26 de maio de 2026 • Segurança cibernética
A análise de riscos não é um complemento opcional na ISO 27001 — é a base sobre a qual toda a norma se sustenta. Sem uma compreensão estruturada do que pode dar errado e da probabilidade e do impacto que isso teria, todas as medidas de segurança adotadas pela sua organização se baseiam em suposições, e não em evidências. Este artigo explica o que envolve uma análise de riscos da ISO 27001, como abordá-la passo a passo e como se apresenta um exemplo prático.
O que é uma análise de riscos da ISO 27001?
A análise de riscos da ISO 27001 é um processo estruturado no qual uma organização identifica os riscos à segurança da informação, avalia sua probabilidade e impacto potencial e decide como lidar com eles. O resultado é um registro de riscos — uma visão geral documentada de todos os riscos identificados e das decisões tomadas sobre cada um deles.
A ISO 27001 não prescreve um único método para a realização de uma análise de riscos. A norma exige que o método seja consistente, reproduzível e produza resultados comparáveis. Na prática, a maioria das organizações utiliza uma matriz de probabilidade-impacto, um sistema de pontuação qualitativa ou uma combinação de ambos.
A análise de riscos não é um exercício pontual. A norma ISO 27001 exige que ela seja revisada regularmente — em intervalos programados e sempre que ocorrerem mudanças significativas na organização ou em seu ambiente. Isso faz com que seja um documento dinâmico, e não um relatório arquivado.
Por que a análise de riscos é fundamental para a ISO 27001
A ISO 27001 é uma norma baseada no risco. Isso significa que os controles implementados por uma organização devem ser orientados pelo risco, e não por convenções ou pelo que os concorrentes estão fazendo. A cláusula 6.1.2 da ISO 27001 exige especificamente que as organizações definam um processo de avaliação de riscos, o apliquem de forma consistente e mantenham informações documentadas como evidência.
Essa abordagem baseada no risco tem uma implicação prática: duas organizações do mesmo setor podem ter conjuntos de controles muito diferentes, pois seus perfis de risco diferem. Um prestador de serviços de saúde que lida com dados confidenciais de pacientes enfrenta ameaças diferentes e tem um nível de exposição distinto do de uma empresa de logística. É a análise de risco que faz com que o SGSI se adapte à organização, e não o contrário.
A norma ISO 27001 não indica quais riscos devem ser priorizados. Ela recomenda que se tenha um processo suficientemente rigoroso para que você mesmo identifique esses riscos — e documente que isso foi feito.
As quatro etapas de uma análise de riscos da ISO 27001
Embora a norma ISO 27001 permita flexibilidade na metodologia, as análises de risco eficazes seguem consistentemente quatro etapas principais:
- Identifique ativos e ameaças. Comece catalogando os ativos de informação que são importantes para a sua organização: dados, sistemas, processos e pessoas. Para cada ativo, identifique as ameaças a que está sujeito — acesso não autorizado, perda de dados, falha do sistema, erro humano — e as vulnerabilidades que tornam essas ameaças exploráveis.
- Avalie a probabilidade e o impacto. Para cada risco identificado, atribua uma pontuação à probabilidade de ele ocorrer e ao impacto que teria caso ocorresse. Uma escala simples de 1 a 3 ou de 1 a 5 funciona para a maioria das organizações. A combinação das duas pontuações determina o nível de risco.
- Determine o tratamento do risco. Para cada risco, escolha uma opção de tratamento: mitigar (implementar um controle para reduzir o risco), aceitar (documentar que o nível de risco é aceitável), transferir (por exemplo, por meio de seguro ou terceirização) ou evitar (alterar a atividade que gera o risco).
- Documentar e revisar. Registrar todas as constatações, decisões de tratamento e riscos residuais em um registro de riscos. Vincular cada decisão aos controles aplicáveis do Anexo A da ISO 27001. Definir uma data para revisão.
Exemplo de análise de riscos: como funciona na prática
Segue abaixo um exemplo simplificado de análise de riscos para uma organização com uma equipe de TI pequena e uma combinação de funcionários que trabalham no escritório e remotamente. As pontuações seguem uma escala de 1 a 3 (1 = baixo, 3 = alto).
| Risco | Probabilidade | Impacto | Nível de risco | Tratamento |
|---|---|---|---|---|
| Funcionário clica em link de phishing e tem suas credenciais roubadas | 3 | 3 | Alto | Mitigação — simulação de phishing + treinamento de conscientização |
| Software sem correção de segurança explorado por malware | 2 | 3 | Alto | Mitigar — política de gerenciamento de patches |
| Portátil perdido ou roubado com dados não criptografados | 2 | 2 | Médio | Mitigação — criptografia de disco completo + MDM |
| Funcionário-chave se demite, conhecimento se perde | 2 | 2 | Médio | Mitigação — documentação + processo de transferência de conhecimento |
| Escritório alagado, sala de servidores inacessível | 1 | 3 | Médio | Transferência — seguro de continuidade de negócios + backup na nuvem |
| Conta nas redes sociais comprometida | 1 | 1 | Baixo | Aceitar — monitorar, sem necessidade de controles adicionais |
Este exemplo de análise de riscos ilustra como o comportamento humano — especialmente a suscetibilidade ao phishing — surge constantemente como um risco de alta prioridade. É também um dos riscos mais facilmente mitigáveis por meio de treinamentos estruturados de conscientização sobre segurança.
Treinamento de conscientização sobre segurança como medida de tratamento de riscos
Em praticamente todas as análises de risco da ISO 27001, o risco humano acaba sendo classificado na categoria de alta prioridade. Phishing, engenharia social, senhas fracas e divulgação acidental de dados são riscos previsíveis e recorrentes — e são causados por pessoas, não por sistemas.
O controle 6.3 do Anexo A da ISO 27001 exige explicitamente que as organizações ofereçam conscientização, educação e treinamento em segurança da informação a todo o pessoal. Não se trata apenas de concluir um módulo uma vez por ano. O controle exige uma conscientização contínua que acompanhe a evolução do panorama de ameaças.
O treinamento de conscientização sobre segurança ISO 27001 da Guardey é estruturado exatamente com base nisso: sessões de treinamento curtas e recorrentes, combinadas com simulações de phishing, que proporcionam às organizações tanto a abrangência quanto a documentação necessárias para atender aos requisitos dos auditores. A entrada no registro de riscos referente ao erro humano passa de “risco alto, parcialmente mitigado” para “risco alto, gerenciado ativamente” — uma distinção que faz toda a diferença em uma auditoria.
Eliminar os riscos humanos para garantir a conformidade com a norma ISO 27001
Crie uma cultura de segurança antes que os auditores batam à sua porta.
