26 de maio de 2026 • Cibersegurança
A análise de riscos não é um complemento opcional na ISO 27001 — é a base sobre a qual toda a norma assenta. Sem uma compreensão estruturada do que pode correr mal e da probabilidade e do impacto que isso teria, todas as medidas de segurança que a tua organização toma baseiam-se em suposições, em vez de em evidências. Este artigo explica o que envolve uma análise de riscos da ISO 27001, como abordá-la passo a passo e como é um exemplo prático.
O que é uma análise de riscos ISO 27001?
Uma análise de riscos segundo a norma ISO 27001 é um processo estruturado no qual uma organização identifica os riscos de segurança da informação, avalia a sua probabilidade e impacto potencial e decide como lidar com eles. O resultado é um registo de riscos — uma visão geral documentada de todos os riscos identificados e das decisões tomadas sobre cada um deles.
A norma ISO 27001 não impõe um único método para realizar uma análise de riscos. A norma exige que o método seja consistente, reprodutível e produza resultados comparáveis. Na prática, a maioria das organizações utiliza uma matriz de probabilidade-impacto, um sistema de pontuação qualitativa ou uma combinação de ambos.
A análise de riscos não é um exercício pontual. A norma ISO 27001 exige que seja revista regularmente — em intervalos planeados e sempre que ocorram mudanças significativas na organização ou no seu ambiente. Isto torna-a um documento dinâmico, e não um relatório arquivado.
Por que é que a análise de riscos é fundamental para a norma ISO 27001
A ISO 27001 é uma norma baseada no risco. Isso significa que os controlos que uma organização implementa devem ser orientados pelo risco, e não por convenções ou pelo que os concorrentes estão a fazer. A cláusula 6.1.2 da ISO 27001 exige especificamente que as organizações definam um processo de avaliação de riscos, o apliquem de forma consistente e mantenham informação documentada como prova.
Esta abordagem baseada no risco tem uma implicação prática: duas organizações do mesmo setor podem ter conjuntos de controlos muito diferentes, porque os seus perfis de risco são distintos. Um prestador de cuidados de saúde que lida com dados sensíveis de pacientes enfrenta ameaças diferentes e tem uma exposição diferente da de uma empresa de logística. É a análise de risco que faz com que o SGSI se adapte à organização, e não o contrário.
A norma ISO 27001 não indica quais os riscos a priorizar. Indica que deves ter um processo suficientemente rigoroso para o determinares por ti próprio — e para documentares que o fizeste.
Os quatro passos de uma análise de riscos segundo a norma ISO 27001
Embora a norma ISO 27001 permita alguma flexibilidade na metodologia, as análises de risco eficazes seguem sempre quatro etapas fundamentais:
- Identifica os ativos e as ameaças. Começa por catalogar os ativos de informação que são importantes para a tua organização: dados, sistemas, processos, pessoas. Para cada ativo, identifica as ameaças a que está exposto — acesso não autorizado, perda de dados, falha do sistema, erro humano — e as vulnerabilidades que tornam essas ameaças exploráveis.
- Avalia a probabilidade e o impacto. Para cada risco identificado, atribui uma pontuação à probabilidade de ocorrer e ao impacto que teria caso ocorresse. Uma escala simples de 1 a 3 ou de 1 a 5 funciona para a maioria das organizações. A combinação das duas pontuações determina o nível de risco.
- Determina o tratamento do risco. Para cada risco, decide qual a opção de tratamento: mitigar (implementar um controlo para reduzir o risco), aceitar (documentar que o nível de risco é aceitável), transferir (por exemplo, através de um seguro ou de subcontratação) ou evitar (alterar a atividade que gera o risco).
- Documenta e analisa. Regista todas as conclusões, decisões de tratamento e riscos residuais num registo de riscos. Associa cada decisão aos controlos aplicáveis do Anexo A da norma ISO 27001. Marca uma data para a revisão.
Exemplo de análise de risco: como funciona na prática
Segue-se um exemplo simplificado de análise de risco para uma organização com uma equipa de TI pequena e uma combinação de colaboradores no escritório e a trabalhar à distância. As pontuações seguem uma escala de 1 a 3 (1 = baixo, 3 = alto).
| Risco | Probabilidade | Impacto | Nível de risco | Tratamento |
|---|---|---|---|---|
| Funcionário clica num link de phishing e as credenciais são roubadas | 3 | 3 | Alto | Mitigar — simulação de phishing + formação de sensibilização |
| Software sem atualizações explorado por malware | 2 | 3 | Alto | Mitigar — política de gestão de patches |
| Portátil perdido ou roubado com dados não encriptados | 2 | 2 | Médio | Mitigar — encriptação total do disco + MDM |
| Funcionário-chave sai, conhecimento perdido | 2 | 2 | Médio | Mitigar — documentação + processo de transferência de conhecimentos |
| O escritório ficou inundado, a sala dos servidores está inacessível | 1 | 3 | Médio | Transferência — seguro de continuidade de negócios + cópia de segurança na nuvem |
| Conta nas redes sociais comprometida | 1 | 1 | Baixo | Aceitar — monitorizar, não são necessários controlos adicionais |
Este exemplo de análise de riscos mostra como o comportamento humano — especialmente a vulnerabilidade ao phishing — surge constantemente como um risco de alta prioridade. É também um dos riscos mais fáceis de resolver através de formação estruturada em sensibilização para a segurança.
Formação em sensibilização para a segurança como medida de tratamento de riscos
Em quase todas as análises de risco da ISO 27001, o risco humano acaba por figurar na categoria de alta prioridade. O phishing, a engenharia social, as palavras-passe fracas e a divulgação acidental de dados são riscos previsíveis e recorrentes — e são causados por pessoas, não por sistemas.
O controlo 6.3 do Anexo A da norma ISO 27001 exige explicitamente que as organizações proporcionem sensibilização, educação e formação em segurança da informação a todo o pessoal. Não se trata apenas de fazer um módulo uma vez por ano. O controlo exige uma sensibilização contínua que acompanhe a evolução do panorama das ameaças.
A formação em sensibilização para a segurança ISO 27001 da Guardey assenta exatamente nisto: sessões de formação curtas e recorrentes, combinadas com simulações de phishing, que proporcionam às organizações tanto a abrangência como a documentação necessárias para satisfazer os auditores. A entrada no registo de riscos relativa ao erro humano passa de «risco elevado, parcialmente mitigado» para «risco elevado, gerido ativamente» — uma distinção que faz a diferença numa auditoria.
Elimina o risco humano para cumprir a norma ISO 27001
Cria uma cultura de segurança antes que os auditores apareçam à tua porta.
