---
title: 9. Gestão de Riscos
sidebar_label: 9. Gestão de Riscos
sidebar_position: 9
---

# 9. Gestão de Riscos

## 9.1 Introdução à Gestão de Riscos

A gestão de riscos é um componente fundamental do framework de compliance da Pragmatismo, permitindo à organização identificar, avaliar e mitigar riscos que possam afetar seus objetivos de negócio, a segurança de seus ativos de informação e a conformidade com requisitos regulatórios. Este capítulo estabelece diretrizes e procedimentos para uma gestão eficaz dos riscos relacionados à segurança da informação e privacidade de dados.

### 9.1.1 Objetivos da Gestão de Riscos

1. Identificar ameaças e vulnerabilidades que possam afetar os ativos de informação da Pragmatismo.
2. Avaliar o impacto potencial e a probabilidade de ocorrência dos riscos identificados.
3. Implementar controles adequados para mitigar riscos a níveis aceitáveis.
4. Monitorar continuamente a eficácia dos controles implementados.
5. Garantir a conformidade com requisitos de ISO 27001, HIPAA e LGPD.

### 9.1.2 Escopo da Gestão de Riscos

A gestão de riscos na Pragmatismo abrange:

1. **Riscos de Segurança da Informação**: Relacionados à confidencialidade, integridade e disponibilidade das informações.
2. **Riscos de Privacidade**: Relacionados à proteção de dados pessoais e conformidade com regulamentações.
3. **Riscos Operacionais**: Relacionados à continuidade dos processos de negócio e operações de TI.
4. **Riscos de Terceiros**: Relacionados a fornecedores, parceiros e prestadores de serviços.
5. **Riscos de Desenvolvimento**: Relacionados ao ciclo de vida de desenvolvimento do General Bots e outros produtos.

## 9.2 Framework de Gestão de Riscos

### 9.2.1 Metodologia de Avaliação de Riscos

A Pragmatismo adota uma metodologia estruturada para avaliação de riscos, baseada nas melhores práticas da ISO 27005 e NIST SP 800-30, compreendendo as seguintes etapas:

1. **Identificação do Contexto**: Estabelecimento do contexto interno e externo, incluindo objetivos de negócio e requisitos regulatórios.
2. **Identificação de Riscos**: Levantamento sistemático de ameaças e vulnerabilidades que possam afetar os ativos de informação.
3. **Análise de Riscos**: Avaliação da probabilidade e impacto potencial de cada risco identificado.
4. **Avaliação de Riscos**: Priorização dos riscos com base em sua criticidade.
5. **Tratamento de Riscos**: Seleção e implementação de controles para mitigar riscos.
6. **Monitoramento e Revisão**: Acompanhamento contínuo da eficácia dos controles implementados.
7. **Comunicação e Consulta**: Comunicação regular com partes interessadas sobre riscos e tratamentos.

### 9.2.2 Critérios de Avaliação de Riscos

#### 9.2.2.1 Escala de Probabilidade

| Nível | Classificação | Descrição |
|-------|--------------|-----------|
| 1 | Raro | Pode ocorrer apenas em circunstâncias excepcionais; menos de uma vez a cada 5 anos |
| 2 | Improvável | Não é esperado que ocorra; uma vez a cada 2-5 anos |
| 3 | Possível | Pode ocorrer em algum momento; uma vez a cada 1-2 anos |
| 4 | Provável | Provavelmente ocorrerá; uma vez por ano |
| 5 | Quase certo | Espera-se que ocorra na maioria das circunstâncias; várias vezes ao ano |

#### 9.2.2.2 Escala de Impacto

| Nível | Classificação | Descrição |
|-------|--------------|-----------|
| 1 | Insignificante | Impacto mínimo na operação; sem danos financeiros ou reputacionais |
| 2 | Menor | Interrupção de curto prazo; pequeno impacto financeiro ou reputacional |
| 3 | Moderado | Interrupção significativa; impacto financeiro ou reputacional moderado |
| 4 | Maior | Operações severamente prejudicadas; grande impacto financeiro ou reputacional |
| 5 | Catastrófico | Falha crítica das operações; impacto financeiro ou reputacional grave |

#### 9.2.2.3 Matriz de Risco

| Probabilidade/Impacto | Insignificante (1) | Menor (2) | Moderado (3) | Maior (4) | Catastrófico (5) |
|-----------------------|---------------------|----------|--------------|-----------|------------------|
| Quase certo (5) | Médio (5) | Alto (10) | Alto (15) | Extremo (20) | Extremo (25) |
| Provável (4) | Médio (4) | Médio (8) | Alto (12) | Alto (16) | Extremo (20) |
| Possível (3) | Baixo (3) | Médio (6) | Médio (9) | Alto (12) | Alto (15) |
| Improvável (2) | Baixo (2) | Baixo (4) | Médio (6) | Médio (8) | Alto (10) |
| Raro (1) | Baixo (1) | Baixo (2) | Baixo (3) | Médio (4) | Médio (5) |

#### 9.2.2.4 Níveis de Aceitação de Risco

| Nível de Risco | Classificação | Ação Requerida |
|----------------|--------------|----------------|
| 1-3 | Baixo | Aceitar o risco; gerenciar por procedimentos de rotina |
| 4-9 | Médio | Implementar controles básicos; monitorar regularmente |
| 10-16 | Alto | Implementar controles robustos; monitorar ativamente |
| 17-25 | Extremo | Ação imediata requerida; monitoramento contínuo |

### 9.2.3 Opções de Tratamento de Riscos

A Pragmatismo considera as seguintes opções para tratamento de riscos:

1. **Mitigar**: Implementar controles para reduzir a probabilidade ou o impacto do risco.
2. **Transferir**: Compartilhar o risco com terceiros, como seguradoras ou parceiros.
3. **Evitar**: Eliminar a atividade ou processo que gera o risco.
4. **Aceitar**: Aceitar o risco sem ação adicional, quando o custo do tratamento supera o benefício.

## 9.3 Processo de Avaliação de Riscos

### 9.3.1 Identificação de Ativos

Todos os ativos de informação relevantes devem ser identificados e registrados no Inventário de Ativos, incluindo:

1. **Ativos de Informação**: Dados, bases de dados, documentação.
2. **Ativos de Software**: Aplicações, sistemas, ferramentas.
3. **Ativos Físicos**: Servidores, computadores, dispositivos de rede.
4. **Serviços**: Serviços de TI, utilities, outros serviços de suporte.
5. **Pessoal**: Equipes, habilidades, experiência.

### 9.3.2 Identificação de Ameaças e Vulnerabilidades

As ameaças e vulnerabilidades relevantes devem ser identificadas para cada ativo ou grupo de ativos, considerando:

1. **Ameaças Naturais**: Incêndios, inundações, terremotos.
2. **Ameaças Humanas**: Erro humano, ações maliciosas, engenharia social.
3. **Ameaças Técnicas**: Falhas de hardware/software, malware, hacking.
4. **Vulnerabilidades Técnicas**: Falhas de configuração, sistemas desatualizados, bugs de software.
5. **Vulnerabilidades Organizacionais**: Processos inadequados, falta de treinamento, controles insuficientes.

### 9.3.3 Análise e Avaliação de Riscos

Para cada combinação de ameaça e vulnerabilidade, deve-se:

1. Avaliar a probabilidade de ocorrência com base em dados históricos, relatórios de inteligência de ameaças e experiência da equipe.
2. Avaliar o potencial impacto nos negócios, considerando aspectos financeiros, operacionais, reputacionais e legais.
3. Calcular o nível de risco multiplicando a pontuação de probabilidade pela pontuação de impacto.
4. Priorizar os riscos com base em sua classificação.

### 9.3.4 Plano de Tratamento de Riscos

Para cada risco identificado, deve ser desenvolvido um plano de tratamento que inclua:

1. **Descrição do Risco**: Detalhes sobre o risco, incluindo ativos afetados, ameaças e vulnerabilidades.
2. **Nível de Risco**: Classificação do risco antes do tratamento.
3. **Opção de Tratamento**: Mitigar, transferir, evitar ou aceitar.
4. **Controles Selecionados**: Descrição dos controles a serem implementados.
5. **Responsável**: Pessoa ou equipe responsável pela implementação do controle.
6. **Prazo**: Data limite para implementação do controle.
7. **Recursos Necessários**: Recursos financeiros, humanos ou técnicos necessários.
8. **Risco Residual**: Nível de risco esperado após a implementação dos controles.

### 9.3.5 Implementação de Controles

Os controles selecionados devem ser implementados conforme o plano de tratamento de riscos, considerando:

1. **Controles Preventivos**: Para reduzir a probabilidade de ocorrência do risco.
2. **Controles Detectivos**: Para identificar rapidamente quando um risco se materializa.
3. **Controles Corretivos**: Para minimizar o impacto quando um risco se materializa.
4. **Controles Compensatórios**: Para compensar fraquezas em outros controles.

## 9.4 Monitoramento e Revisão de Riscos

### 9.4.1 Monitoramento Contínuo

O monitoramento contínuo de riscos deve incluir:

1. **Monitoramento de Indicadores**: Acompanhamento de indicadores-chave de risco (KRIs).
2. **Auditorias Internas**: Verificação regular da eficácia dos controles implementados.
3. **Testes de Vulnerabilidade**: Realização de varreduras e testes de penetração periódicos.
4. **Revisão de Incidentes**: Análise de incidentes de segurança para identificar novas ameaças ou vulnerabilidades.
5. **Feedback de Stakeholders**: Coleta de feedback de colaboradores, clientes e parceiros.

### 9.4.2 Revisão Periódica

O processo de gestão de riscos deve ser revisado periodicamente para garantir sua eficácia:

1. **Revisão Anual Completa**: Reavaliação completa do perfil de risco da organização.
2. **Revisões Específicas**: Quando ocorrerem mudanças significativas no ambiente de negócios, tecnologia ou requisitos regulatórios.
3. **Revisão Pós-Incidente**: Após incidentes significativos de segurança ou privacidade.

### 9.4.3 Melhoria Contínua

O processo de gestão de riscos deve ser continuamente melhorado com base em:

1. **Lições Aprendidas**: Experiências de incidentes passados e exercícios de simulação.
2. **Novas Ameaças**: Inteligência de ameaças e informações sobre novas vulnerabilidades.
3. **Evolução Tecnológica**: Novas tecnologias e ferramentas de segurança.
4. **Feedback de Auditoria**: Resultados de auditorias internas e externas.

## 9.5 Requisitos Específicos de Regulamentações

### 9.5.1 ISO 27001

Para conformidade com ISO 27001, a gestão de riscos deve:

1. Ser parte integrante do Sistema de Gestão de Segurança da Informação (SGSI).
2. Ser documentada, incluindo metodologia, critérios e resultados.
3. Ser aprovada pela Alta Direção.
4. Ser revisada e atualizada periodicamente.

### 9.5.2 HIPAA

Para conformidade com HIPAA, a gestão de riscos deve:

1. Incluir uma avaliação abrangente de riscos à confidencialidade, integridade e disponibilidade de informações de saúde eletrônicas (ePHI).
2. Documentar ameaças e vulnerabilidades que podem comprometer ePHI.
3. Implementar medidas de segurança para reduzir riscos a um nível razoável e apropriado.
4. Ser revisada e atualizada regularmente.

### 9.5.3 LGPD

Para conformidade com LGPD, a gestão de riscos deve:

1. Incluir avaliação de riscos específicos ao tratamento de dados pessoais.
2. Considerar o impacto potencial aos direitos e liberdades dos titulares de dados.
3. Implementar medidas técnicas e organizacionais para proteger os dados pessoais.
4. Incluir a realização de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) para tratamentos de alto risco.

## 9.6 Papéis e Responsabilidades na Gestão de Riscos

### 9.6.1 Alta Direção

1. Aprovar a política de gestão de riscos e definir o apetite a risco da organização.
2. Fornecer recursos adequados para a implementação eficaz da gestão de riscos.
3. Revisar regularmente os relatórios de gestão de riscos e aprovar planos de tratamento para riscos altos e extremos.

### 9.6.2 Comitê de Segurança da Informação

1. Supervisionar o processo de gestão de riscos.
2. Revisar e aprovar os resultados da avaliação de riscos.
3. Monitorar a implementação de planos de tratamento de riscos.
4. Relatar o status da gestão de riscos para a Alta Direção.

### 9.6.3 Oficial de Segurança da Informação (CISO)

1. Desenvolver e manter a metodologia de gestão de riscos.
2. Coordenar e facilitar o processo de avaliação de riscos.
3. Garantir que os controles implementados sejam eficazes.
4. Preparar relatórios de gestão de riscos para o Comitê de Segurança da Informação e Alta Direção.

### 9.6.4 Encarregado de Proteção de Dados (DPO)

1. Garantir que os riscos relacionados à privacidade de dados sejam adequadamente identificados e avaliados.
2. Assessorar na implementação de controles de privacidade.
3. Monitorar a conformidade com requisitos de privacidade de dados.

### 9.6.5 Proprietários de Ativos/Processos

1. Participar ativamente do processo de avaliação de riscos para seus ativos ou processos.
2. Implementar controles conforme definido nos planos de tratamento de riscos.
3. Monitorar e relatar riscos emergentes.

### 9.6.6 Todos os Colaboradores

1. Estar ciente dos riscos relacionados às suas atividades.
2. Seguir procedimentos e controles de segurança estabelecidos.
3. Relatar incidentes, ameaças ou vulnerabilidades identificadas.

## 9.7 Documentação da Gestão de Riscos

### 9.7.1 Documentos Obrigatórios

1. **Política de Gestão de Riscos**: Definindo abordagem, metodologia e responsabilidades.
2. **Critérios de Avaliação de Riscos**: Definindo escalas e critérios de aceitação.
3. **Registro de Riscos**: Documentando todos os riscos identificados e sua avaliação.
4. **Planos de Tratamento de Riscos**: Detalhando ações para mitigar, transferir, evitar ou aceitar riscos.
5. **Relatórios de Avaliação de Riscos**: Resumindo os resultados do processo de avaliação de riscos.
6. **Relatórios de Impacto à Proteção de Dados**: Para tratamentos de dados que envolvam alto risco.

### 9.7.2 Retenção de Documentos

Todos os documentos relacionados à gestão de riscos devem ser mantidos por pelo menos 5 anos, ou mais se exigido por regulamentações específicas.

## 9.8 Avaliação de Riscos de Terceiros

### 9.8.1 Processo de Avaliação

1. **Pré-contratação**: Avaliação de riscos antes da contratação de novos fornecedores ou parceiros.
2. **Avaliação Periódica**: Reavaliação de riscos de terceiros existentes pelo menos anualmente.
3. **Mudanças Significativas**: Reavaliação quando houver mudanças significativas no relacionamento ou no ambiente de risco.

### 9.8.2 Critérios de Avaliação

1. **Tipo de Acesso**: Nível de acesso a sistemas e dados da Pragmatismo.
2. **Dados Processados**: Sensibilidade e volume de dados processados pelo terceiro.
3. **Criticidade**: Importância do serviço para as operações da Pragmatismo.
4. **Maturidade de Segurança**: Nível de maturidade das práticas de segurança do terceiro.
5. **Conformidade Regulatória**: Conformidade do terceiro com requisitos legais e regulatórios relevantes.

### 9.8.3 Controles para Terceiros

1. **Cláusulas Contratuais**: Inclusão de cláusulas de segurança e privacidade em contratos.
2. **Acordos de Nível de Serviço (SLAs)**: Definição de requisitos de segurança e privacidade.
3. **Direito de Auditoria**: Direito de auditar as práticas de segurança do terceiro.
4. **Compromisso de Notificação**: Obrigação de notificar incidentes de segurança.
5. **Certificações e Relatórios**: Requisito de fornecer certificações de segurança ou relatórios de auditoria.

---

*Última atualização: 11 de maio de 2025*