Gestão de Riscos em Cibersegurança: Do FAIR ao Board
Por Que o Board Não Entende CVSSv3
CVSSv3 9.8 não significa nada para um CFO. “Alta probabilidade de comprometimento de 2 milhões de registros de clientes com custo esperado de R$45M” significa tudo. A gestão de riscos cibernéticos moderna usa modelos quantitativos que traduzem ameaças técnicas em linguagem financeira, permitindo decisões de investimento racionais baseadas em evidências.
📊 Gestão de Riscos — 2025
Frameworks de Gestão de Risco
Diferentes frameworks atacam a gestão de risco por ângulos complementares. A escolha depende do nível de sofisticação desejado e do público que precisa ser engajado.
FAIR: Quantificação Financeira
Factor Analysis of Information Risk decomõe risco em componentes mensuráveis: frequência de eventos de perda × magnitude de perda. Resultado em R$ que o board compreende.
ISO 31000: Estrutura Universal
Framework genérico de gestão de riscos aplicável a cibersegurança. Define processos de identificação, análise, avaliação, tratamento e monitoramento contínuo de riscos.
BowTie: Visualização de Controles
Diagrama que mapeia ameaças, vetores, controles preventivos e de recuperação em um único visual. Excelente para comunicar controles ao board de forma intuitiva.
NIST RMF
Risk Management Framework do NIST define ciclo de categorização, seleção, implementação, avaliação e autorização de controles — padrão para órgãos governamentais e seus parceiros.
Risk Appetite e Tolerância
Antes de gerenciar riscos, defina com o board qual nível de risco é aceitável. Risk appetite documentado evita decisões ad-hoc e alinha expectativas entre segurança e negócio.
Risk Register Dinâmico
Risk register não é documento estático — é banco de dados atualizado continuamente com novos riscos, mudanças de cenário e status de tratamento de cada item.
⚠️ Erros na Comunicação de Riscos
Matrizes subjetivas de “alto/médio/baixo” são inconsistentes e contestáveis. Dois analistas avaliam o mesmo risco de formas opostas sem critérios objetivos e mensuráveis.
Riscos sem responsável designado não são gerenciados — são apenas documentados. Cada risco precisa de um owner com autoridade e responsabilidade pelo tratamento.
Apresentar a quantidade de vulnerabilidades críticas ao conselho gera desconexão. Traduza para: “risco de perda esperada de R$X se não investirmos em Y nos próximos 6 meses”.
Riscos mudam com o negócio e o cenário de ameaças. Risk register não revisado trimestralmente documenta o passado, não o presente — tornando-se inútil para decisões.
O objetivo da gestão de risco não é eliminar o risco — é garantir que os riscos assumidos sejam decisões conscientes, não ignorância.
— iSecPlus, 2026
Implementando FAIR na Prática
Comece com os 5 riscos mais críticos identificados pelo seu programa de segurança. Use o Open FAIR toolkit (gratuito) para quantificá-los financeiramente. Apresente ao CFO e CEO: “Temos 80% de probabilidade de perda entre R$2M e R$15M por esse cenário nos próximos 12 meses.” Compare com o custo de mitigação. Esse processo gera discussões de negócio reais — e frequentemente resulta em aprovação de budgets que parecias impossíveis com comunicação técnica.
