📖 Resumo - Capítulo 12
🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:
- Inherent Risk (Risco Inerente): Risco natural (sem controles)
- Residual Risk (Risco Residual): Risco remanescente (após controles)
- Risk Appetite (Apetite ao Risco): Quanto risco a organização aceita (estratégico)
- Risk Tolerance (Tolerância ao Risco): Variação aceitável (operacional)
- Risk Exception (Exceção de Risco): Risco não mitigado no prazo, aprovado temporariamente
- Risk Exemption (Isenção de Risco): Risco aceito permanentemente por decisão estratégica
- ALE = SLE × ARO: Fórmula de risco quantitativo
- SLE = AV × EF
- Due Diligence (Diligência Prévia): Antes do contrato | Due Care (Cuidado Devido): Depois do contrato
- KRI (Key Risk Indicator): Indicador preditivo de risco
- Risk Register: Documento com riscos, proprietários e mitigações
1️⃣ Conceitos Fundamentais de Risco
| Conceito | Descrição |
|---|---|
| Inherent Risk (Risco Inerente) | Risco natural sem controles implementados. É o baseline de risco antes de qualquer mitigação. |
| Residual Risk (Risco Residual) | Risco que permanece após a implementação de controles. Fórmula: Inherent Risk - Controles = Residual Risk. |
| Risk Appetite (Apetite ao Risco) | Quantidade total de risco que a organização está disposta a aceitar. É uma decisão estratégica da alta gestão. |
| Risk Tolerance (Tolerância ao Risco) | Variação aceitável no apetite de risco em nível operacional. Ex: "Podemos tolerar ±10% de variação no orçamento". |
2️⃣ Análise Quantitativa de Riscos
⚠️ FÓRMULAS CRÍTICAS:
- ALE = SLE × ARO (Perda anual esperada)
- SLE = AV × EF (Perda por ocorrência)
- ARO = Frequência anual do risco
- EF (Exposure Factor) = % do ativo perdido no ataque
| Métrica | Descrição |
|---|---|
| ALE (Annual Loss Expectancy) | Perda anual esperada devido a um risco. Calculada como ALE = SLE × ARO. Usada para justificar investimentos em segurança. |
| SLE (Single Loss Expectancy) | Perda esperada para uma única ocorrência do risco. Calculada como SLE = AV (Asset Value) × EF (Exposure Factor). |
| ARO (Annual Rate of Occurrence) | Frequência anual esperada do risco. Ex: ARO = 0.5 significa que o risco ocorre uma vez a cada 2 anos. |
| EF (Exposure Factor) | Percentual do ativo que é perdido quando o ataque ocorre. Ex: EF = 0.7 significa 70% de perda do valor do ativo. |
Exemplo Prático
Servidor com valor de R$100.000 (AV), fator de exposição 0.5 (perde 50% em ataque), ocorre uma vez a cada 2 anos (ARO = 0.5).
- SLE = R$100.000 × 0.5 = R$50.000
- ALE = R$50.000 × 0.5 = R$25.000 por ano
3️⃣ Risk Response (Respostas a Risco)
Mitigar (Mitigate)
Reduzir a probabilidade ou impacto do risco. Ex: implementar controles, firewalls, backups.
Transferir (Transfer)
Compartilhar ou transferir o risco para terceiros. Ex: seguro cibernético, outsourcing.
Aceitar (Accept)
Aceitar o risco sem controles adicionais. Ex: risco baixo com custo de mitigação alto.
Evitar (Avoid)
Eliminar a atividade que causa o risco. Ex: descontinuar um serviço vulnerável.
Risk Exception (Exceção de Risco)
Situação onde um risco não pode ser mitigado no prazo esperado devido a limitações financeiras, técnicas ou operacionais. Deve ser formalmente aprovado por stakeholders e revisado periodicamente.
Risk Exemption (Isenção de Risco)
Condição onde um risco pode permanecer sem mitigação, geralmente por decisão estratégica (custo da mitigação supera o dano potencial). Deve ser formalmente documentado e aprovado.
4️⃣ Business Continuity Planning
BIA (Business Impact Analysis)
- Identifica processos críticos de negócio
- Define RTO, RPO e MTD para cada processo
- Base para Disaster Recovery Plan (DRP) e Business Continuity Plan (BCP)
| Métrica | Descrição |
|---|---|
| RTO (Recovery Time Objective) | Tempo máximo que um processo pode ficar offline após um desastre. Define a velocidade de recuperação necessária. |
| RPO (Recovery Point Objective) | Quantidade máxima de dados que pode ser perdida. Define a frequência de backups necessária. |
| MTD (Maximum Tolerable Downtime) | Tempo máximo que a organização pode operar sem o processo crítico antes de sofrer danos irreparáveis. |
| MTBF (Mean Time Between Failures) | Tempo médio entre falhas — mede confiabilidade. |
| MTTR (Mean Time to Repair) | Tempo médio para reparar após falha — mede eficiência de recuperação. |
💡 RELAÇÃO ENTRE MÉTRICAS:
- RTO deve ser menor que MTD
- RPO determina intervalo de backup
- BIA define os valores ideais para cada processo
5️⃣ Vendor Management (Gestão de Terceiros)
| Conceito | Descrição |
|---|---|
| Vendor Management | Gestão de riscos relacionados a fornecedores e terceiros. Inclui due diligence, contratos, monitoramento e auditorias. |
| Due Diligence (Diligência Prévia) | Avaliação pré-contrato do fornecedor. Inclui background check, controles de segurança, saúde financeira. |
| Due Care (Cuidado Devido) | Ações contínuas após o contrato. Monitoramento, auditorias, verificação de conformidade. Responsabilidade contínua. |
| SLA (Service Level Agreement) | Contrato que define níveis de serviço: uptime, tempo de resposta, penalidades por descumprimento. |
| Right-to-Audit | Cláusula contratual que permite à organização auditar o fornecedor para verificar conformidade com requisitos de segurança. |
Riscos de Terceiros
- Data breaches através de fornecedores vulneráveis
- Compliance violations (terceiro não cumpre regulamentações)
- Supply chain attacks (comprometer fornecedor para atingir alvo)
- Vendor lock-in (dependência excessiva de um fornecedor)
6️⃣ Risk Assessment e Heat Maps
Qualitativo vs Quantitativo
- Qualitativo: usa categorias (Alto/Médio/Baixo), mais simples, subjetivo
- Quantitativo: usa números (ALE, SLE, ARO), mais preciso, complexo
Heat Map (Mapa de Calor)
Matriz visual que mostra impacto vs probabilidade de riscos. Cores: vermelho (alto), amarelo (médio), verde (baixo). Ajuda a priorizar riscos mais críticos.
Risk Register (Registro de Riscos)
Documento que consolida resultados de avaliações de risco, incluindo: descrição dos riscos, impacto, probabilidade, proprietário (risk owner), contramedidas e status.
Key Risk Indicator (KRI)
Indicador preditivo usado para monitorar e antecipar riscos potenciais. Fornece alerta precoce de exposição crescente a riscos.
7️⃣ Audits and Assessments
Tipos de Auditoria por Realização
| Tipo | Descrição |
|---|---|
| Internal Audit | Realizado por equipe interna independente (reporta ao board). Avalia controles internos, conformidade. |
| External Audit | Realizado por firma externa independente. Mais credibilidade. Ex: auditoria ISO, SOC, PCI DSS. |
Tipos por Relacionamento
- First-Party: Auto-avaliação (a própria organização se avalia)
- Second-Party: Avaliação de fornecedor/parceiro (vendor audit)
- Third-Party: Avaliação independente (certificação externa)
Tipos de Auditoria por Foco
- Compliance Audit: Verifica conformidade com políticas e regulamentações
- Operational Audit: Avalia eficiência e eficácia de processos
- Financial Audit: Foca em controles financeiros e precisão de relatórios
🎯 DICAS FINAIS PARA PROVA:
- Inherent Risk (Risco Inerente): sem controles | Residual Risk (Risco Residual): após controles
- Risk Appetite (Apetite ao Risco): quanto quer aceitar | Risk Tolerance (Tolerância ao Risco): variação permitida
- Risk Exception (Exceção de Risco): temporário, aprovado | Risk Exemption (Isenção de Risco): permanente, estratégico
- ALE = SLE × ARO (decorar!)
- SLE = AV × EF
- RTO: tempo offline | RPO: dados perdidos
- MTD > RTO (sempre)
- Due Diligence: antes | Due Care: depois
- KRI (Key Risk Indicator): indicador preditivo
- Risk Register: documento com riscos e proprietários
- SLA: contrato de nível de serviço
- Internal Audit: interno | External Audit: externo