Ir para o conteúdo principal

Tratamento do risco.

O tratamento do risco é o que se faz depois de conhecer o risco: evitar, reduzir, transferir, aceitar. Cada decisão é documentada, justificada pelo apetite ao risco e rastreada através da SoA até aos controlos e às evidências operacionais. A maioria das auditorias falhadas resume-se a uma coisa: o plano de tratamento e a realidade divergiram, e ninguém atualizou a SoA.

Por Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyGestão de riscoTodas as entradas

A perspetiva da Cyber Academy

O tratamento do risco é o que se faz depois de conhecer o risco: evitar, reduzir, transferir, aceitar. Cada decisão é documentada, justificada pelo apetite ao risco e rastreada através da SoA até aos controlos e às evidências operacionais. A maioria das auditorias falhadas resume-se a uma coisa: o plano de tratamento e a realidade divergiram, e ninguém atualizou a SoA.

As quatro opções de tratamento

O tratamento do risco é a etapa em que a avaliação se converte em ação. Uma vez que um risco tenha sido identificado, analisado e avaliado em relação aos seus critérios, você tem de decidir o que fazer a respeito dele. O vocabulário convencional, partilhado por ISO 31000 e ISO/IEC 27005, oferece-lhe quatro famílias de resposta. Elas não estão ordenadas da melhor para a pior; a escolha certa depende do risco, do custo do controlo e do apetite que a direção aprovou.

  • Evitar: cessar a atividade que cria o risco, ou realizá-la de outra forma. Você desativa o serviço exposto, abandona a funcionalidade ou sai do mercado que desencadeia a exposição.
  • Reduzir (modificar): aplicar controlos que diminuam a probabilidade, o impacto, ou ambos. É o caminho mais comum e o que se liga diretamente ao seu conjunto de controlos.
  • Transferir (partilhar): mover parte da consequência financeira ou operacional para um terceiro, normalmente através de um seguro ou de uma cláusula contratual. A transferência raramente move o risco inteiro; resta-lhe o resíduo reputacional e regulamentar.
  • Aceitar (reter): decidir que o risco residual é tolerável e conviver com ele, deixando registo. A aceitação é uma decisão legítima, não uma omissão, desde que a autoridade competente a assine.

Da decisão à evidência: a cadeia que os auditores seguem

A parte difícil do tratamento do risco não é escolher uma opção, é manter coerente o rasto documental. Cada decisão deve ser justificada por referência ao apetite ao risco documentado, registada num plano de tratamento do risco e, em seguida, rastreada até aos controlos que a implementam e às evidências de que operam. Num sistema de gestão da segurança da informação ISO/IEC 27001 é aqui que vive a Declaração de Aplicabilidade (SoA): regista quais controlos do Anexo A se aplicam, porquê, e onde reside a evidência.

A constatação de auditoria mais frequente nesta área é o desvio. O plano de tratamento dizia uma coisa, a SoA dizia outra, e a operação no terreno já tinha avançado para além de ambas. Um controlo é retirado, um projeto muda de âmbito, um fornecedor é substituído, e ninguém atualiza os documentos. As decisões podem ter sido todas razoáveis isoladamente, mas a cadeia já não concilia, e essa incoerência é o que produz uma não conformidade.

Risco residual e reavaliação

O tratamento não faz um risco desaparecer. O que sobra depois de aplicados os controlos é o risco residual, e essa é a cifra que o proprietário do risco efetivamente aceita. A boa prática é voltar a executar a análise sobre o risco tratado para que o nível residual fique explícito, e depois encaminhá-lo de novo pela mesma autoridade de aceitação. A ISO/IEC 27005, alinhada desde a sua revisão de 2022 com os princípios da ISO 31000, enquadra isto como um ciclo iterativo em vez de um exercício pontual: você trata, mede o que resta, aceita ou trata de novo.

O que os profissionais realmente fazem

No trabalho diário de GRC, o tratamento do risco é conduzido como um plano vivo e não como um entregável de projeto. Um ritmo viável tem este aspeto:

  1. Ligue cada decisão de tratamento a um risco nomeado no registo e ao enunciado de apetite que a justifica, para que a fundamentação sobreviva à rotatividade de pessoal.
  2. Atribua um único responsável prestador de contas e uma data-alvo a cada ação de «reduzir», e acompanhe-as como qualquer outro compromisso.
  3. Mantenha a SoA, o plano de tratamento e a evidência dos controlos conciliados numa cadência fixa, não apenas antes de uma auditoria.
  4. Registe o risco residual e a assinatura de aceitação para tudo o que não mitigar por completo, incluindo os riscos que transfere.

Feito desta forma, o plano de tratamento deixa de ser teatro de auditoria e torna-se o lugar onde a organização pode dizer honestamente a que está exposta e quem decidiu que isso era aceitável.

Perguntas frequentes

01Quais são as quatro opções de tratamento do risco?

Evitar, reduzir (modificar), transferir (partilhar) e aceitar (reter). ISO 31000 e ISO/IEC 27005 partilham este vocabulário. Nenhuma é intrinsecamente superior; a escolha depende do risco, do custo do tratamento e do seu apetite ao risco.

02Aceitar um risco é o mesmo que ignorá-lo?

Não. A aceitação é uma decisão deliberada e documentada, assinada por alguém com a autoridade adequada. Ignorar um risco deixa-o não tratado e não registado, que é precisamente o que um auditor assinala como uma lacuna.

03Como é que o tratamento do risco se liga à Declaração de Aplicabilidade?

Num SGSI ISO/IEC 27001, as decisões de tratamento para reduzir o risco orientam os controlos que você seleciona, e a SoA regista quais controlos se aplicam, porquê, e onde reside a evidência. O plano de tratamento e a SoA devem manter-se coerentes entre si e com a realidade.

04O que é o risco residual neste contexto?

O risco residual é o que resta depois de você ter aplicado os controlos escolhidos. É o nível que o proprietário do risco efetivamente aceita, por isso a boa prática é reavaliá-lo explicitamente e encaminhá-lo de novo pela sua autoridade de aceitação.

05Transferir um risco remove a sua responsabilidade?

Raramente. Um seguro ou uma cláusula contratual podem mover a consequência financeira ou operacional para um terceiro, mas normalmente você retém a exposição reputacional e regulamentar, e a responsabilização pelo risco permanece sua.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.