite a risco da organização.
2. Fornecer recursos adequados para a implementação eficaz da gestão de riscos.
3. Revisar regularmente os relatórios de gestão de riscos e aprovar planos de tratamento para riscos altos e extremos.

### 9.6.2 Comitê de Segurança da Informação

1. Supervisionar o processo de gestão de riscos.
2. Revisar e aprovar os resultados da avaliação de riscos.
3. Monitorar a implementação de planos de tratamento de riscos.
4. Relatar o status da gestão de riscos para a Alta Direção.

### 9.6.3 Oficial de Segurança da Informação (CISO)

1. Desenvolver e manter a metodologia de gestão de riscos.
2. Coordenar e facilitar o processo de avaliação de riscos.
3. Garantir que os controles implementados sejam eficazes.
4. Preparar relatórios de gestão de riscos para o Comitê de Segurança da Informação e Alta Direção.

### 9.6.4 Encarregado de Proteção de Dados (DPO)

1. Garantir que os riscos relacionados à privacidade de dados sejam adequadamente identificados e avaliados.
2. Assessorar na implementação de controles de privacidade.
3. Monitorar a conformidade com requisitos de privacidade de dados.

### 9.6.5 Proprietários de Ativos/Processos

1. Participar ativamente do processo de avaliação de riscos para seus ativos ou processos.
2. Implementar controles conforme definido nos planos de tratamento de riscos.
3. Monitorar e relatar riscos emergentes.

### 9.6.6 Todos os Colaboradores

1. Estar ciente dos riscos relacionados às suas atividades.
2. Seguir procedimentos e controles de segurança estabelecidos.
3. Relatar incidentes, ameaças ou vulnerabilidades identificadas.

## 9.7 Documentação da Gestão de Riscos

### 9.7.1 Documentos Obrigatórios

1. **Política de Gestão de Riscos**: Definindo abordagem, metodologia e responsabilidades.
2. **Critérios de Avaliação de Riscos**: Definindo escalas e critérios de aceitação.
3. **Registro de Riscos**: Documentando todos os riscos identificados e sua avaliação.
4. **Planos de Tratamento de Riscos**: Detalhando ações para mitigar, transferir, evitar ou aceitar riscos.
5. **Relatórios de Avaliação de Riscos**: Resumindo os resultados do processo de avaliação de riscos.
6. **Relatórios de Impacto à Proteção de Dados**: Para tratamentos de dados que envolvam alto risco.

### 9.7.2 Retenção de Documentos

Todos os documentos relacionados à gestão de riscos devem ser mantidos por pelo menos 5 anos, ou mais se exigido por regulamentações específicas.

## 9.8 Avaliação de Riscos de Terceiros

### 9.8.1 Processo de Avaliação

1. **Pré-contratação**: Avaliação de riscos antes da contratação de novos fornecedores ou parceiros.
2. **Avaliação Periódica**: Reavaliação de riscos de terceiros existentes pelo menos anualmente.
3. **Mudanças Significativas**: Reavaliação quando houver mudanças significativas no relacionamento ou no ambiente de risco.

### 9.8.2 Critérios de Avaliação

1. **Tipo de Acesso**: Nível de acesso a sistemas e dados da Pragmatismo.
2. **Dados Processados**: Sensibilidade e volume de dados processados pelo terceiro.
3. **Criticidade**: Importância do serviço para as operações da Pragmatismo.
4. **Maturidade de Segurança**: Nível de maturidade das práticas de segurança do terceiro.
5. **Conformidade Regulatória**: Conformidade do terceiro com requisitos legais e regulatórios relevantes.

### 9.8.3 Controles para Terceiros

1. **Cláusulas Contratuais**: Inclusão de cláusulas de segurança e privacidade em contratos.
2. **Acordos de Nível de Serviço (SLAs)**: Definição de requisitos de segurança e privacidade.
3. **Direito de Auditoria**: Direito de auditar as práticas de segurança do terceiro.
4. **Compromisso de Notificação**: Obrigação de notificar incidentes de segurança.
5. **Certificações e Relatórios**: Requisito de fornecer certificações de segurança ou relatórios de auditoria.

---

*Última atualização: 11 de maio de 2025*
chore: remove unused images and documentation files; add new CSS module for styling 2025-05-11 16:12:19 -03:00			`---`
			`title: 9. Gestão de Riscos`
			`sidebar_label: 9. Gestão de Riscos`
			`sidebar_position: 9`
			`---`

			`# 9. Gestão de Riscos`

			`## 9.1 Introdução à Gestão de Riscos`

			`A gestão de riscos é um componente fundamental do framework de compliance da Pragmatismo, permitindo à organização identificar, avaliar e mitigar riscos que possam afetar seus objetivos de negócio, a segurança de seus ativos de informação e a conformidade com requisitos regulatórios. Este capítulo estabelece diretrizes e procedimentos para uma gestão eficaz dos riscos relacionados à segurança da informação e privacidade de dados.`

			`### 9.1.1 Objetivos da Gestão de Riscos`

			`1. Identificar ameaças e vulnerabilidades que possam afetar os ativos de informação da Pragmatismo.`
			`2. Avaliar o impacto potencial e a probabilidade de ocorrência dos riscos identificados.`
			`3. Implementar controles adequados para mitigar riscos a níveis aceitáveis.`
			`4. Monitorar continuamente a eficácia dos controles implementados.`
			`5. Garantir a conformidade com requisitos de ISO 27001, HIPAA e LGPD.`

			`### 9.1.2 Escopo da Gestão de Riscos`

			`A gestão de riscos na Pragmatismo abrange:`

			`1. Riscos de Segurança da Informação: Relacionados à confidencialidade, integridade e disponibilidade das informações.`
			`2. Riscos de Privacidade: Relacionados à proteção de dados pessoais e conformidade com regulamentações.`
			`3. Riscos Operacionais: Relacionados à continuidade dos processos de negócio e operações de TI.`
			`4. Riscos de Terceiros: Relacionados a fornecedores, parceiros e prestadores de serviços.`
			`5. Riscos de Desenvolvimento: Relacionados ao ciclo de vida de desenvolvimento do General Bots e outros produtos.`

			`## 9.2 Framework de Gestão de Riscos`

			`### 9.2.1 Metodologia de Avaliação de Riscos`

			`A Pragmatismo adota uma metodologia estruturada para avaliação de riscos, baseada nas melhores práticas da ISO 27005 e NIST SP 800-30, compreendendo as seguintes etapas:`

			`1. Identificação do Contexto: Estabelecimento do contexto interno e externo, incluindo objetivos de negócio e requisitos regulatórios.`
			`2. Identificação de Riscos: Levantamento sistemático de ameaças e vulnerabilidades que possam afetar os ativos de informação.`
			`3. Análise de Riscos: Avaliação da probabilidade e impacto potencial de cada risco identificado.`
			`4. Avaliação de Riscos: Priorização dos riscos com base em sua criticidade.`
			`5. Tratamento de Riscos: Seleção e implementação de controles para mitigar riscos.`
			`6. Monitoramento e Revisão: Acompanhamento contínuo da eficácia dos controles implementados.`
			`7. Comunicação e Consulta: Comunicação regular com partes interessadas sobre riscos e tratamentos.`

			`### 9.2.2 Critérios de Avaliação de Riscos`

			`#### 9.2.2.1 Escala de Probabilidade`

			`\| Nível \| Classificação \| Descrição \|`
			`\|-------\|--------------\|-----------\|`
			`\| 1 \| Raro \| Pode ocorrer apenas em circunstâncias excepcionais; menos de uma vez a cada 5 anos \|`
			`\| 2 \| Improvável \| Não é esperado que ocorra; uma vez a cada 2-5 anos \|`
			`\| 3 \| Possível \| Pode ocorrer em algum momento; uma vez a cada 1-2 anos \|`
			`\| 4 \| Provável \| Provavelmente ocorrerá; uma vez por ano \|`
			`\| 5 \| Quase certo \| Espera-se que ocorra na maioria das circunstâncias; várias vezes ao ano \|`

			`#### 9.2.2.2 Escala de Impacto`

			`\| Nível \| Classificação \| Descrição \|`
			`\|-------\|--------------\|-----------\|`
			`\| 1 \| Insignificante \| Impacto mínimo na operação; sem danos financeiros ou reputacionais \|`
			`\| 2 \| Menor \| Interrupção de curto prazo; pequeno impacto financeiro ou reputacional \|`
			`\| 3 \| Moderado \| Interrupção significativa; impacto financeiro ou reputacional moderado \|`
			`\| 4 \| Maior \| Operações severamente prejudicadas; grande impacto financeiro ou reputacional \|`
			`\| 5 \| Catastrófico \| Falha crítica das operações; impacto financeiro ou reputacional grave \|`

			`#### 9.2.2.3 Matriz de Risco`

			`\| Probabilidade/Impacto \| Insignificante (1) \| Menor (2) \| Moderado (3) \| Maior (4) \| Catastrófico (5) \|`
			`\|-----------------------\|---------------------\|----------\|--------------\|-----------\|------------------\|`
			`\| Quase certo (5) \| Médio (5) \| Alto (10) \| Alto (15) \| Extremo (20) \| Extremo (25) \|`
			`\| Provável (4) \| Médio (4) \| Médio (8) \| Alto (12) \| Alto (16) \| Extremo (20) \|`
			`\| Possível (3) \| Baixo (3) \| Médio (6) \| Médio (9) \| Alto (12) \| Alto (15) \|`
			`\| Improvável (2) \| Baixo (2) \| Baixo (4) \| Médio (6) \| Médio (8) \| Alto (10) \|`
			`\| Raro (1) \| Baixo (1) \| Baixo (2) \| Baixo (3) \| Médio (4) \| Médio (5) \|`

			`#### 9.2.2.4 Níveis de Aceitação de Risco`

			`\| Nível de Risco \| Classificação \| Ação Requerida \|`
			`\|----------------\|--------------\|----------------\|`
			`\| 1-3 \| Baixo \| Aceitar o risco; gerenciar por procedimentos de rotina \|`
			`\| 4-9 \| Médio \| Implementar controles básicos; monitorar regularmente \|`
			`\| 10-16 \| Alto \| Implementar controles robustos; monitorar ativamente \|`
			`\| 17-25 \| Extremo \| Ação imediata requerida; monitoramento contínuo \|`

			`### 9.2.3 Opções de Tratamento de Riscos`

			`A Pragmatismo considera as seguintes opções para tratamento de riscos:`

			`1. Mitigar: Implementar controles para reduzir a probabilidade ou o impacto do risco.`
			`2. Transferir: Compartilhar o risco com terceiros, como seguradoras ou parceiros.`
			`3. Evitar: Eliminar a atividade ou processo que gera o risco.`
			`4. Aceitar: Aceitar o risco sem ação adicional, quando o custo do tratamento supera o benefício.`

			`## 9.3 Processo de Avaliação de Riscos`

			`### 9.3.1 Identificação de Ativos`

			`Todos os ativos de informação relevantes devem ser identificados e registrados no Inventário de Ativos, incluindo:`

			`1. Ativos de Informação: Dados, bases de dados, documentação.`
			`2. Ativos de Software: Aplicações, sistemas, ferramentas.`
			`3. Ativos Físicos: Servidores, computadores, dispositivos de rede.`
			`4. Serviços: Serviços de TI, utilities, outros serviços de suporte.`
			`5. Pessoal: Equipes, habilidades, experiência.`

			`### 9.3.2 Identificação de Ameaças e Vulnerabilidades`

			`As ameaças e vulnerabilidades relevantes devem ser identificadas para cada ativo ou grupo de ativos, considerando:`

			`1. Ameaças Naturais: Incêndios, inundações, terremotos.`
			`2. Ameaças Humanas: Erro humano, ações maliciosas, engenharia social.`
			`3. Ameaças Técnicas: Falhas de hardware/software, malware, hacking.`
			`4. Vulnerabilidades Técnicas: Falhas de configuração, sistemas desatualizados, bugs de software.`
			`5. Vulnerabilidades Organizacionais: Processos inadequados, falta de treinamento, controles insuficientes.`

			`### 9.3.3 Análise e Avaliação de Riscos`

			`Para cada combinação de ameaça e vulnerabilidade, deve-se:`

			`1. Avaliar a probabilidade de ocorrência com base em dados históricos, relatórios de inteligência de ameaças e experiência da equipe.`
			`2. Avaliar o potencial impacto nos negócios, considerando aspectos financeiros, operacionais, reputacionais e legais.`
			`3. Calcular o nível de risco multiplicando a pontuação de probabilidade pela pontuação de impacto.`
			`4. Priorizar os riscos com base em sua classificação.`

			`### 9.3.4 Plano de Tratamento de Riscos`

			`Para cada risco identificado, deve ser desenvolvido um plano de tratamento que inclua:`

			`1. Descrição do Risco: Detalhes sobre o risco, incluindo ativos afetados, ameaças e vulnerabilidades.`
			`2. Nível de Risco: Classificação do risco antes do tratamento.`
			`3. Opção de Tratamento: Mitigar, transferir, evitar ou aceitar.`
			`4. Controles Selecionados: Descrição dos controles a serem implementados.`
			`5. Responsável: Pessoa ou equipe responsável pela implementação do controle.`
			`6. Prazo: Data limite para implementação do controle.`
			`7. Recursos Necessários: Recursos financeiros, humanos ou técnicos necessários.`
			`8. Risco Residual: Nível de risco esperado após a implementação dos controles.`

			`### 9.3.5 Implementação de Controles`

			`Os controles selecionados devem ser implementados conforme o plano de tratamento de riscos, considerando:`

			`1. Controles Preventivos: Para reduzir a probabilidade de ocorrência do risco.`
			`2. Controles Detectivos: Para identificar rapidamente quando um risco se materializa.`
			`3. Controles Corretivos: Para minimizar o impacto quando um risco se materializa.`
			`4. Controles Compensatórios: Para compensar fraquezas em outros controles.`

			`## 9.4 Monitoramento e Revisão de Riscos`

			`### 9.4.1 Monitoramento Contínuo`

			`O monitoramento contínuo de riscos deve incluir:`

			`1. Monitoramento de Indicadores: Acompanhamento de indicadores-chave de risco (KRIs).`
			`2. Auditorias Internas: Verificação regular da eficácia dos controles implementados.`
			`3. Testes de Vulnerabilidade: Realização de varreduras e testes de penetração periódicos.`
			`4. Revisão de Incidentes: Análise de incidentes de segurança para identificar novas ameaças ou vulnerabilidades.`
			`5. Feedback de Stakeholders: Coleta de feedback de colaboradores, clientes e parceiros.`

			`### 9.4.2 Revisão Periódica`

			`O processo de gestão de riscos deve ser revisado periodicamente para garantir sua eficácia:`

			`1. Revisão Anual Completa: Reavaliação completa do perfil de risco da organização.`
			`2. Revisões Específicas: Quando ocorrerem mudanças significativas no ambiente de negócios, tecnologia ou requisitos regulatórios.`
			`3. Revisão Pós-Incidente: Após incidentes significativos de segurança ou privacidade.`

			`### 9.4.3 Melhoria Contínua`

			`O processo de gestão de riscos deve ser continuamente melhorado com base em:`

			`1. Lições Aprendidas: Experiências de incidentes passados e exercícios de simulação.`
			`2. Novas Ameaças: Inteligência de ameaças e informações sobre novas vulnerabilidades.`
			`3. Evolução Tecnológica: Novas tecnologias e ferramentas de segurança.`
			`4. Feedback de Auditoria: Resultados de auditorias internas e externas.`

			`## 9.5 Requisitos Específicos de Regulamentações`

			`### 9.5.1 ISO 27001`

			`Para conformidade com ISO 27001, a gestão de riscos deve:`

			`1. Ser parte integrante do Sistema de Gestão de Segurança da Informação (SGSI).`
			`2. Ser documentada, incluindo metodologia, critérios e resultados.`
			`3. Ser aprovada pela Alta Direção.`
			`4. Ser revisada e atualizada periodicamente.`

			`### 9.5.2 HIPAA`

			`Para conformidade com HIPAA, a gestão de riscos deve:`

			`1. Incluir uma avaliação abrangente de riscos à confidencialidade, integridade e disponibilidade de informações de saúde eletrônicas (ePHI).`
			`2. Documentar ameaças e vulnerabilidades que podem comprometer ePHI.`
			`3. Implementar medidas de segurança para reduzir riscos a um nível razoável e apropriado.`
			`4. Ser revisada e atualizada regularmente.`

			`### 9.5.3 LGPD`

			`Para conformidade com LGPD, a gestão de riscos deve:`

			`1. Incluir avaliação de riscos específicos ao tratamento de dados pessoais.`
			`2. Considerar o impacto potencial aos direitos e liberdades dos titulares de dados.`
			`3. Implementar medidas técnicas e organizacionais para proteger os dados pessoais.`
			`4. Incluir a realização de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) para tratamentos de alto risco.`

			`## 9.6 Papéis e Responsabilidades na Gestão de Riscos`

			`### 9.6.1 Alta Direção`

			`1. Aprovar a política de gestão de riscos e definir o apetite a risco da organização.`
			`2. Fornecer recursos adequados para a implementação eficaz da gestão de riscos.`
			`3. Revisar regularmente os relatórios de gestão de riscos e aprovar planos de tratamento para riscos altos e extremos.`

			`### 9.6.2 Comitê de Segurança da Informação`

			`1. Supervisionar o processo de gestão de riscos.`
			`2. Revisar e aprovar os resultados da avaliação de riscos.`
			`3. Monitorar a implementação de planos de tratamento de riscos.`
			`4. Relatar o status da gestão de riscos para a Alta Direção.`

			`### 9.6.3 Oficial de Segurança da Informação (CISO)`

			`1. Desenvolver e manter a metodologia de gestão de riscos.`
			`2. Coordenar e facilitar o processo de avaliação de riscos.`
			`3. Garantir que os controles implementados sejam eficazes.`
			`4. Preparar relatórios de gestão de riscos para o Comitê de Segurança da Informação e Alta Direção.`

			`### 9.6.4 Encarregado de Proteção de Dados (DPO)`

			`1. Garantir que os riscos relacionados à privacidade de dados sejam adequadamente identificados e avaliados.`
			`2. Assessorar na implementação de controles de privacidade.`
			`3. Monitorar a conformidade com requisitos de privacidade de dados.`

			`### 9.6.5 Proprietários de Ativos/Processos`

			`1. Participar ativamente do processo de avaliação de riscos para seus ativos ou processos.`
			`2. Implementar controles conforme definido nos planos de tratamento de riscos.`
			`3. Monitorar e relatar riscos emergentes.`

			`### 9.6.6 Todos os Colaboradores`

			`1. Estar ciente dos riscos relacionados às suas atividades.`
			`2. Seguir procedimentos e controles de segurança estabelecidos.`
			`3. Relatar incidentes, ameaças ou vulnerabilidades identificadas.`

			`## 9.7 Documentação da Gestão de Riscos`

			`### 9.7.1 Documentos Obrigatórios`

			`1. Política de Gestão de Riscos: Definindo abordagem, metodologia e responsabilidades.`
			`2. Critérios de Avaliação de Riscos: Definindo escalas e critérios de aceitação.`
			`3. Registro de Riscos: Documentando todos os riscos identificados e sua avaliação.`
			`4. Planos de Tratamento de Riscos: Detalhando ações para mitigar, transferir, evitar ou aceitar riscos.`
			`5. Relatórios de Avaliação de Riscos: Resumindo os resultados do processo de avaliação de riscos.`
			`6. Relatórios de Impacto à Proteção de Dados: Para tratamentos de dados que envolvam alto risco.`

			`### 9.7.2 Retenção de Documentos`

			`Todos os documentos relacionados à gestão de riscos devem ser mantidos por pelo menos 5 anos, ou mais se exigido por regulamentações específicas.`

			`## 9.8 Avaliação de Riscos de Terceiros`

			`### 9.8.1 Processo de Avaliação`

			`1. Pré-contratação: Avaliação de riscos antes da contratação de novos fornecedores ou parceiros.`
			`2. Avaliação Periódica: Reavaliação de riscos de terceiros existentes pelo menos anualmente.`
			`3. Mudanças Significativas: Reavaliação quando houver mudanças significativas no relacionamento ou no ambiente de risco.`

			`### 9.8.2 Critérios de Avaliação`

			`1. Tipo de Acesso: Nível de acesso a sistemas e dados da Pragmatismo.`
			`2. Dados Processados: Sensibilidade e volume de dados processados pelo terceiro.`
			`3. Criticidade: Importância do serviço para as operações da Pragmatismo.`
			`4. Maturidade de Segurança: Nível de maturidade das práticas de segurança do terceiro.`
			`5. Conformidade Regulatória: Conformidade do terceiro com requisitos legais e regulatórios relevantes.`

			`### 9.8.3 Controles para Terceiros`

			`1. Cláusulas Contratuais: Inclusão de cláusulas de segurança e privacidade em contratos.`
			`2. Acordos de Nível de Serviço (SLAs): Definição de requisitos de segurança e privacidade.`
			`3. Direito de Auditoria: Direito de auditar as práticas de segurança do terceiro.`
			`4. Compromisso de Notificação: Obrigação de notificar incidentes de segurança.`
			`5. Certificações e Relatórios: Requisito de fornecer certificações de segurança ou relatórios de auditoria.`

			`---`

			`Última atualização: 11 de maio de 2025`