Atividade I
Home
GSI
Análise e Gestão de Riscos
Aulas 5, 6 e 7 — Uma jornada prática pelos fundamentos da análise de riscos, inventário de ativos e continuidade de negócios.
Graduação em Segurança da Informação
Prof.ª maristela
O que veremos?
Esta unidade percorre os pilares essenciais da gestão de riscos em Segurança da Informação — da teoria à prática, passando por simulações de crise real.
01
Aula 5 — Introdução à Análise de Riscos
Conceitos de risco, impacto, probabilidade e formas de tratamento com base em problemas reais.
02
Aula 6 — Inventário e Classificação de Ativos
Identificação, catalogação e classificação de ativos de informação em contexto organizacional simulado.
03
Aula 7 — Continuidade de Negócios (BCP/DRP)
Simulação de crise, planejamento de continuidade e recuperação de desastres com tomada de decisão ativa.

💡 O tema de tratamento e mitigação de riscos atravessa as três aulas e se conecta com ISO 27001 e auditoria nas unidades seguintes.
Aula 5
Introdução à Análise de Riscos em Segurança da Informação
A gestão de riscos é o alicerce de qualquer estratégia sólida de Segurança da Informação. Nesta aula, partimos de problemas reais para construir uma compreensão concreta de como identificar, analisar e priorizar riscos.
O que é Risco em Segurança da Informação?
Definição Central
Risco é a combinação da probabilidade de ocorrência de uma ameaça com o impacto que ela causaria sobre os ativos da organização.
A fórmula clássica:
Risco = Probabilidade × Impacto
Componentes do Risco
  • Ameaça: evento ou agente capaz de causar dano (ex.: ataque hacker, desastre natural)
  • Vulnerabilidade: fraqueza explorada pela ameaça (ex.: sistema desatualizado)
  • Ativo: o que está em risco (ex.: dados de clientes, servidores)
  • Impacto: consequência caso o risco se materialize
Analisando Riscos: Probabilidade × Impacto
A análise qualitativa de riscos permite classificar e priorizar ações mesmo sem dados numéricos precisos, usando matrizes de criticidade.
Riscos na zona vermelha exigem ação imediata. Os da zona amarela demandam monitoramento. Os da zona verde podem ser aceitos, desde que documentados.
Formas de Tratamento de Riscos
Após identificar e priorizar os riscos, a organização precisa decidir como agir. Existem quatro estratégias fundamentais:
Mitigar
Adotar controles que reduzam a probabilidade ou o impacto do risco. Ex.: firewalls, treinamentos, backups.
Transferir
Repassar o risco a terceiros. Ex.: contratar seguro cibernético ou terceirizar um serviço crítico.
Evitar
Eliminar a atividade que gera o risco. Ex.: descontinuar um sistema legado inseguro.
Aceitar
Reconhecer o risco e decidir conviver com ele, especialmente quando o custo de mitigação supera o impacto esperado.
Aula 6
Inventário e Classificação de Ativos de Informação
Não é possível proteger o que você não conhece. Contato direto com a prática de mapear e classificar os ativos de informação de uma organização simulada — habilidade fundamental para qualquer profissional de SI.
O que são Ativos de Informação?
Ativos de informação são todos os elementos que têm valor para a organização e que precisam de proteção. Eles podem ser tangíveis ou intangíveis.
Ativos Físicos
Servidores, computadores, dispositivos de armazenamento, roteadores, infraestrutura de rede.
Ativos Lógicos
Sistemas operacionais, aplicações, bancos de dados, códigos-fonte, licenças de software.
Ativos de Informação
Dados de clientes, contratos, relatórios financeiros, propriedade intelectual, senhas e credenciais.
Ativos Humanos
Colaboradores, suas competências, conhecimentos críticos e acesso a sistemas sensíveis.
Elaborando o Inventário de Ativos
O inventário de ativos é um registro sistemático de todos os itens que precisam de proteção. Cada ativo deve ser documentado com informações essenciais para a gestão de riscos.
A criticidade define prioridade de proteção. A classificação orienta quem pode acessar o ativo e como ele deve ser tratado.
Classificação de Ativos por Criticidade
Por que classificar?
Classificar ativos permite que a organização direcione recursos de segurança de forma inteligente — protegendo mais o que tem maior valor ou maior risco associado.
A classificação deve considerar:
  • Valor para o negócio
  • Impacto em caso de perda ou vazamento
  • Requisitos legais e regulatórios (ex.: LGPD)
  • Dependências operacionais
Níveis Típicos de Classificação
🔴 Confidencial
Acesso extremamente restrito. Danos graves se divulgado.
🟠 Restrito
Acesso limitado a grupos específicos.
🟡 Interno
Uso interno, sem divulgação externa.
🟢 Público
Pode ser divulgado sem restrições.
Exemlo de estrutura simples de Planilha de Riscos
Para organizar e gerenciar os riscos de segurança da informação, utiliza-se uma planilha que detalha cada risco, sua avaliação e as estratégias de tratamento. Abaixo, um exemplo prático:
Esta planilha exemplifica como cada risco é identificado, avaliado (Risco Inerente), priorizado (Nível de Risco) e como as ações de mitigação transformam o Risco Inerente em Risco Residual, que é o risco após o tratamento.
Atividade I: O Caso da InovaTech Consultoria
Nesta sessão prática, você assumirá o papel de um consultor de segurança da informação para a InovaTech Consultoria, uma empresa fictícia líder em soluções digitais.
A InovaTech Consultoria é especializada em desenvolvimento de software customizado, consultoria em nuvem e análise de dados para clientes em diversos setores, como financeiro, saúde e varejo. Ela lida diariamente com dados sensíveis de clientes, propriedade intelectual de projetos e informações financeiras próprias. Possui uma equipe de 150 colaboradores, servidores em nuvem e instalações físicas em duas cidades.
Sua tarefa será elaborar um inventário completo dos ativos de informação da InovaTech, utilizando planilhas reais como ferramenta. Cada ativo deve ser detalhado e, crucialmente, classificado quanto à sua criticidade e confidencialidade. Prepare-se para:
  • Identificar ativos físicos, lógicos, de informação e humanos.
  • Atribuir os níveis de criticidade (Alta, Média, Baixa) e classificação (Confidencial, Restrito, Interno, Público) para cada ativo.
  • Justificar suas escolhas de classificação com base no impacto potencial para a InovaTech.
  • Adicionar elementos gráficos.
  • Apresentar seu inventário classificado, defendendo suas análises e decisões para a "diretoria" (seus colegas e professor).
Este exercício visa aprimorar suas habilidades analíticas e de comunicação técnica, simulando um desafio real do mercado de segurança da informação.
Para se destacar, não limite sua planilha a apenas dados brutos: enriqueça-a com elementos de análise como gráficos de barras, pizza ou radares, e utilize formatação condicional para criar painéis (dashboards) intuitivos. Ao aplicar indicadores diferenciados — como alertas codificados por cores para níveis de risco — você transforma dados complexos em uma narrativa estratégica e profissional. Dominar a arte de comunicar riscos é um diferencial de alto valor no mercado, permitindo que a alta gestão compreenda instantaneamente a postura de segurança e apoie suas decisões fundamentadas.
Aula 7
Continuidade de Negócios: BCP e DRP
O que acontece quando um desastre paralisa os sistemas críticos de uma organização? A Aula 7 simula exatamente esse cenário — colocando os alunos no papel de gestores que precisam tomar decisões sob pressão para manter ou recuperar as operações.
BCP vs. DRP: Qual é a diferença?
BCP — Business Continuity Plan
Plano de Continuidade de Negócios: abrange toda a organização. Define como manter as operações críticas funcionando durante e após uma crise, incluindo processos, pessoas e comunicação.
Foco: manter o negócio vivo durante o incidente.
DRP — Disaster Recovery Plan
Plano de Recuperação de Desastres: é um componente do BCP focado especificamente em TI. Define como restaurar sistemas, dados e infraestrutura tecnológica após uma falha ou desastre.
Foco: recuperar a tecnologia após o incidente.

💡 Em resumo: o BCP é o plano maior que inclui o DRP. O DRP é a resposta técnica; o BCP é a resposta estratégica.
Conceitos-Chave: RTO e RPO
No planejamento de continuidade de negócios, dois indicadores fundamentais — RTO (Recovery Time Objective) e RPO (Recovery Point Objective) — atuam como bússolas para definir a resiliência tecnológica. Eles não apenas quantificam a tolerância de uma organização a interrupções, mas ditam a estratégia de proteção de dados e a arquitetura de sistemas necessária para garantir a sobrevivência operacional.
Enquanto o RTO é definido pela janela de tempo crítica para que o negócio retome suas atividades antes que os danos se tornem irreversíveis, o RPO é estabelecido com base na perda máxima de dados tolerável antes que o impacto financeiro ou legal seja proibitivo. A relação entre eles é de interdependência: uma estratégia robusta exige o alinhamento rigoroso desses dois parâmetros, assegurando que o tempo de recuperação (RTO) seja suportado por uma estratégia de backup que garanta a integridade dos dados até o ponto desejado (RPO).
RTO
Recovery Time Objective
Tempo máximo tolerável para restaurar um sistema após uma falha. Ex.: "Nosso sistema de vendas deve voltar em até 4 horas."
RPO
Recovery Point Objective
Quantidade máxima de dados que pode ser perdida, medida em tempo. Ex.: "Podemos perder no máximo 1 hora de transações."
Quanto menores o RTO e o RPO, maior o investimento necessário em redundância, backups e infraestrutura de alta disponibilidade.
Fases do Plano de Continuidade
Um BCP eficaz não começa durante a crise — ele é construído e testado antes que qualquer incidente ocorra. Organizações maduras revisam seus planos regularmente e conduzem simulações periódicas.
Impactos da Indisponibilidade de Serviços
Quando sistemas críticos ficam indisponíveis, os impactos se espalham por toda a organização. Compreender esses impactos é essencial para justificar investimentos em continuidade.
Impacto Financeiro
Perda de receita, multas regulatórias, custos de recuperação e possíveis indenizações a clientes prejudicados.
Impacto Reputacional
Perda de confiança de clientes e parceiros, cobertura negativa na mídia e dificuldade de recuperar a imagem da marca.
Impacto Legal e Regulatório
Violações de contratos, descumprimento de SLAs e infrações a leis como LGPD, que podem gerar sanções graves.
Impacto Operacional
Paralisação de processos críticos, queda de produtividade e incapacidade de atender clientes ou fornecedores.
Simulação de Crise
Como funciona a Simulação?
Ao receber um cenário de crise (ex.: ataque ransomware, queda de datacenter, vazamento de dados) e precisam tomar decisões em tempo real:
  • Ativar o plano de continuidade
  • Priorizar sistemas para recuperação
  • Comunicar stakeholders internos e externos
  • Avaliar impactos e documentar lições aprendidas
A metodologia estimula planejamento, análise crítica e tomada de decisão sob pressão — competências essenciais para profissionais de SI.
Atividade II (individual): Cenário de Crise na Black Friday
Prepare-se para um desafio crítico: uma empresa de e-commerce teve seu banco de dados indisponível por duas horas durante a Black Friday. Como você responderia?
01
Ativo Crítico
Qual é o ativo de informação mais crítico neste cenário e por quê?
02
Impacto no Negócio
Descreva os impactos imediatos e de longo prazo para o negócio.
03
Plano de Continuidade
Qual seria o plano de continuidade (BCP/DRP) para este incidente?
Este exercício prático faz os alunos perceberem rapidamente que segurança da informação não é apenas tecnologia — é, fundamentalmente, sobre o negócio.
Atividade III: Laboratório de Riscos

maristelaoliveira.github.io

LojaTech – Laboratório de Riscos

Você foi contratado como Analista de Segurança da Informação da LojaTech, um e-commerce com operação nacional. Sua missão é investigar cenários críticos, comparar riscos, priorizar ativos e decidir medidas de continuidade de negócios.

Atividade IV (individual): O Caso da LojaTech
Estudar conceitos de Continuidade de Negócios (BCP) e Recuperação de Desastres (DRP) pode parecer puramente teórico até que enfrentamos os desafios do mundo real. Analisar cenários práticos é essencial para compreender como as falhas técnicas se traduzem em problemas reais para as organizações.
Para este exercício, focaremos na LojaTech, uma varejista online fundada há poucos anos que, devido ao seu crescimento acelerado, hoje atende milhares de clientes e processa centenas de pedidos diariamente. O sucesso desta operação depende inteiramente da disponibilidade contínua e da integridade absoluta de seus ativos digitais, que sustentam todo o ciclo de vendas e atendimento.
Abaixo, apresentamos os componentes fundamentais que compõem a infraestrutura tecnológica crítica da LojaTech:
Sistema de Vendas Online
A plataforma e-commerce principal.
Banco de Dados de Clientes
Contém informações essenciais de clientes e histórico de compras.
Servidor de E-mail Corporativo
Fundamental para comunicação interna e com clientes.
Rede Interna
Infraestrutura de conexão para todas as operações.
Computadores dos Funcionários
Ferramentas de trabalho diárias da equipe.
Nas próximas etapas, você será desafiado a desenvolver estratégias para proteger a LojaTech de incidentes e garantir a continuidade de suas operações.
Passo 1: Identificar os Ativos da LojaTech
A primeira etapa crucial em qualquer plano de continuidade de negócios é mapear todos os ativos de informação que são essenciais para as operações da empresa. Para a LojaTech, começamos com a lista a seguir, identificando cada ativo e seu respectivo tipo.
Passo 2: Identificar Ameaças para a LojaTech
Após inventariar os ativos, o próximo passo crucial é identificar as ameaças potenciais que podem comprometer a disponibilidade, integridade ou confidencialidade desses ativos. Para a LojaTech, isso significa pensar nos riscos específicos que cada componente crítico pode enfrentar no ambiente digital.
Compreender as ameaças específicas é fundamental para desenvolver estratégias eficazes de mitigação e planos de recuperação direcionados.
Passo 3: Avaliar Impacto e Probabilidade
Nesta etapa fundamental, quantificamos os riscos identificados na LojaTech, atribuindo-lhes um valor com base em sua probabilidade de ocorrência e no impacto que causariam. Utilizaremos uma escala simples para facilitar a análise inicial.
Probabilidade
A probabilidade refere-se à chance de uma ameaça específica se concretizar, afetando um ativo da LojaTech.
  • 1 = Baixa: Muito improvável de acontecer.
  • 2 = Média: Pode ocorrer ocasionalmente.
  • 3 = Alta: É provável ou já ocorreu antes.
Impacto
O impacto mede a gravidade das consequências para a LojaTech caso a ameaça se concretize.
  • 1 = Baixo: Pequenas interrupções, facilmente gerenciáveis.
  • 2 = Médio: Perdas financeiras moderadas ou interrupções operacionais significativas.
  • 3 = Alto: Grandes perdas financeiras, danos reputacionais severos ou interrupção crítica de serviços.
Ao cruzar esses dois fatores (Probabilidade × Impacto), podemos priorizar os riscos e focar nossos recursos de segurança onde são mais necessários, otimizando a proteção da LojaTech.
Passo 4: Construir a Matriz de Risco
Com as avaliações de probabilidade e impacto em mãos, o próximo passo é consolidar esses dados em uma matriz de risco. Esta ferramenta visual nos permite categorizar e priorizar os riscos da LojaTech, revelando rapidamente onde devemos concentrar nossos esforços de mitigação.
A matriz de risco transforma dados complexos em informações acionáveis, permitindo uma tomada de decisão mais estratégica para a proteção dos ativos da LojaTech.
Passo 5: Plano de Mitigação
Após identificar e avaliar os riscos, o próximo passo crucial é desenvolver um plano de mitigação. Este plano detalha as medidas específicas que a LojaTech implementará para reduzir a probabilidade e/ou o impacto dos riscos mais críticos.
Implementar e revisar periodicamente essas medidas é vital para a resiliência da LojaTech contra ameaças cibernéticas, garantindo a continuidade de suas operações e a proteção de seus ativos mais valiosos.
Passo 6: Plano de Continuidade de Negócios
Com base em tudo que aprendemos, vamos simular um cenário prático para a LojaTech. Imagine que, por algum motivo, o sistema de vendas online da empresa fica indisponível por 6 horas.
Quais seriam as primeiras ações da LojaTech para minimizar os impactos e garantir que as operações continuem, mesmo que de forma reduzida?
Recurso a Backup
Utilizar backup recente dos dados do sistema para iniciar um processo de restauração.
Ativação de Contingência
Ativar um servidor de contingência ou ambiente alternativo para retomar as vendas rapidamente.
Vendas Offline/Manual
Implementar um plano para receber pedidos offline ou manualmente, informando os clientes sobre o ocorrido.
Recuperação do Banco de Dados
Priorizar a recuperação e verificação do banco de dados para assegurar a integridade das informações.
Analisar essas opções é crucial para que a LojaTech esteja preparada para qualquer interrupção, mantendo a resiliência e a confiança de seus clientes.
Conectando as Três Aulas: Uma Visão Integrada
As Aulas 5, 6 e 7 formam um ciclo lógico e progressivo dentro da Unidade 4. Cada tema prepara o terreno para o próximo.
Aula 5
Entender o risco: conceitos, probabilidade, impacto e tratamento
Aula 6
Conhecer os ativos: o que precisa ser protegido e qual é sua criticidade
Aula 7
Garantir a continuidade: planejar como o negócio sobrevive a incidentes graves

🔗 Este ciclo se conecta diretamente com as unidades seguintes: ISO 27001, controles de segurança e auditoria em SI.
Pontos-Chave da Unidade 4
Risco = Probabilidade × Impacto
Todo risco deve ser analisado nestas duas dimensões antes de qualquer decisão de tratamento.
Você não pode proteger o que não conhece
O inventário de ativos é o ponto de partida para qualquer programa de segurança sólido.
Continuidade não é improviso — é planejamento
BCP e DRP devem ser construídos, testados e revisados antes que a crise aconteça.
Tratamento de riscos é uma decisão de negócio
Mitigar, transferir, evitar ou aceitar — cada escolha tem implicações estratégicas e financeiras.