Avaliação quantitativa do risco cibernético para NIS2 e DORA
A reunião do Conselho de Administração em que “risco elevado” deixou de bastar
São 08:15 de uma terça-feira. O Diretor de Segurança da Informação (CISO) de uma fintech em rápido crescimento está à porta da sala do Conselho de Administração com três versões da mesma história de risco cibernético.
A primeira versão é familiar: ransomware é “Elevado”, indisponibilidade da cloud é “Elevado”, comprometimento de fornecedor é “Médio”, utilização indevida de acessos privilegiados é “Elevado”. É defensável, está alinhada com o registo de riscos atual e é quase inútil para a decisão que o Conselho de Administração tem de tomar.
A segunda versão é um roteiro técnico: implementar cópias de segurança imutáveis, melhorar os controlos de identidade, financiar testes de resiliência, reforçar a monitorização de fornecedores e alargar a cobertura de logs. É uma abordagem sensata, mas o Diretor Financeiro coloca a pergunta que muda a reunião: “Qual destas medidas reduz mais risco para o negócio por euro investido?”
A terceira versão muda a conversa.
Uma indisponibilidade de 12 horas da plataforma de orquestração de pagamentos é estimada em €620.000 de impacto bruto operacional, contratual e de receita. A exposição anualizada atual é estimada em €186.000. Um pacote de resiliência de €74.000 pode reduzir a perda anual esperada para aproximadamente €62.000. A exposição remanescente continua acima da tolerância porque o serviço suporta uma função crítica ou importante, a exposição associada à notificação de clientes continua material e a dependência de terceiros é elevada.
Agora, o Conselho de Administração não está a discutir cores. Está a discutir exposição financeira, tolerância ao risco, responsabilização regulamentar e prioridades de investimento.
Isto é a avaliação quantitativa do risco cibernético em 2026. Não é teatro matemático. Não é fingir que eventos cibernéticos podem ser previstos com precisão perfeita. É a tradução disciplinada de “isto está a vermelho” para “esta é a exposição financeira plausível, este é o nível de confiança, esta é a consequência regulamentar, esta é a decisão de tratamento e este é o trilho de evidência”.
Para CISOs, responsáveis de conformidade, auditores e responsáveis de negócio, esta mudança está a tornar-se obrigatória na prática. A ISO/IEC 27001:2022 exige um processo documentado, consistente e comparável de avaliação de riscos e tratamento de riscos. A NIS2 coloca o risco de cibersegurança no âmbito da aprovação, supervisão, formação e responsabilidade do órgão de administração. O DORA torna a governação do risco das TIC, os testes de resiliência, a classificação de incidentes, o risco de terceiros e a responsabilização da gestão centrais para as entidades financeiras. O NIST CSF 2.0 dá à liderança uma linguagem de governação para apetite ao risco, priorização e supervisão. O RGPD da UE acrescenta responsabilização quando estão envolvidos dados pessoais.
A lacuna não é a ausência de registos de riscos nas organizações. A lacuna é que muitos registos de riscos não conseguem explicar dinheiro, prioridades, responsabilização do Conselho de Administração ou evidência de auditoria.
A abordagem da Clarysec fecha essa lacuna ao combinar o Zenith Blueprint: roteiro de 30 passos para auditores Zenith Blueprint, as políticas da Clarysec e o Zenith Controls: guia de conformidade transversal Zenith Controls num único modelo prático de evidência: quantificar o que importa, mapear para controlos, demonstrar quem aceitou o risco e provar que o tratamento funcionou.
Porque os registos de riscos qualitativos já não são suficientes
A avaliação de riscos qualitativa continua a ser importante. Uma matriz clara de probabilidade e impacto ajuda as equipas a priorizar quando os dados são incompletos, especialmente num âmbito amplo do SGSI. O problema começa quando a organização fica por aí.
Um Conselho de Administração consegue compreender que um risco é “Elevado”, mas não consegue comparar facilmente três riscos “Elevados” que competem pelo mesmo orçamento. A prioridade máxima é o cenário de ransomware, a indisponibilidade da cloud, o risco de concentração em fornecedor ou a fragilidade de acessos privilegiados? A resposta depende da exposição financeira, severidade regulamentar, impacto nos clientes, obrigações contratuais, criticidade do serviço e risco residual após tratamento.
É por isso que a avaliação quantitativa do risco cibernético funciona melhor como modelo híbrido. Não quantifique todas as questões menores. Use pontuação qualitativa em todo o registo e acrescente análise financeira aos riscos que exigem decisões de gestão, aprovação de investimento, ação contratual, transferência de risco ou supervisão pelo Conselho de Administração.
A Política de Gestão de Riscos empresarial da Clarysec Política de Gestão de Riscos suporta isto explicitamente. Na secção “Requisitos de implementação da política”, cláusula 6.2.3, afirma:
“Podem ser aplicados métodos qualitativos e quantitativos consoante a categoria de risco e a disponibilidade de informação.”
Esta cláusula é importante porque evita uma falha comum: falsa precisão. Organizações maduras não impõem modelação financeira a todos os pequenos riscos. Aplicam-na onde a decisão a exige.
Para PMEs, a base pode continuar simples. A Política de Gestão de Riscos para PME da Clarysec Política de Gestão de Riscos - PME, secção “Requisitos de governação”, cláusula 5.1.2, afirma:
“Cada entrada de risco deve incluir: descrição, probabilidade, impacto, pontuação, responsável e plano de tratamento.”
A melhoria não consiste em substituir essa estrutura. Consiste em enriquecer as entradas mais importantes com estimativas financeiras, especialmente quando estão envolvidos indisponibilidade, serviços regulados, dados pessoais, dependência de cloud, externalização de TIC ou compromissos críticos com clientes.
A mudança de governação: o risco cibernético é agora um artefacto do Conselho de Administração
A quantificação do risco cibernético não é apenas um exercício financeiro. É evidência de governação.
Nos termos da ISO/IEC 27001:2022, a organização deve determinar o contexto, as partes interessadas, os requisitos legais e contratuais, o âmbito, as interfaces e as dependências. Deve definir um processo de avaliação de riscos de segurança da informação que produza resultados consistentes, válidos e comparáveis. Deve identificar riscos para a confidencialidade, integridade e disponibilidade, identificar responsáveis pelo risco, avaliar consequências e probabilidade, determinar níveis de risco e priorizar riscos. Em seguida, deve selecionar opções de tratamento, determinar controlos, compará-los com o Anexo A, produzir uma Declaração de Aplicabilidade, obter aprovação dos responsáveis pelo risco e reter informação documentada.
Isto significa que o registo de riscos não é uma folha de cálculo privada da equipa de segurança da informação. É um registo do SGSI que liga liderança, seleção de controlos, responsabilização pelo tratamento e revisão pela gestão.
A NIS2 eleva ainda mais a expectativa. Os órgãos de administração de entidades essenciais e importantes devem aprovar medidas de gestão de riscos de cibersegurança, supervisionar a sua implementação e receber formação para poderem compreender os riscos e avaliar práticas de cibersegurança. A NIS2 Article 21 exige medidas técnicas, operacionais e organizacionais adequadas e proporcionadas, considerando o estado da arte, o custo de implementação, a exposição ao risco, a dimensão da entidade, a probabilidade, a severidade e o impacto societal e económico.
A expressão “impacto societal e económico” é onde a quantificação financeira do risco cibernético se torna poderosa. Um prestador que suporte serviços cloud, centros de dados, DNS, serviços de confiança, serviços geridos, serviços de segurança geridos, infraestrutura digital, mercados em linha ou outros setores abrangidos pode ter de demonstrar não apenas que os controlos existem, mas também por que motivo são proporcionais à exposição.
Para entidades financeiras, o DORA é aplicável a partir de 17 de janeiro de 2025 e torna-se o regime setorial específico de resiliência operacional digital. Abrange gestão do risco das TIC, comunicação de incidentes graves relacionados com as TIC, testes de resiliência operacional digital, partilha de informações sobre ameaças cibernéticas, risco de terceiros de TIC e supervisão de prestadores terceiros críticos de serviços de TIC. Para entidades financeiras também identificadas ao abrigo da transposição nacional da NIS2, o DORA funciona como o ato jurídico da União setorial específico para as matérias relevantes de gestão do risco das TIC e comunicação de incidentes.
Em termos práticos, uma fintech não precisa de cinco referenciais de risco desligados. Precisa de um modelo de risco integrado que mostre que regime se aplica, que dependências existem, que exposição financeira é plausível e como a gestão aprovou e monitorizou o tratamento.
O RGPD da UE acrescenta outra camada. Se estiverem envolvidos dados pessoais, um evento cibernético pode tornar-se uma violação de dados pessoais, e não apenas um incidente operacional. O modelo de risco deve identificar o contexto de tratamento, o papel de responsável pelo tratamento ou subcontratante, categorias de dados, dados de categorias especiais quando aplicável, medidas de segurança, lógica de avaliação de violação e implicações de notificação.
Do mapa de calor aos euros: o modelo híbrido prático
A pergunta correta não é “Devemos substituir a avaliação de riscos qualitativa?”. A pergunta correta é “Que riscos justificam quantificação financeira?”.
O Zenith Blueprint, fase de Gestão de Riscos, passo 12, “Métodos de Avaliação de Riscos: Qualitativos e Quantitativos”, dá uma resposta pragmática:
“A avaliação de riscos quantitativa procura estimar o risco em termos numéricos (por exemplo, perda anual esperada em moeda). Isto envolve frequentemente:
✓ Recolha de dados históricos de incidentes (por exemplo, com que frequência ocorre uma violação e qual é o custo médio). ✓ Utilização de modelos como a Perda Anual Esperada (ALE = Impacto de Perda Única × Taxa Anual de Ocorrência) ou referenciais como FAIR (Factor Analysis of Information Risk) para análises mais complexas.”
O mesmo passo alerta que uma análise puramente quantitativa pode ser difícil para PMEs porque os dados históricos podem ser limitados e o processo pode consumir muitos recursos. A resposta prática é uma análise quantitativa “leve” para os principais riscos.
| Elemento | Significado prático | Exemplo |
|---|---|---|
| Impacto de Perda Única | Impacto estimado se o cenário ocorrer uma vez | €620.000 para uma indisponibilidade de 12 horas da plataforma de pagamentos |
| Taxa Anual de Ocorrência | Frequência estimada por ano | 0,3, ou seja, aproximadamente uma vez a cada 3,3 anos |
| Perda Anual Esperada | Impacto de Perda Única multiplicado pela Taxa Anual de Ocorrência | €186.000 de exposição anual esperada |
| Custo do Tratamento | Custo do pacote de controlos | €74.000 para comutação por falha, monitorização e testes |
| Perda Anual Residual Esperada | Exposição anual estimada após tratamento | €62.000 |
| Decisão | Tratar, transferir, evitar ou aceitar | Tratar e rever o risco residual na revisão pela gestão |
Os números não têm de ser perfeitos. Têm de ser explicados. As premissas de impacto podem incluir perda de receita, créditos de SLA, compensação a clientes, resposta a incidentes, assessoria jurídica, suporte forense, horas extraordinárias, apoio ao cliente, esforço de notificação regulamentar, perda de clientes e impacto reputacional. As premissas de frequência podem vir de incidentes internos, relatórios de indisponibilidade de fornecedores, inteligência sobre ameaças, experiência setorial, exposição a vulnerabilidades, constatações de auditoria e maturidade dos controlos.
O Zenith Blueprint, fase de Gestão de Riscos, passo 10, “Definição de critérios de risco e matriz de impacto”, explica por que razão o modelo deve ser calibrado:
“Ao definir o impacto, é recomendável relacionar os níveis com a escala específica do seu negócio. Por exemplo, ‘Impacto financeiro maior = perda > $100k’ (ajuste ao seu contexto). Considere também o impacto regulamentar: por exemplo, uma violação de dados pessoais pode ser automaticamente ‘Maior’ ou ‘Severa’ devido a coimas do RGPD da UE e requisitos de notificação, mesmo que a perda financeira direta não seja clara.”
Esta é a ponte entre risco qualitativo e quantitativo. “Maior” só se torna significativo quando a organização define o que significa maior em termos financeiros, operacionais, legais e de cliente.
Exemplo prático: quantificar o risco de indisponibilidade de um fornecedor cloud
Imagine um prestador SaaS que serve clientes do setor financeiro. Depende de um prestador de alojamento em cloud, de uma plataforma de base de dados gerida, de uma gateway de pagamentos e de um serviço de notificação de clientes. A equipa seleciona um cenário para análise quantitativa:
“Indisponibilidade prolongada da plataforma de base de dados gerida causa interrupção do serviço orientado para o cliente e atraso no processamento de transações.”
Passo 1: definir o cenário de risco e o responsável
A Política de Gestão de Riscos para PME exige descrição, probabilidade, impacto, pontuação, responsável e plano de tratamento. A Política de Gestão de Riscos empresarial, secção “Requisitos de governação”, cláusula 5.2.2, acrescenta que o registo:
“Inclui responsáveis pelo risco, pontuações de impacto e probabilidade, planos de tratamento, prazos e referências de controlos”
O responsável não é “TI”. O responsável efetivo é o responsável pelo serviço, apoiado pelo CISO, CTO, responsável de conformidade, gestor de fornecedores e área financeira.
Passo 2: estimar a exposição financeira
A equipa estima:
- €35.000 por hora em perda de receita de transações e créditos de SLA
- €8.000 por hora em custos de suporte, escalonamento e tratamento de incidentes
- €60.000 em custos de remediação e comunicação com clientes
- €120.000 em potencial perda de clientes ou impacto comercial
- 10 horas como indisponibilidade severa plausível, com base no histórico do fornecedor e na revisão da arquitetura
O Impacto de Perda Única é:
10 × (€35.000 + €8.000) + €60.000 + €120.000 = €610.000
A probabilidade atual é estimada em 0,25 por ano. A Perda Anual Esperada é:
€610.000 × 0,25 = €152.500
O pacote de tratamento proposto inclui desenho de comutação por falha multirregião, testes de restauro de cópias de segurança, revisão do SLA do fornecedor, monitorização sintética, um exercício de simulação e atualização do plano de saída. O custo do primeiro ano é €82.000, com €34.000 recorrentes.
Após o tratamento, a probabilidade residual é estimada em 0,10 por ano e o impacto residual de perda única em €350.000, devido a restauro mais rápido. A ALE residual é:
€350.000 × 0,10 = €35.000
A redução no primeiro ano da exposição anual esperada é de aproximadamente €117.500, antes de considerar resiliência regulamentar, confiança dos clientes e benefícios contratuais.
Passo 3: escolher o tratamento e documentar a justificação
O tratamento de riscos nem sempre é mitigação pura. A Política de Gestão de Riscos para PME da Clarysec, secção “Requisitos de implementação da política”, cláusula 6.1.3, afirma:
“Transferência: utilizar contratos, Acordos de Nível de Serviço ou seguros para transferir o risco externamente.”
Para este cenário, a organização escolhe um tratamento misto: reduzir através de resiliência técnica, transferir uma parte através de SLA e meios contratuais, e aceitar o risco residual com aprovação da gestão.
Passo 4: mapear o tratamento para a Declaração de Aplicabilidade
A Política de Gestão de Riscos empresarial, secção “Alinhamento com a Declaração de Aplicabilidade (SoA)”, cláusula 6.5.1, afirma:
“As decisões de controlo resultantes do processo de tratamento do risco devem refletir-se na SoA.”
É aqui que o modelo financeiro fica adequado para auditoria. O cenário de indisponibilidade de fornecedor liga-se aos controlos de fornecedores, cloud, continuidade, incidentes e disrupção do Anexo A da ISO/IEC 27001:2022. Também se liga à segurança da cadeia de fornecimento e continuidade de negócio da NIS2, ao risco de terceiros de TIC e aos testes de resiliência do DORA, à segurança e avaliação de violação do RGPD da UE se forem afetados dados pessoais, e aos resultados de governação, cadeia de fornecimento, resposta e recuperação do NIST CSF.
O Zenith Blueprint, fase de Gestão de Riscos, passo 13, “Planeamento do tratamento de riscos e Declaração de Aplicabilidade”, explica a rastreabilidade:
“A SoA é, na prática, um documento de ponte: liga a sua avaliação/tratamento de riscos aos controlos efetivamente existentes. Ao completá-la, também verifica se deixou algum controlo por considerar.”
Uma justificação forte na SoA poderia dizer: “Aplicável porque a indisponibilidade da base de dados gerida afeta um serviço crítico ao cliente, dependência de terceiros de TIC, obrigações contratuais com clientes, compromissos de continuidade e potencial disponibilidade de dados pessoais. Os controlos são selecionados para reduzir uma exposição anualizada quantificada de €152.500 e suportar o risco residual aprovado pela gestão.”
Passo 5: escalar com base em limiares
A Política de Gestão de Riscos empresarial, secção “Requisitos de governação”, cláusula 5.6, exige:
“A Matriz de Autoridade de Risco deve definir claramente os limiares de escalonamento para a gestão de topo ou para o Conselho de Administração.”
Uma exposição anualizada de €152.500 pode exceder a tolerância da gestão local. Um risco de menor valor pode ainda exigir escalonamento se afetar uma função crítica ou importante, acionar expectativas do DORA, envolver dados pessoais, ameaçar compromissos com clientes ou criar responsabilização do órgão de administração ao abrigo da NIS2.
Mapeamento de conformidade transversal: um risco quantificado, muitas obrigações
Um risco cibernético quantificado não deve ser copiado para cinco folhas de cálculo de conformidade separadas. Deve tornar-se um único objeto de risco com múltiplas visões de conformidade.
| Perspetiva de conformidade | O que o risco quantificado deve demonstrar | Artefacto de evidência |
|---|---|---|
| ISO/IEC 27001:2022 | Critérios de risco, responsável, probabilidade, consequência, tratamento, aceitação residual, mapeamento para a SoA e evidência operacional | Registo de riscos, plano de tratamento, SoA, revisão pela gestão, registos de auditoria |
| NIS2 | Medidas adequadas e proporcionadas, aprovação e supervisão pelo órgão de administração, considerações sobre incidentes e continuidade, medidas de cadeia de fornecimento | Atas do Conselho de Administração, registos de formação, aprovações de tratamento de riscos, fluxo de trabalho de incidentes |
| DORA | Governação do risco das TIC, funções críticas ou importantes, dependências de terceiros de TIC, testes, classificação de incidentes e estratégia de resiliência | Quadro de risco das TIC, registo de informação, resultados dos testes, classificação de incidentes, plano de saída |
| RGPD da UE | Âmbito de dados pessoais, medidas de segurança, implicações de violação, responsabilização do responsável pelo tratamento ou subcontratante, contexto de tratamento lícito | Ligação ao RoPA, AIPD quando aplicável, avaliação de violação, evidência de segurança |
| NIST CSF 2.0 | Apetite ao risco, priorização normalizada, governação, risco de fornecedor, resultados de deteção, resposta e recuperação | Perfil Atual, Perfil Alvo, plano de ação, POA&M, registos de risco de fornecedores |
| COBIT 2019 | Objetivos de governação, monitorização de desempenho, otimização de risco, decisões de recursos e garantia | Reporte de governação, métricas de desempenho dos controlos, relatórios de garantia |
A NIS2 Article 21 é especialmente relevante porque inclui análise de riscos, políticas de segurança, tratamento de incidentes, continuidade de negócio, cópia de segurança, recuperação de desastre, gestão de crise, segurança da cadeia de fornecimento, desenvolvimento seguro, tratamento de vulnerabilidades, avaliação de eficácia, higiene de cibersegurança, formação, criptografia, segurança de recursos humanos, controlo de acesso, gestão de ativos e autenticação.
O DORA cria disciplina semelhante para entidades financeiras, mas com foco setorial específico. Exige um quadro interno de governação e controlo para o risco das TIC, com o órgão de administração como responsável último. Espera aprovação e supervisão de políticas de TIC, papéis, estratégia de resiliência operacional digital, tolerância ao risco das TIC, planos de continuidade e resposta, planos de auditoria, orçamentos, formação, políticas de terceiros de TIC e canais de reporte.
O DORA também dá à avaliação de riscos quantitativa um desencadeador operacional direto: a classificação de incidentes. Incidentes graves relacionados com as TIC devem ser classificados usando critérios como clientes, contrapartes e transações afetados, duração, indisponibilidade, dispersão geográfica, perdas de dados que afetem disponibilidade, autenticidade, integridade ou confidencialidade, criticidade dos serviços afetados e impacto económico. Se o modelo de risco já estima indisponibilidade, impacto em clientes, impacto nos dados e perda económica, apoia a classificação de incidentes quando ocorre um evento real.
O mapeamento de controlos que torna auditável a responsabilização do Conselho de Administração
No Zenith Controls, a Clarysec mapeia o controlo 5.4 da ISO/IEC 27002:2022, “Responsabilidades da gestão”, como âncora de governação para a responsabilização em segurança da informação. O guia trata-o como preventivo, de suporte à confidencialidade, integridade e disponibilidade, alinhado com o conceito de cibersegurança “Identificar”, tendo a governação como capacidade operacional e a governação mais o ecossistema como domínios de segurança.
Isto é relevante porque a exposição financeira cibernética pertence ao processo de decisão da gestão. O Zenith Controls liga o controlo 5.4 da ISO/IEC 27002:2022 a vários controlos de suporte:
| Relação de controlo ISO/IEC 27002:2022 | Porque é importante para o risco quantificado |
|---|---|
| 5.2 Papéis e responsabilidades em segurança da informação | Responsáveis pelo risco, responsáveis pelos controlos e autoridades de escalonamento devem estar definidos |
| 5.1 Políticas de segurança da informação | As decisões de risco quantificado devem alinhar-se com compromissos de política aprovados |
| 5.35 Revisão independente da segurança da informação | A revisão independente dá à gestão garantia objetiva sobre o tratamento de riscos |
| 5.36 Conformidade com políticas, regras e normas de segurança da informação | A monitorização da conformidade demonstra se os tratamentos estão a operar como previsto |
| 5.8 Segurança da informação na gestão de projetos | Novos produtos e alterações devem incluir risco cibernético e exposição financeira desde cedo |
O Zenith Controls também mapeia as responsabilidades da gestão para as cláusulas 5.1, 5.2 e 9.3 da ISO/IEC 27001:2022, ligando liderança, política e revisão pela gestão. Mapeia ainda para as cláusulas 6 e 7 da ISO/IEC 27014:2020, centradas em referenciais e processos de governação para avaliar, dirigir, monitorizar e comunicar a segurança da informação.
A cadeia de evidência é direta:
- A gestão define apetite, tolerância e limiares de escalonamento.
- Os responsáveis pelo risco quantificam os principais riscos cibernéticos.
- Os controlos são selecionados e refletidos na SoA.
- As ações de tratamento são executadas e monitorizadas.
- A revisão independente e a monitorização da conformidade testam a eficácia.
- A revisão pela gestão avalia desempenho, incidentes, resultados de auditoria, recursos e ações de melhoria.
- O Conselho de Administração recebe exposição financeira, risco residual e evidência de responsabilização em termos de negócio.
A Política de Gestão de Riscos para PME da Clarysec, secção “Papéis e responsabilidades”, cláusula 4.1.1, reforça este papel de governação:
“Define o apetite ao risco da organização e aprova o quadro de gestão de riscos.”
Para uma PME, isto pode caber ao Diretor-Geral ou ao proprietário. Para uma entidade financeira regulada, pode caber ao órgão de administração. O princípio de responsabilização é o mesmo.
Como auditores e autoridades reguladoras testarão os seus números
A avaliação quantitativa do risco cibernético não será auditada como ciência atuarial perfeita. Será auditada quanto ao método, consistência, rastreabilidade, governação e evidência.
| Perspetiva do auditor ou avaliador | O que será testado | Evidência esperada |
|---|---|---|
| ISO/IEC 27001:2022 | Cláusula 6.1.2 Avaliação de riscos, cláusula 6.1.3 Tratamento de riscos, decisões da SoA, aprovação do responsável pelo risco e cláusula 9.3 Revisão pela gestão | Critérios de risco, registo, plano de tratamento, SoA, aprovações, atas da revisão pela gestão |
| Autoridade competente NIS2 | Aprovação e supervisão pelo órgão de administração, medidas do Article 21, proporcionalidade, preparação para incidentes e formação | Pacotes para o Conselho de Administração, registos de formação, aprovações de risco, procedimentos de incidentes, evidência de continuidade |
| Supervisor DORA ou auditor interno | Quadro de risco das TIC, tolerância ao risco das TIC, funções críticas ou importantes, testes, classificação de incidentes e risco de terceiros de TIC | Registo de riscos das TIC, estratégia de resiliência, registo de informação, resultados dos testes, planos de saída |
| Avaliador NIST CSF 2.0 | Resultados GOVERN, incluindo GV.RM-02 apetite e tolerância ao risco e GV.RM-06 priorização normalizada | Perfil Atual, Perfil Alvo, plano de ação, ligação ao risco empresarial |
| Avaliador COBIT 2019 | Governação de TI empresarial, otimização de risco, direitos de decisão, alocação de recursos e garantia | Reporte de governação, métricas de desempenho, relatórios de garantia |
A Política de Auditoria e Monitorização da Conformidade-sme da Clarysec Política de Auditoria e Monitorização da Conformidade-sme - PME, secção “Requisitos de governação”, cláusula 5.4.3, torna explícito o ciclo de auditoria:
“As constatações de auditoria e as atualizações de estado devem ser incluídas no processo de revisão pela gestão do SGSI.”
Isto é crítico. Se o modelo de risco estima €500.000 de exposição, mas a auditoria interna conclui que o teste de restauro falhou, o risco residual deve mudar. Se o plano de saída do fornecedor não foi testado, a organização não deve aceitar o risco residual como se o controlo fosse maduro. Se os testes DORA identificarem uma lacuna crítica, essa constatação deve alimentar o tratamento, o orçamento e a revisão pela gestão.
O Zenith Blueprint, fase de Auditoria, Revisão e Melhoria, passo 28, “Revisão pela gestão”, suporta isto ao recomendar entradas para a revisão pela gestão, como alterações em questões internas e externas, requisitos regulamentares, resultados de auditoria, monitorização e medição, objetivos, incidentes, não conformidades, oportunidades de melhoria e necessidades de recursos. Num programa de risco cibernético quantificado, o pacote de revisão pela gestão deve incluir principais exposições financeiras, tendência desde a última revisão, progresso do tratamento, ações em atraso, risco residual acima da tolerância e decisões necessárias.
Construir um pacote de risco cibernético adequado ao Conselho de Administração
Um pacote de risco cibernético adequado ao Conselho de Administração não deve submergir os administradores em contagens de vulnerabilidades, variáveis FAIR ou IDs de controlos. Deve traduzir o risco cibernético em decisões.
Para cada risco quantificado principal, inclua:
- Nome do cenário e serviço de negócio afetado
- Criticidade do serviço ou função
- Indicadores de dados pessoais, serviço regulado e dependência de fornecedor
- Estimativa atual de Impacto de Perda Única
- Estimativa atual de Taxa Anual de Ocorrência
- Perda Anual Esperada atual
- Premissas e nível de confiança
- Controlos atuais e lacunas conhecidas
- Opções de tratamento e custo
- Exposição residual esperada após tratamento
- Relevância para ISO/IEC 27001:2022, NIS2, DORA e RGPD da UE
- Responsável pelo risco e decisão necessária
- Referências da SoA e de políticas
- Prazo e data de revisão
Uma visão simplificada para o Conselho de Administração pode ser:
| Cenário de risco | ALE atual | Custo do tratamento | ALE residual | Fator regulamentar | Decisão |
|---|---|---|---|---|---|
| Indisponibilidade da base de dados gerida que afeta o processamento de transações | €152.500 | €82.000 | €35.000 | Risco das TIC DORA, tratamento de risco ISO, continuidade de fornecedor | Aprovar tratamento |
| Ransomware que afeta a plataforma de dados de clientes | €372.000 | €100.000 | €95.000 | Risco de violação no RGPD da UE, tratamento de incidentes NIS2, controlos de incidentes ISO | Aprovar EDR e cópias de segurança imutáveis |
| Comprometimento de acesso privilegiado na consola administrativa cloud | €260.000 | €58.000 | €72.000 | Controlo de acesso ISO, autenticação NIS2, integridade de dados DORA | Aprovar reforço de MFA e PAM |
| Risco de concentração em prestador SaaS crítico | €190.000 | €45.000 | €95.000 | Risco de terceiros DORA, cadeia de fornecimento NIS2, controlos de fornecedores ISO | Aprovar testes do plano de saída |
Os números são estimativas, mas o valor de governação é real. O Conselho de Administração consegue comparar prioridades. O CISO consegue justificar investimento. A área financeira consegue validar premissas. A conformidade consegue ligar decisões a obrigações. Os auditores conseguem seguir o trilho de evidência.
Erros comuns ao quantificar o risco cibernético
O primeiro erro é a falsa precisão. Um modelo que afirma uma perda de €487.239,17 sem premissas claras é menos credível do que um intervalo com base documentada. Use intervalos quando adequado e reveja premissas após incidentes, auditorias, alterações de fornecedores e decisões relevantes de arquitetura.
O segundo erro é contabilizar apenas o custo técnico. Um incidente cibernético grave pode envolver perda de receita, compensação a clientes, disrupção operacional, reporte regulamentar, assessoria jurídica, suporte forense, custos de comunicação, penalizações contratuais, perda de clientes, tempo da gestão e impacto reputacional.
O terceiro erro é ignorar a severidade regulamentar. Uma violação de dados pessoais pode ser maior mesmo quando a perda operacional direta parece modesta. Um incidente DORA pode ser significativo devido à criticidade do serviço, indisponibilidade, perda de dados ou clientes afetados. Um incidente NIS2 pode ser material por causar disrupção operacional severa, perda financeira ou danos consideráveis a terceiros.
O quarto erro é não atualizar a SoA. Se as decisões de tratamento selecionarem monitorização de fornecedores, planeamento de saída da cloud, recolha de evidência de incidentes, preparação das TIC para continuidade de negócio ou controlos de disrupção, a SoA deve refletir os controlos aplicáveis e o estado de implementação.
O quinto erro é excluir a área financeira. A avaliação quantitativa do risco cibernético é mais forte quando segurança, finanças, jurídico, operações, produto e conformidade acordam as premissas de impacto. O CISO não deve inventar sozinho valores de perda de receita.
O sexto erro é tratar o seguro como transferência de risco total. O seguro pode reduzir o impacto financeiro, mas não elimina a responsabilização regulamentar, a disrupção do serviço, o dano à confiança dos clientes ou a responsabilidade da gestão.
Onde a Clarysec se enquadra
A Clarysec ajuda organizações a construir um programa de risco cibernético suficientemente prático para PMEs e suficientemente rigoroso para ambientes regulados.
O Zenith Blueprint orienta a organização desde âmbito e contexto até critérios de risco, avaliação qualitativa e quantitativa, planeamento do tratamento, rastreabilidade da SoA, auditoria, revisão pela gestão e melhoria. O Zenith Controls ajuda a mapear as expectativas de controlo da ISO/IEC 27001:2022 e da ISO/IEC 27002:2022 para outros referenciais, auditorias e obrigações de governação. As políticas da Clarysec fornecem a linguagem esperada pelos auditores, incluindo apetite ao risco, matrizes de autoridade, opções de tratamento, registos de conformidade, alinhamento com a SoA e integração na revisão pela gestão.
A Política de Cumprimento Legal e Regulamentar para PME Política de Cumprimento Legal e Regulamentar - PME, secção “Requisitos de governação”, cláusula 5.1.1, começa com uma obrigação simples:
“O Diretor-Geral deve manter um registo de conformidade simples e estruturado que liste:”
Esse registo simples é relevante. Obrigações legais, regulamentares e contratuais devem estar visíveis dentro do SGSI. Para o risco quantitativo, isto significa que NIS2, DORA, RGPD da UE, contratos com clientes, SLAs, deveres de externalização, obrigações de reporte de incidentes e compromissos de auditoria moldam o impacto, a prioridade de tratamento e o escalonamento.
A Política de Gestão de Riscos empresarial, secção “Normas e referenciais de referência”, cláusula 11.9.1, também reflete diretamente a governação ao estilo DORA:
“Article 5: exige um quadro documentado de gestão do risco das TIC, totalmente coberto pela estrutura desta política, incluindo mapeamento da SoA e KRI.”
Esse é o modelo da Clarysec numa frase: gestão documentada do risco das TIC, mapeada para controlos, medida através de indicadores, revista pela gestão e evidenciada para auditoria.
Próximos passos: tornar o seu registo de riscos cibernéticos de 2026 financeiramente defensável
Se o seu registo de riscos cibernéticos atual ainda diz “Elevado” sem explicar exposição financeira, economia do tratamento ou impacto regulamentar, comece com cinco ações neste trimestre:
- Selecione os seus 5 a 10 principais cenários de risco cibernético por impacto no negócio.
- Defina limiares de impacto financeiro para Menor, Moderado, Maior e Severo.
- Estime Impacto de Perda Única, Taxa Anual de Ocorrência e Perda Anual Esperada para cada cenário principal.
- Mapeie cada decisão de tratamento para controlos da ISO/IEC 27001:2022, a SoA, obrigações NIS2 ou DORA quando aplicável, implicações do RGPD da UE e resultados de governação do NIST CSF.
- Apresente risco residual, custo do tratamento e limiares de escalonamento na revisão pela gestão.
A Clarysec pode ajudá-lo a transformar isto num sistema de evidência repetível usando o Zenith Blueprint Zenith Blueprint, o Zenith Controls Zenith Controls, a Política de Gestão de Riscos empresarial Política de Gestão de Riscos, a Política de Gestão de Riscos para PME Política de Gestão de Riscos - PME e modelos de auditoria e conformidade de suporte.
O objetivo não é tornar o risco cibernético perfeitamente previsível. O objetivo é torná-lo explicável, comparável, financeiramente significativo e auditável.
Descarregue os modelos de políticas de risco e conformidade da Clarysec, explore o Zenith Blueprint, ou marque uma avaliação Clarysec para transformar o seu registo de riscos cibernéticos de 2026 em evidência adequada ao Conselho de Administração para ISO/IEC 27001:2022, NIS2, DORA e RGPD da UE.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
