Home
GSI
Análise e Gestão de Riscos
Aulas 5, 6 e 7 — Uma jornada prática pelos fundamentos da análise de riscos, inventário de ativos e continuidade de negócios.
Graduação em Segurança da Informação
Prof.ª maristela
O que veremos?
Esta unidade percorre os pilares essenciais da gestão de riscos em Segurança da Informação — da teoria à prática, passando por simulações de crise real.
01
Aula 5 — Introdução à Análise de Riscos
Conceitos de risco, impacto, probabilidade e formas de tratamento com base em problemas reais.
02
Aula 6 — Inventário e Classificação de Ativos
Identificação, catalogação e classificação de ativos de informação em contexto organizacional simulado.
03
Aula 7 — Continuidade de Negócios (BCP/DRP)
Simulação de crise, planejamento de continuidade e recuperação de desastres com tomada de decisão ativa.

💡 O tema de tratamento e mitigação de riscos atravessa as três aulas e se conecta com ISO 27001 e auditoria nas unidades seguintes.
Aula 5
Introdução à Análise de Riscos em Segurança da Informação
A gestão de riscos é o alicerce de qualquer estratégia sólida de Segurança da Informação. Nesta aula, partimos de problemas reais para construir uma compreensão concreta de como identificar, analisar e priorizar riscos.
O que é Risco em Segurança da Informação?
Definição Central
Risco é a combinação da probabilidade de ocorrência de uma ameaça com o impacto que ela causaria sobre os ativos da organização.
A fórmula clássica:
Risco = Probabilidade × Impacto
Componentes do Risco
  • Ameaça: evento ou agente capaz de causar dano (ex.: ataque hacker, desastre natural)
  • Vulnerabilidade: fraqueza explorada pela ameaça (ex.: sistema desatualizado)
  • Ativo: o que está em risco (ex.: dados de clientes, servidores)
  • Impacto: consequência caso o risco se materialize
Analisando Riscos: Probabilidade × Impacto
A análise qualitativa de riscos permite classificar e priorizar ações mesmo sem dados numéricos precisos, usando matrizes de criticidade.
Riscos na zona vermelha exigem ação imediata. Os da zona amarela demandam monitoramento. Os da zona verde podem ser aceitos, desde que documentados.
Formas de Tratamento de Riscos
Após identificar e priorizar os riscos, a organização precisa decidir como agir. Existem quatro estratégias fundamentais:
Mitigar
Adotar controles que reduzam a probabilidade ou o impacto do risco. Ex.: firewalls, treinamentos, backups.
Transferir
Repassar o risco a terceiros. Ex.: contratar seguro cibernético ou terceirizar um serviço crítico.
Evitar
Eliminar a atividade que gera o risco. Ex.: descontinuar um sistema legado inseguro.
Aceitar
Reconhecer o risco e decidir conviver com ele, especialmente quando o custo de mitigação supera o impacto esperado.
Aula 6
Inventário e Classificação de Ativos de Informação
Não é possível proteger o que você não conhece. Contato direto com a prática de mapear e classificar os ativos de informação de uma organização simulada — habilidade fundamental para qualquer profissional de SI.
O que são Ativos de Informação?
Ativos de informação são todos os elementos que têm valor para a organização e que precisam de proteção. Eles podem ser tangíveis ou intangíveis.
Ativos Físicos
Servidores, computadores, dispositivos de armazenamento, roteadores, infraestrutura de rede.
Ativos Lógicos
Sistemas operacionais, aplicações, bancos de dados, códigos-fonte, licenças de software.
Ativos de Informação
Dados de clientes, contratos, relatórios financeiros, propriedade intelectual, senhas e credenciais.
Ativos Humanos
Colaboradores, suas competências, conhecimentos críticos e acesso a sistemas sensíveis.
Elaborando o Inventário de Ativos
O inventário de ativos é um registro sistemático de todos os itens que precisam de proteção. Cada ativo deve ser documentado com informações essenciais para a gestão de riscos.
A criticidade define prioridade de proteção. A classificação orienta quem pode acessar o ativo e como ele deve ser tratado.
Classificação de Ativos por Criticidade
Por que classificar?
Classificar ativos permite que a organização direcione recursos de segurança de forma inteligente — protegendo mais o que tem maior valor ou maior risco associado.
A classificação deve considerar:
  • Valor para o negócio
  • Impacto em caso de perda ou vazamento
  • Requisitos legais e regulatórios (ex.: LGPD)
  • Dependências operacionais
Níveis Típicos de Classificação
🔴 Confidencial
Acesso extremamente restrito. Danos graves se divulgado.
🟠 Restrito
Acesso limitado a grupos específicos.
🟡 Interno
Uso interno, sem divulgação externa.
🟢 Público
Pode ser divulgado sem restrições.
Atividade: O Caso da InovaTech Consultoria
Nesta sessão prática, você assumirá o papel de um consultor de segurança da informação para a InovaTech Consultoria, uma empresa fictícia líder em soluções digitais.
A InovaTech Consultoria é especializada em desenvolvimento de software customizado, consultoria em nuvem e análise de dados para clientes em diversos setores, como financeiro, saúde e varejo. Ela lida diariamente com dados sensíveis de clientes, propriedade intelectual de projetos e informações financeiras próprias. Possui uma equipe de 150 colaboradores, servidores em nuvem e instalações físicas em duas cidades.
Sua tarefa será elaborar um inventário completo dos ativos de informação da InovaTech, utilizando planilhas reais como ferramenta. Cada ativo deve ser detalhado e, crucialmente, classificado quanto à sua criticidade e confidencialidade. Prepare-se para:
  • Identificar ativos físicos, lógicos, de informação e humanos.
  • Atribuir os níveis de criticidade (Alta, Média, Baixa) e classificação (Confidencial, Restrito, Interno, Público) para cada ativo.
  • Justificar suas escolhas de classificação com base no impacto potencial para a InovaTech.
  • Apresentar seu inventário classificado, defendendo suas análises e decisões para a "diretoria" (seus colegas e professor).
Este exercício visa aprimorar suas habilidades analíticas e de comunicação técnica, simulando um desafio comum no campo da segurança da informação.
Aula 7
Continuidade de Negócios: BCP e DRP
O que acontece quando um desastre paralisa os sistemas críticos de uma organização? A Aula 7 simula exatamente esse cenário — colocando os alunos no papel de gestores que precisam tomar decisões sob pressão para manter ou recuperar as operações.
BCP vs. DRP: Qual é a diferença?
BCP — Business Continuity Plan
Plano de Continuidade de Negócios: abrange toda a organização. Define como manter as operações críticas funcionando durante e após uma crise, incluindo processos, pessoas e comunicação.
Foco: manter o negócio vivo durante o incidente.
DRP — Disaster Recovery Plan
Plano de Recuperação de Desastres: é um componente do BCP focado especificamente em TI. Define como restaurar sistemas, dados e infraestrutura tecnológica após uma falha ou desastre.
Foco: recuperar a tecnologia após o incidente.

💡 Em resumo: o BCP é o plano maior que inclui o DRP. O DRP é a resposta técnica; o BCP é a resposta estratégica.
Conceitos-Chave: RTO e RPO
Dois indicadores fundamentais orientam o planejamento de recuperação e definem o quanto a organização pode "perder" em tempo e dados.
RTO
Recovery Time Objective
Tempo máximo tolerável para restaurar um sistema após uma falha. Ex.: "Nosso sistema de vendas deve voltar em até 4 horas."
RPO
Recovery Point Objective
Quantidade máxima de dados que pode ser perdida, medida em tempo. Ex.: "Podemos perder no máximo 1 hora de transações."
Quanto menores o RTO e o RPO, maior o investimento necessário em redundância, backups e infraestrutura de alta disponibilidade.
Fases do Plano de Continuidade
Um BCP eficaz não começa durante a crise — ele é construído e testado antes que qualquer incidente ocorra. Organizações maduras revisam seus planos regularmente e conduzem simulações periódicas.
Impactos da Indisponibilidade de Serviços
Quando sistemas críticos ficam indisponíveis, os impactos se espalham por toda a organização. Compreender esses impactos é essencial para justificar investimentos em continuidade.
Impacto Financeiro
Perda de receita, multas regulatórias, custos de recuperação e possíveis indenizações a clientes prejudicados.
Impacto Reputacional
Perda de confiança de clientes e parceiros, cobertura negativa na mídia e dificuldade de recuperar a imagem da marca.
Impacto Legal e Regulatório
Violações de contratos, descumprimento de SLAs e infrações a leis como LGPD, que podem gerar sanções graves.
Impacto Operacional
Paralisação de processos críticos, queda de produtividade e incapacidade de atender clientes ou fornecedores.
Simulação de Crise
Como funciona a Simulação?
Ao receber um cenário de crise (ex.: ataque ransomware, queda de datacenter, vazamento de dados) e precisam tomar decisões em tempo real:
  • Ativar o plano de continuidade
  • Priorizar sistemas para recuperação
  • Comunicar stakeholders internos e externos
  • Avaliar impactos e documentar lições aprendidas
A metodologia estimula planejamento, análise crítica e tomada de decisão sob pressão — competências essenciais para profissionais de SI.
Conectando as Três Aulas: Uma Visão Integrada
As Aulas 5, 6 e 7 formam um ciclo lógico e progressivo dentro da Unidade 4. Cada tema prepara o terreno para o próximo.
Aula 5
Entender o risco: conceitos, probabilidade, impacto e tratamento
Aula 6
Conhecer os ativos: o que precisa ser protegido e qual é sua criticidade
Aula 7
Garantir a continuidade: planejar como o negócio sobrevive a incidentes graves

🔗 Este ciclo se conecta diretamente com as unidades seguintes: ISO 27001, controles de segurança e auditoria em SI.
Pontos-Chave da Unidade 4
Risco = Probabilidade × Impacto
Todo risco deve ser analisado nestas duas dimensões antes de qualquer decisão de tratamento.
Você não pode proteger o que não conhece
O inventário de ativos é o ponto de partida para qualquer programa de segurança sólido.
Continuidade não é improviso — é planejamento
BCP e DRP devem ser construídos, testados e revisados antes que a crise aconteça.
Tratamento de riscos é uma decisão de negócio
Mitigar, transferir, evitar ou aceitar — cada escolha tem implicações estratégicas e financeiras.