Risco Empresarial e Cibersegurança

Page 1

E dição

FCA – Editora de Informática

Av. Praia da Vitória, 14 A – 1000-247 Lisboa

Tel: +351 213 511 448 fca@fca.pt www.fca.pt

d istribuição

Lidel – Edições Técnicas, Lda.

Rua D. Estefânia, 183, R/C Dto. – 1049-057 Lisboa

Tel: +351 213 511 448 lidel@lidel.pt www.lidel.pt

L ivraria

Av. Praia da Vitória, 14 A – 1000-247 Lisboa

Tel: +351 213 541 418 livraria@lidel.pt

Copyright © 2024, FCA – Editora de Informática ® Marca registada da FCA PACTOR Editores, Lda. ISBN edição impressa: 978-972-722-934-5 1.ª edição impressa: maio de 2024

Paginação: Carlos Mendes

Impressão e acabamento: Tipografia Lousanense, Lda. – Lousã

Depósito Legal n.º 532287/24

Capa: José M. Ferrão – Look-Ahead

Todos os nossos livros passam por um rigoroso controlo de qualidade, no entanto aconselhamos a consulta periódica do nosso site (www.fca.pt) para fazer o download de eventuais correções.

Não nos responsabilizamos por desatualizações das hiperligações presentes nesta obra, que foram verificadas à data de publicação da mesma.

Os nomes comerciais referenciados neste livro têm patente registada.

Reservados todos os direitos. Esta publicação não pode ser reproduzida, nem transmitida, no todo ou em parte, por qualquer processo eletrónico, mecânico, fotocópia, digitalização, gravação, sistema de armazenamento e disponibilização de informação, sítio Web, blogue ou outros, sem prévia autorização escrita da Editora, exceto o permitido pelo CDADC, em termos de cópia privada pela AGECOP –– Associação para a Gestão da Cópia Privada, através do pagamento das respetivas taxas.

III © FCA ÍNDICE DE MATÉRIAS ÍNDICE DE FIGURAS XI ÍNDICE DE QUADROS E TABELAS XIV PREFÁCIOS XV INTRODUÇÃO XIX 1 VISÃO TRADICIONAL E MODERNA DA GESTÃO DO RISCO 1 1.1 CONCEITOS BÁSICOS DE GESTÃO DO RISCO .................................................................................................... 1 1.2 GESTÃO TRADICIONAL DO RISCO 6 1.3 GESTÃO DO RISCO EMPRESARIAL ......................................................................................................................... 7 1.3.1 CONTEXTUALIZAÇÃO ...................................................................................................................................... 7 1.3.2 CARACTERÍSTICAS E OBJETIVOS DA GESTÃO DO RISCO EMPRESARIAL 8 1.3.3 VISÃO INTEGRADA DO RISCO ..................................................................................................................... 10 1.3.3.1 RISCO ESTRATÉGICO ..................................................................................................................... 11 1.3.3.2 RISCO OPERACIONAL 12 1.3.3.3 RISCO DA INFORMAÇÃO ............................................................................................................. 12 1.3.4 PONTOS FORTES E FRACOS DA GESTÃO DO RISCO EMPRESARIAL....................................... 15 1.3.5 IMPLEMENTAÇÃO DA GESTÃO DO RISCO EMPRESARIAL 15 1.3.6 ESTRUTURAS DA GESTÃO DO RISCO EMPRESARIAL EXISTENTES NO MERCADO ........... 16 1.4 GOVERNAÇÃO DO RISCO ............................................................................................................................................ 17 1.4.1 ASPETOS-CHAVE DA GOVERNAÇÃO DO RISCO 18 1.4.2 IMPORTÂNCIA DA GOVERNAÇÃO DO RISCO ....................................................................................... 18 1.4.3 DESAFIOS DA GOVERNAÇÃO DO RISCO ............................................................................................... 19 1.5 PILARES DA GESTÃO DO RISCO EMPRESARIAL 19 1.5.1 POLÍTICA DA GESTÃO DO RISCO ............................................................................................................... 19 1.5.1.1 OBJETIVOS DA POLÍTICA DA GESTÃO DO RISCO 20 1.5.1.2 CARACTERÍSTICAS DA POLÍTICA DA GESTÃO DE RISCO 20 1.5.1.3 CONTEÚDO DO DOCUMENTO DA POLÍTICA DA GESTÃO DO RISCO ....................... 21 1.5.2 ESTRATÉGIA DA GESTÃO DO RISCO 21 1.5.2.1 OBJETIVOS DA ESTRATÉGIA DA GESTÃO DO RISCO 22 1.5.2.2 CARACTERÍSTICAS DA ESTRATÉGIA DA GESTÃO DO RISCO .................................... 22 1.5.2.3 CONTEÚDO DO DOCUMENTO DA ESTRATÉGIA DA GESTÃO DO RISCO 23 1.5.3 PROCESSO DA GESTÃO DO RISCO 23 1.5.3.1 OBJETIVOS DO PROCESSO DA GESTÃO DO RISCO ....................................................... 23 1.5.3.2 COMPONENTES DO PROCESSO DA GESTÃO DO RISCO 24 1.5.4 OUTROS DOCUMENTOS ÚTEIS DA GESTÃO DO RISCO ................................................................... 24 1.6 INDICADORES DE DESEMPENHO DO RISCO ....................................................................................................... 25 1.6.1 KEY RISK INDICATORS 25 1.6.1.1 CARACTERÍSTICAS DOS KEY RISK INDICATORS.............................................................. 25
RISCO EMPRESARIAL E CIBERSEGURANÇA IV © FCA 1.6.1.2 TIPOS DE KEY RISK INDICATORS............................................................................................. 26 1.6.1.3 EXEMPLOS DE KEY RISK INDICATORS 26 1.6.1.4 IMPLEMENTAÇÃO DOS KEY RISK INDICATORS................................................................ 27 1.6.1.5 BENEFÍCIOS DOS KEY RISK INDICATORS 28 1.6.2 KEY PERFORMANCE INDICATORS............................................................................................................. 28 1.6.2.1 CARACTERÍSTICAS DOS KEY PERFORMANCE INDICATORS NA GESTÃO DO RISCO 28 1.6.2.2 EXEMPLOS DE KEY PERFORMANCE INDICATORS NA GESTÃO DO RISCO.......... 29 1.6.2.3 DEFINIÇÃO E IMPLEMENTAÇÃO DOS KEY PERFORMANCE INDICATORS 29 1.6.2.4 BENEFÍCIOS DOS KEY PERFORMANCE INDICATORS NA GESTÃO DO RISCO .... 29 1.7 GESTÃO DO RISCO DA CADEIA DE FORNECIMENTO 30 1.7.1 PAPEL CRÍTICO E VULNERABILIDADES DA CADEIA DE FORNECIMENTO .............................. 30 1.7.2 PREVENÇÃO DE ATAQUES À CADEIA DE FORNECIMENTO .......................................................... 31 1.7.3 CRIAR RESILIÊNCIA NA CADEIA DE FORNECIMENTO 32 1.7.4 GESTÃO DE RISCOS DESCONHECIDOS .................................................................................................... 35 1.8 RECUPERAÇÃO DE DESASTRES E CONTINUIDADE DO NEGÓCIO 36 1.8.1 RESILIÊNCIA ......................................................................................................................................................... 36 1.8.2 PLANO DE RECUPERAÇÃO DE DESASTRES 38 1.8.2.1 ETAPAS DA CONSTRUÇÃO DE UM PLANO DE RECUPERAÇÃO DE DESASTRES ....................................................................................................................................... 39 1.8.2.2 CONTEÚDO DE UM PLANO DE RECUPERAÇÃO DE DESASTRES 41 1.8.2.3 ESTRATÉGIAS COMUNS DE RECUPERAÇÃO DE DESASTRES ................................... 43 1.8.2.4 BENEFÍCIOS DE POSSUIR UM PLANO DE RECUPERAÇÃO DE DESASTRES 43 1.8.3 PLANO DE CONTINUIDADE DO NEGÓCIO ............................................................................................... 44 1.8.3.1 OBJETIVOS DO PLANO DE CONTINUIDADE DO NEGÓCIO ........................................... 44 1.8.3.2 PROCESSO DE ELABORAÇÃO DO PLANO DE CONTINUIDADE DO NEGÓCIO 45 1.8.3.3 CONTEÚDO DO PLANO DE CONTINUIDADE DO NEGÓCIO ............................................ 47 1.9 GOVERNAÇÃO, RISCO E CONFORMIDADE 48 1.10 FATORES CRÍTICOS DO SUCESSO DA GESTÃO DO RISCO EMPRESARIAL .......................................... 49 2 PROCESSOS, FERRAMENTAS E TÉCNICAS DA GESTÃO DO RISCO EMPRESARIAL 53 2.1 INTRODUÇÃO 53 2.2 IDENTIFICAÇÃO DOS RISCOS .................................................................................................................................... 54 2.2.1 TÉCNICAS DE IDENTIFICAÇÃO DOS RISCOS 55 2.2.1.1 ENTREVISTAS ................................................................................................................................... 55 2.2.1.2 BRAINSTORMING ............................................................................................................................ 57 2.2.1.3 ESTRUTURA DE DECOMPOSIÇÃO DE RISCOS – ANÁLISE PESTLE 58 2.2.1.4 ANÁLISE SWOT ............................................................................................................................... 60 OBJETIVOS DA ANÁLISE SWOT 61 CARACTERÍSTICAS DA ANÁLISE SWOT .......................................................................... 61 VANTAGENS DA ANÁLISE SWOT NA GESTÃO DO RISCO ....................................... 61 PONTOS FRACOS DA ANÁLISE SWOT 62 2.2.1.5 TÉCNICA DO LAÇO .......................................................................................................................... 62 OBJETIVOS DA TÉCNICA DO LAÇO 63 CARACTERÍSTICAS DA TÉCNICA DO LAÇO .................................................................... 63 VANTAGENS DO USO DA TÉCNICA DO LAÇO NA GESTÃO DO RISCO EMPRESARIAL ............................................................................................................................. 65
ÍNDICE DE MATÉRIAS V © FCA PONTOS FRACOS DA TÉCNICA DO LAÇO ....................................................................... 65 2.2.1.6 ANÁLISE DA CAUSA-RAIZ 65 OBJETIVOS DA ANÁLISE DA CAUSA-RAIZ ................................................................... 66 TÉCNICAS MAIS COMUNS UTILIZADAS 66 COMPONENTES DO DIAGRAMA DE ISHIKAWA (DIAGRAMA DE ESPINHA DE PEIXE) ........................................................................................................................................ 66 COMO USAR UM DIAGRAMA DE ISHIKAWA 67 VANTAGENS DA ANÁLISE DA CAUSA-RAIZ ................................................................. 68 PONTOS FRACOS DA ANÁLISE DA CAUSA-RAIZ ....................................................... 68 2.2.2 REGISTO DOS RISCOS 69
OBJETIVOS DO REGISTO DOS RISCOS ................................................................................. 69 2.2.2.2 INFORMAÇÕES QUE DEVEM CONSTAR NO REGISTO DOS RISCOS ........................ 69 2.3 AVALIAÇÃO E HIERARQUIZAÇÃO DOS RISCOS 71 2.3.1 AVALIAÇÃO QUALITATIVA DOS RISCOS ................................................................................................ 72 2.3.1.1 AVALIAÇÃO DA PROBABILIDADE E DO IMPACTO DOS RISCOS 72 2.3.1.2 MATRIZ DE PROBABILIDADE E IMPACTO ........................................................................... 74 2.3.1.3 REGISTO DOS RISCOS (ATUALIZAÇÃO) ................................................................................ 78 2.3.1.4 MATRIZ DE RISCOS (ATUALIZAÇÃO) 79 2.3.2 AVALIAÇÃO QUANTITATIVA DOS RISCOS............................................................................................. 79 2.3.2.1 OBJETIVOS E CARACTERÍSTICAS DA AVALIAÇÃO QUANTITATIVA DOS RISCOS 80 2.3.2.2 ANÁLISE DO VALOR MONETÁRIO ESPERADO ................................................................ 80 2.3.2.3 ÁRVORES DE DECISÃO 82 VANTAGENS DAS ÁRVORES DE DECISÃO ..................................................................... 84 LIMITAÇÕES DAS ÁRVORES DE DECISÃO ..................................................................... 84 2.3.2.4 ANÁLISE MONTE CARLO 84 CARACTERÍSTICAS E CAMPO DE APLICABILIDADE .................................................. 85 DISTRIBUIÇÕES DE PROBABILIDADE................................................................................ 85 2.3.3 PLANEAR AS RESPOSTAS AOS RISCOS 88 2.3.3.1 ESTRATÉGIAS DE RESPOSTA A RISCOS NEGATIVOS (AMEAÇAS) ......................... 89 2.3.3.2 ESTRATÉGIAS DE RESPOSTA A RISCOS POSITIVOS (OPORTUNIDADES) 90 2.3.3.3 PLANEAMENTO DE CONTINGÊNCIAS .................................................................................... 91 2.3.3.4 RISCOS SECUNDÁRIOS ................................................................................................................. 91 CARACTERÍSTICAS DOS RISCOS SECUNDÁRIOS 91 IDENTIFICAÇÃO E GESTÃO DE RISCOS SECUNDÁRIOS ........................................... 91 2.3.3.5 ATUALIZAÇÃO DO REGISTO DOS RISCOS .......................................................................... 92 2.3.3.6 MATRIZ DE RISCOS (ATUALIZAÇÃO) 93 2.3.4 IMPLEMENTAR E MONITORIZAR AS RESPOSTAS AOS RISCOS................................................. 94 2.3.4.1 PASSOS DA IMPLEMENTAÇÃO DAS RESPOSTAS AOS RISCOS 94 2.3.4.2 CONSIDERAÇÕES IMPORTANTES ........................................................................................... 95 2.4 A COMUNICAÇÃO NA GESTÃO DO RISCO ............................................................................................................ 95 2.4.1 OBJETIVOS E IMPORTÂNCIA DA COMUNICAÇÃO EFICAZ, CLARA E TRANSPARENTE 95 2.4.2 ESTRATÉGIAS PARA MELHORAR A COMUNICAÇÃO DE RISCOS ............................................... 97 3 SEGURANÇA DA INFORMAÇÃO E CIBERSEGURANÇA 99 3.1 ENQUADRAMENTO 99 3.2 FUNDAMENTOS DE SEGURANÇA ............................................................................................................................ 102
2.2.2.1
RISCO EMPRESARIAL E CIBERSEGURANÇA VI © FCA
DEFINIÇÃO E COMPONENTES DA SEGURANÇA ................................................................................. 102 3.2.2 SEGURANÇA DAS TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO 102 3.2.3 SEGURANÇA DA INFORMAÇÃO.................................................................................................................. 103 3.2.4 SEGURANÇA FÍSICA ......................................................................................................................................... 106 3.2.5 CIBERSEGURANÇA 106 3.3 GESTÃO DO RISCO DE TECNOLOGIAS DE INFORMAÇÃO ............................................................................ 107 3.3.1 IDENTIFICAÇÃO DOS RISCOS – CENÁRIOS DE RISCOS 108 3.3.1.1 O QUE É UM CENÁRIO DE RISCO? 110 3.3.1.2 BOAS PRÁTICAS PARA DESCREVER RISCOS ................................................................... 112 3.3.2 AVALIAÇÃO DE RISCOS 113 3.3.3 DEFINIÇÃO E IMPLEMENTAÇÃO DE RESPOSTAS AOS RISCOS .................................................. 113 3.3.4 MONITORIZAÇÃO, CONTROLO E REPORTE DOS RISCOS ............................................................... 114 3.3.5 TÉCNICAS DE VISUALIZAÇÃO ABRANGENTES 114 3.4 ABORDAGEM HOLÍSTICA À CIBERSEGURANÇA ............................................................................................... 116 3.5 GOVERNAÇÃO DA CIBERSEGURANÇA – PAPÉIS E RESPONSABILIDADES ........................................ 117 3.6 PANORAMA DAS AMEAÇAS À CIBERSEGURANÇA 118 3.6.1 TERMOS E DEFINIÇÕES DA CIBERSEGURANÇA ................................................................................. 118 3.6.2 AMEAÇAS ............................................................................................................................................................. 120 3.6.2.1 AMEAÇAS INTERNAS 121 3.6.2.2 AMEAÇAS EXTERNAS .................................................................................................................. 122 3.6.2.3 AMEAÇAS EM DESENVOLVIMENTO 122 3.6.2.4 AMEAÇAS EMERGENTES ............................................................................................................ 123 3.6.3 VULNERABILIDADES ........................................................................................................................................ 125 3.6.4 ANATOMIA DOS CIBERATAQUES 125 3.6.5 ATRIBUTOS DOS CIBERATAQUES .............................................................................................................. 127 3.6.6 CICLO DE VIDA DE UM CIBERATAQUE ..................................................................................................... 129 3.6.7 TIPOS COMUNS DE MALWARE 131 3.6.8 TIPOS COMUNS DE ATAQUES ..................................................................................................................... 134 3.6.9 ATAQUES DE NEGAÇÃO DE SERVIÇO ..................................................................................................... 139 3.6.10 AMEAÇAS PERSISTENTES AVANÇADAS 141 3.6.11 ATAQUES DE RANSOMWARE...................................................................................................................... 143 3.6.12 ENGENHARIA SOCIAL 148 3.7 RECURSOS DE SEGURANÇA DA INFORMAÇÃO 157 3.7.1 NORMAS E ESTRUTURAS INTERNACIONAIS........................................................................................ 158 3.7.2 FONTES DE CONFORMIDADE 161 3.7.3 DEFESA EM PROFUNDIDADE ....................................................................................................................... 162 3.7.4 MODELO DE CONFIANÇA ZERO (ZERO TRUST)................................................................................... 164
CONTROLOS DE SEGURANÇA 168 3.7.5.1 TIPOS DE CONTROLOS ................................................................................................................. 169 CONTROLOS FÍSICOS ............................................................................................................... 169 CONTROLOS TÉCNICOS 169 CONTROLOS ADMINISTRATIVOS ....................................................................................... 170 3.7.5.2 FUNÇÕES DOS CONTROLOS 170 3.7.6 GESTÃO DE IDENTIDADES E ACESSOS 171 3.7.6.1 IDENTIFICAÇÃO ................................................................................................................................ 171 3.7.6.2 AUTENTICAÇÃO 172 3.7.6.3 AUTORIZAÇÃO ................................................................................................................................. 173
3.2.1
3.7.5

3.7.6.4

3.7.7.3

3.7.8

3.7.7.7

3.7.9.1

ÍNDICE DE MATÉRIAS VII © FCA
CONTABILIZAÇÃO ........................................................................................................................... 173 3.7.7 SEGURANÇA DE REDES 173
ISOLAMENTO E SEGMENTAÇÃO ............................................................................................. 174
FIREWALLS 175
3.7.7.1
3.7.7.2
ZONAS DESMILITARIZADAS ..................................................................................................... 177 3.7.7.4 SISTEMAS DE DETEÇÃO DE INTRUSÕES............................................................................. 178 3.7.7.5 SISTEMAS DE PREVENÇÃO DE INTRUSÕES 180
REDES PRIVADAS VIRTUAIS ..................................................................................................... 180
3.7.7.6
SEGURANÇA DE REDES SEM FIOS 182
SEGURANÇA DE TERMINAIS ........................................................................................................................ 183
SEGURANÇA DE APLICAÇÕES .................................................................................................................... 183
3.7.9
CICLO DE VIDA DO DESENVOLVIMENTO DE SISTEMAS 183
SEPARAÇÃO DOS AMBIENTES DE DESENVOLVIMENTO, TESTES E PRODUÇÃO 185
OWASP TOP TEN ............................................................................................................................. 186
CONTROLOS APLICACIONAIS ................................................................................................... 187 3.7.9.5 DEVOPS E DEVSECOPS 188 3.7.10 SEGURANÇA DA NUVEM ............................................................................................................................... 190 3.7.11 SEGURANÇA DOS DADOS 196 3.7.12 ENCRIPTAÇÃO – TÉCNICAS E APLICAÇÕES ......................................................................................... 197 3.7.12.1 FUNDAMENTOS DA CRIPTOGRAFIA ...................................................................................... 198 3.7.12.2 TÉCNICAS DE ENCRIPTAÇÃO 198 3.7.12.3 APLICAÇÕES DA CRIPTOGRAFIA ............................................................................................ 199 3.7.12.4 CRIPTOGRAFIA QUÂNTICA 199 3.7.12.5 CRIPTOGRAFIA PÓS-QUÂNTICA .............................................................................................. 200 3.8 GESTÃO DE VULNERABILIDADES ........................................................................................................................... 201 3.8.1 PESQUISA DE VULNERABILIDADES 202 3.8.2 TESTES DE PENETRAÇÃO ............................................................................................................................. 203 3.8.2.1 PRECAUÇÕES A TOMAR 203 3.8.2.2 METODOLOGIAS PADRÃO DE TESTES DE PENETRAÇÃO........................................... 204 3.8.2.3 FASES COMUNS DOS TESTES DE PENETRAÇÃO ............................................................ 205 3.9 GESTÃO DE INCIDENTES 207 3.9.1 DEFINIÇÃO ............................................................................................................................................................ 207 3.9.2 RESPONSABILIDADES 207 3.9.3 CARACTERIZAÇÃO DOS INCIDENTES ...................................................................................................... 209 3.9.3.1 INCIDENTE VERSUS EVENTO .................................................................................................... 209 3.9.3.2 CARACTERIZAÇÃO DOS INCIDENTES 210 3.9.4 RESPOSTA A INCIDENTES ............................................................................................................................. 211 3.10 CIBERSEGURANÇA E PERÍCIA FORENSE 214 3.10.1 RECOLHA DE EVIDÊNCIAS ............................................................................................................................ 215 3.10.2 PRESERVAÇÃO DE EVIDÊNCIAS 215 3.10.3 REQUISITOS LEGAIS......................................................................................................................................... 217 3.10.4 OFUSCAÇÃO E ANTIFORENSE .................................................................................................................... 218 3.10.4.1 OFUSCAÇÃO 218 3.10.4.2 ANTIFORENSE .................................................................................................................................. 219 3.10.4.3 CONSIDERAÇÕES ÉTICAS E LEGALIDADE 219 3.11 SEGURANÇA VERSUS PRIVACIDADE .................................................................................................................... 220
3.7.9.2
3.7.9.3
3.7.9.4
RISCO EMPRESARIAL E CIBERSEGURANÇA VIII © FCA 3.11.1 CONCEITOS ........................................................................................................................................................... 220 3.11.2 DIFERENÇAS 220 3.11.3 LEGISLAÇÃO PERTINENTE ............................................................................................................................ 221 3.12 INTEGRAÇÃO DA CIBERSEGURANÇA COM A GESTÃO DO RISCO EMPRESARIAL 222 3.12.1 OBJETIVOS DA INTEGRAÇÃO DA GESTÃO DO RISCO EMPRESARIAL COM A CIBERSEGURANÇA ............................................................................................................................................ 223 3.12.2 ANÁLISE SWOT DA INTEGRAÇÃO DA GESTÃO DO RISCO EMPRESARIAL E DA CIBERSEGURANÇA ............................................................................................................................................ 224 4 NORMAS, DIRETRIZES E BOAS PRÁTICAS DE GESTÃO DO RISCO 227 4.1 PANORÂMICA DAS NORMAS, DIRETRIZES E BOAS PRÁTICAS INTERNACIONAIS 227 4.1.1 NORMA INTERNACIONAIS ............................................................................................................................. 227 4.1.2 NORMAS E DIRETRIZES DA UNIÃO EUROPEIA 228 4.1.3 BOAS PRÁTICAS ................................................................................................................................................ 229 4.2 ISO 31000:2018 – RISK MANAGEMENT GUIDELINES...................................................................................... 230 4.2.1 INTRODUÇÃO 230 4.2.2 ESTRUTURA E ABORDAGEM DA ISO 31000:2018 .............................................................................. 231 4.2.3 PRINCÍPIOS DA GESTÃO DO RISCO 232 4.2.4 ESTRUTURA DA GESTÃO DO RISCO ......................................................................................................... 234 4.2.5 PROCESSO DA GESTÃO DO RISCO 238 4.2.5.1 DEFINIÇÃO DO ÂMBITO, CONTEXTO E CRITÉRIOS DA GESTÃO DO RISCO ......... 238 4.2.5.2 DEFINIÇÃO DOS CRITÉRIOS DO RISCO ................................................................................. 240 4.2.5.3 APRECIAÇÃO DO RISCO 240 IDENTIFICAÇÃO DO RISCO ..................................................................................................... 242 ANÁLISE DO RISCO 243 AVALIAÇÃO DO RISCO............................................................................................................. 243 4.2.5.4 TRATAMENTO DO RISCO 244 4.2.5.5 MONITORIZAÇÃO E REVISÃO ................................................................................................... 245 4.2.5.6 COMUNICAÇÃO E CONSULTA .................................................................................................... 246 4.2.6 RELEVÂNCIA DA ISO 31000 PARA OS PROFISSIONAIS DA GESTÃO DO RISCO 247 4.3 ISO/IEC 27001:2022 – INFORMATION SECURITY, CYBERSECURITY AND PRIVACY PROTECTION 248
IMPORTÂNCIA DA ISO/IEC 27001:2022 .................................................................................................. 248
OBJETIVOS DA ISO/IEC 27001:2022 ........................................................................................................ 249 4.3.3 ESTRUTURA DA ISO/IEC 27001:2022 249 4.3.4 ANEXO A: CONTROLOS DE SEGURANÇA DA INFORMAÇÃO ........................................................ 250 4.3.5 CONSIDERAÇÕES ADICIONAIS 250 4.4 ISO/IEC 27005:2022 – INFORMATION SECURITY RISK MANAGEMENT .............................................. 251 4.4.1 ÂMBITO DA NORMA 251 4.4.2 PROCESSO DA GESTÃO DO RISCO ............................................................................................................ 252 4.4.2.1 DEFINIÇÃO DO CONTEXTO.......................................................................................................... 252 4.4.2.2 PROCESSO DE AVALIAÇÃO DOS RISCOS 253 4.4.2.3 PROCESSO DE TRATAMENTO DOS RISCOS ....................................................................... 254 4.4.3 ALAVANCAGEM DE PROCESSOS DO SGSI RELACIONADOS 255 4.4.4 FONTES DE RISCOS .......................................................................................................................................... 255
TIPOS DE RISCOS 256
COMPARAÇÃO DA VERSÃO DE 2022 COM A VERSÃO DE 2018 ............................................... 256
4.3.1
4.3.2
4.4.5
4.4.6
ÍNDICE DE MATÉRIAS IX © FCA 4.5 COSO ERM – INTEGRATING STRATEGY AND PERFORMANCE FRAMEWORK ................................... 257 4.5.1 OBJETIVOS DA ESTRUTURA 257 4.5.2 COMPONENTES E PRINCÍPIOS ..................................................................................................................... 258
ESTRUTURA COSO ERM – O CUBO COSO ERM 260
O MODELO EM HÉLICE DA ESTRUTURA COSO ERM ......................................................................... 261 4.5.4.1 COMPONENTES DO MODELO .................................................................................................... 262 4.5.4.2 CARACTERÍSTICAS DO MODELO ............................................................................................. 262
CONCEITOS-CHAVE DO MODELO ............................................................................................ 263
ELEMENTOS-CHAVE DO MODELO 263
IMPLICAÇÕES DO MODELO ........................................................................................................ 264 4.5.5 BENEFÍCIOS DA IMPLEMENTAÇÃO DO COSO ERM 264 4.6 NIST CYBERSECURITY FRAMEWORK 2.0 ............................................................................................................ 266
OBJETIVOS DO NIST CYBERSECURITY FRAMEWORK 2.0............................................................. 266 4.6.2 COMPONENTES DO NIST CYBERSECURITY FRAMEWORK 2.0 267 4.6.2.1 FUNÇÕES, CATEGORIAS E SUBCATEGORIAS .................................................................... 268 4.6.2.2 CRIAR E USAR PERFIS DA ESTRUTURA 269 4.6.2.3 USO DOS NÍVEIS DA ESTRUTURA PARA CARACTERIZAR OS RESULTADOS DO RISCO CIBERNÉTICO 271 4.6.2.4 COMO UTILIZAR A ESTRUTURA DE CIBERSEGURANÇA DO NIST............................ 272 5 INTELIGÊNCIA ARTIFICIAL E GESTÃO DO RISCO 273 5.1 ENQUADRAMENTO......................................................................................................................................................... 273 5.2 BENEFÍCIOS DA INTEGRAÇÃO DA INTELIGÊNCIA ARTIFICIAL/ MACHINE LEARNING COM A GESTÃO DO RISCO .......................................................................................................................................................... 274 5.3 DESAFIOS DO USO DA INTELIGÊNCIA ARTIFICIAL/ MACHINE LEARNING 27 5 5.4 INTEGRAÇÃO DA INTELIGÊNCIA ARTIFICIAL NO CICLO DE VIDA DA GESTÃO DO RISCO ............ 27 6 5.4.1 USO DA INTELIGÊNCIA ARTIFICIAL NA IDENTIFICAÇÃO DE RISCOS 27 6 5.4.2 USO DA INTELIGÊNCIA ARTIFICIAL NA AVALIAÇÃO DE RISCOS ................................................ 27 7 5.5 APLICAÇÕES DA INTELIGÊNCIA ARTIFICIAL NA GESTÃO DO RISCO ...................................................... 2 78 5.5.1 INTELIGÊNCIA ARTIFICIAL NA DETEÇÃO E PREVENÇÃO DE CIBERATAQUES 2 78 5.5.2 INTELIGÊNCIA ARTIFICIAL NA GESTÃO DO RISCO DAS INSTITUIÇÕES FINANCEIRAS ..... 28 0 5.5.3 INTELIGÊNCIA ARTIFICIAL NA GESTÃO DO RISCO EM HOSPITAIS 28 2 5.5.4 OUTRAS APLICAÇÕES DA INTELIGÊNCIA ARTIFICIAL NA GESTÃO DO RISCO..................... 28 4 5.5.4.1 ANÁLISE DE INFORMAÇÕES DE AMEAÇAS (THREAT INTELLIGENCE) 28 4 5.5.4.2 DETEÇÃO DE FRAUDES ............................................................................................................... 28 5 5.5.4.3 INFORMAÇÕES DE SEGURANÇA E GESTÃO DE EVENTOS ......................................... 28 6 5.5.4.4 REDUÇÃO DE RISCOS NO LOCAL DE TRABALHO 28 6 5.5.4.5 CLASSIFICAÇÃO E MONITORIZAÇÃO DE DADOS ............................................................ 28 6 5.6 AMEAÇAS DA INTELIGÊNCIA ARTIFICIAL À CIBERSEGURANÇA 287 5.6.1 AMEAÇAS INERENTES AO USO DA INTELIGÊNCIA ARTIFICIAL .................................................. 287 5.6.2 CIBERATAQUES COM O USO DA INTELIGÊNCIA ARTIFICIAL......................................................... 2 88
CONDIÇÕES PRÉVIAS PARA A UTILIZAÇÃO DA INTELIGÊNCIA ARTIFICIAL NA GESTÃO DO RISCO ............................................................................................................................................................................. 29 0 5.8 QUESTÕES ÉTICAS, AMBIENTAIS E POLÍTICAS DO USO DA INTELIGÊNCIA ARTIFICIAL 29 0 5.8.1 QUESTÕES ÉTICAS ........................................................................................................................................... 29 1 5.8.2 QUESTÕES AMBIENTAIS 29 1 5.8.3 QUESTÕES POLÍTICAS .................................................................................................................................... 29 1
4.5.3
4.5.4
4.5.4.3
4.5.4.4
4.5.4.5
4.6.1
5.7
RISCO EMPRESARIAL E CIBERSEGURANÇA X © FCA 5.9 FUTURO DA INTELIGÊNCIA ARTIFICIAL NA GESTÃO DO RISCO ................................................................ 29 2 5.9.1 GESTÃO DO RISCO 29 3 5.9.2 CIBERSEGURANÇA 29 3
QUANTUM MACHINE LEARNING................................................................................................................. 29 4 6 LEGISLAÇÃO EUROPEIA E PORTUGUESA RELEVANTE 29 7 6.1 LEI N.º 46/2018, DE 13 DE AGOSTO ........................................................................................................................ 29 7 6.1.1 PAPEL DO CENTRO NACIONAL DE CIBERSEGURANÇA 298 6.1.2 REPORTE DE INCIDENTES DE CIBERSEGURANÇA 298 6.2 DECRETO-LEI N.º 65/2021, DE 30 DE JUNHO .................................................................................................... 298 6.3 REGULAMENTO N.º 183/2022, DE 21 DE FEVEREIRO .................................................................................... 299 6.4 DIRETIVA NIS2 – NETWORK AND INFORMATION SYSTEMS DIRECTIVE 299 6.5 REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS 30 1 6.5.1 EM PORTUGAL .................................................................................................................................................... 30 2 6.5.2 PROCESSO DE REPORTE ............................................................................................................................... 30 2 6.6 ESTRATÉGIA NACIONAL DE CIBERSEGURANÇA 30 2 6.7 CONSELHO SUPERIOR DE SEGURANÇA DO CIBERESPAÇO 30 3 6.8 DIRETIVA (UE) 2016/1148, DE 6 DE JULHO DE 2016, E REGULAMENTO DE EXECUÇÃO (UE) 2018/151, DE 30 DE JANEIRO DE 2018 ................................................................................................................... 30 3 6.9 ENQUADRAMENTO EUROPEU DE CERTIFICAÇÃO DA CIBERSEGURANÇA 30 4 6.10 ESQUEMAS EUROPEUS DE CERTIFICAÇÃO DA CIBERSEGURANÇA 30 4 6.11 QUADRO NACIONAL DE CERTIFICAÇÃO DA CIBERSEGURANÇA .............................................................. 30 6 6.12 AUTORIDADE NACIONAL DE CERTIFICAÇÃO DA CIBERSEGURANÇA .................................................... 30 6 6.13 LEI DA UNIÃO EUROPEIA SOBRE A INTELIGÊNCIA ARTIFICIAL 30 7 GLOSSÁRIO 31 1 BIBLIOGRAFIA 32 7 ÍNDICE REMISSIVO 337
5.9.3

PREFÁCIOS

Ainda que sejamos seres analógicos por natureza, vivemos cada vez mais num mundo onde, sem nos darmos conta disso, procuramos manter um equilíbrio, ténue e por vezes precário, entre o mundo físico e o virtual, amplificado pelo uso quase permanente das tecnologias digitais para realizarmos um cada vez maior número das nossas tarefas diárias, quer pessoais quer profissionais.

Por essa razão, é óbvia a nossa incremental exposição ao risco associado a essa nossa quase permanente interação com algo que não foi concebido para ser seguro, i.e., a Internet.

Por outro lado, por razões culturais, somos uma sociedade que tem demonstrado valorizar prioritariamente a segurança e a estabilidade, evidenciando uma relativa relutância em assumir riscos significativos, por oposição a sociedades de outra matriz cultural, em que se fomenta, desde cedo, o empreendedorismo, a busca de oportunidades e o apetite pelo risco.

Ora, num cenário em constante evolução dos negócios e da tecnologia que os impulsiona, a intersecção entre a gestão de riscos, a segurança de informação e a cibersegurança tornou-se um ponto focal crítico. À medida que tentamos compreender as complexidades da era digital, a necessidade de nos capacitarmos coletiva e pessoalmente para fazer face às ameaças que decorrem da alta exposição do mundo digital nunca foi tão relevante.

Com este pano de fundo, é com grande gosto que apresento este livro de grande interesse e oportunidade intitulado Risco Empresarial e Cibersegurança, da autoria do Professor António Miguel, no qual o autor analisa a intrincada relação entre a gestão do risco, a segurança da informação e a cibersegurança, com a mestria que decorre da larga experiência que detém e fornece uma exploração abrangente destes interligados domínios, nas suas mais diversas dimensões.

A viagem inicia-se com uma comparação sistematizada entre as práticas tradicionais e modernas de gestão de riscos, examinando a forma como esta disciplina evoluiu de um modelo reativo, em silos e orientada predominantemente para a conformidade, para uma disciplina proativa, adaptável e estratégica. O autor elucida os processos, ferramentas e técnicas que capacitam as organizações a navegar pelo risco no ambiente de grande dinâmica geoestratégica e tecnológica que caracteriza os dias de hoje. De seguida, aprofunda o tema da relação entre a segurança da informação e a cibersegurança, analisa a anatomia das ciberameaças, realçando os imperativos de salvaguardar os diversos tipos de dados sensíveis que hoje coexistem no ciberespaço onde vivemos, e explora as metodologias de avaliação de risco, estruturas de resposta a incidentes e o importante papel da respetiva governação no reforço das nossas defesas digitais.

Dado que a gestão de risco é uma disciplina complexa e transversal à sociedade, o autor conduz-nos na estrutura de normas existente e nas melhoras práticas que devem ser seguidas, identificando as normas internacionais, diretrizes da indústria e conformidade regulamentar. Das normas ISO às estruturas NIST, desvendam-se a arquitetura dos protocolos

XV © FCA

de gestão de riscos que devem servir de farol às organizações para a resiliência e a conformidade.

A incontornável inteligência artificial (IA) transformou, de forma inexorável, a gestão de riscos. Nesta linha, o autor revela o papel desta impactante tecnologia na análise preditiva, na deteção de anomalias e na compreensão das ameaças e explora a forma como os algoritmos de aprendizagem automática melhoram a avaliação do risco, automatizam a tomada de decisões e incrementam o conhecimento dos seres humanos e assim dos processos de mitigação dos riscos.

Finalmente, o Professor António Miguel fornece uma visão geral das diretivas pertinentes da União Europeia e da legislação portuguesa que moldam as práticas de segurança da informação, de cibersegurança e desse modo de gestão do risco. Desde os regulamentos de proteção de dados até aos requisitos de notificação de violações, percorremos os contornos legais que as organizações têm de trilhar e cumprir.

Nesta jornada esclarecedora, o Professor António Miguel convida os leitores a adotarem uma perspetiva que transcende os silos e promove a colaboração entre profissionais de risco, especialistas em cibersegurança e da área jurídica, numa convergência de conhecimento com o propósito de preparar a sociedade para os desafios que o já mencionado e ténue equilíbrio entre o mundo analógico e o virtual em que permanentemente vivemos nos impõe. Ao embarcarmos nesta viagem, iremos munir-nos com um amplo leque de conhecimento que nos habilitará a retirarmos mais proveito das oportunidades que o futuro no mundo digital em que cada vez mais vivemos nos proporcionará.

Para concluir, gostaria de relembrar que não existe qualquer possibilidade de desenvolvimento económico sustentado, seja no mundo físico, seja no virtual, sem segurança. Se dúvidas existissem, os acontecimentos ocorridos na nossa Europa desde 24 de fevereiro de 2022 são disso um exemplo paradigmático. Cabe, por isso, a todos nós, setor público, setor privado e academia, coletivamente pugnar, através do incremento do nosso conhecimento, para a construção de um futuro com base na capacitação digital das organizações como acelerador do desenvolvimento, alicerçando-a na sólida preparação da sociedade e sempre na estrita observância dos valores que são os pilares de uma sociedade democrática.

Convida-se, assim, todos os leitores, sejam eles estudantes, profissionais, decisores ou cidadãos interessados, a mergulhar nas páginas deste livro. Aqui, encontrarão um guia completo e por isso essencial para compreender o papel fundamental da tecnologia e dos riscos que lhe são inerentes, na proteção do nosso futuro coletivo.

Que esta obra inspire discussões críticas, catalise inovações e, acima de tudo, contribua para nos preparar para um futuro mais seguro e mais resiliente.

Contra-almirante António Gameiro Marques

Autoridade Nacional de Segurança

Diretor-Geral do Gabinete Nacional de Segurança

RISCO EMPRESARIAL E CIBERSEGURANÇA XVI © FCA

Caro(a) Leitor(a),

É hoje uma constatação empírica consensual que vivemos num mundo cada vez mais interdependente e interligado pela via digital, e simultaneamente mais assimétrico e diverso dos pontos de vista político, económico, sociológico, tecnológico, legal e ambiental.

A sociedade global contemporânea enfrenta hoje um ambiente de policrise, propenso a diversos riscos que podem provocar impactos danosos, mas também representar oportunidades para os agentes estatais, públicos e privados, que melhor capacidade tiverem de se adaptarem.

No final deste período histórico que estamos a viver, é certo que irá emergir uma nova Ordem Global, seja ela uma nova versão daquela em que vivemos desde o final da II Guerra Mundial, seja ela uma outra, com características, sistemas de governação, regras e tecnologias bem diferentes do que nos é possível hoje imaginar.

Vivemos por isso num contexto de incerteza sem precedentes no século xxi, o que obriga todos os elementos-chave das organizações a contribuir para uma adequada gestão dessa incerteza, em primeiro lugar para garantir a sobrevivência, em segundo lugar para saber atuar neste ambiente, e em terceiro lugar para explorar as oportunidades que se perspetivam.

Para nós portugueses e países de língua e expressão portuguesa, navegar por mares nunca dantes navegados e descobrir novos mundos é parte intrínseca da nossa história, é o maior contributo que demos para a humanidade. Por tudo isto, estamos “nativamente” preparados para ajudar os gestores das organizações a enfrentar diariamente um mar de incertezas e desafios, tal como os destemidos marinheiros que desafiaram as águas desconhecidas há quase seis séculos.

Faltava, porém, um manual, um mapa que nos guiasse pelas latitudes e longitudes dos riscos, escrito na língua de Camões, adaptada aos novos tempos e à geopolítica da língua portuguesa.

Pela hábil e bem estruturada escrita de António Miguel, este livro convida-nos a bordo de uma jornada rumo ao vasto oceano da gestão de risco. Este livro acrescenta ciência à arte lusófona de navegar à vista, levando-nos à descoberta dos princípios fundamentais da gestão de risco moderna. De navegar à vista, junto à costa, para evitar as maiores tempestades, aproveitando os ventos e sem perder de vista a Terra.

É por isso que a bolina, a manobra ou o processo que permitia às caravelas enfrentarem ventos contrários é uma metáfora poderosa para a capacidade de adaptação e flexibilidade necessária na gestão de risco.

Tal como os navegadores portugueses ajustavam as velas para tirar proveito dos ventos, os gestores vão aprender, ao longo destes capítulos, a estarem preparados para ajustar as suas estratégias, modelos de governação e políticas de acordo com as alterações impostas pelo ambiente externo e interno.

PREFÁCIOS XVII © FCA

A caravela, um feito tecnológico ímpar na sua época, com a sua estrutura leve e ágil, simboliza a importância da agilidade e da capacidade de resposta rápida às mudanças no ambiente de negócios. Os gestores de risco devem ser capazes de tomar decisões rápidas e eficazes, antecipando e mitigando os impactos das ameaças emergentes.

Já o astrolábio, uma ferramenta de navegação-chave para o sucesso dos navegadores portugueses, representa a importância da análise e da previsão na gestão de risco. Assim como os navegadores usavam o astrolábio para determinar a sua posição em relação às estrelas, os gestores precisam de utilizar ferramentas analíticas avançadas para avaliar os riscos e as oportunidades que se apresentam.

António Miguel realça muito bem a importância da boa definição de indicadores de risco e de indicadores de performance de risco que sejam mensuráveis, previsíveis, comparáveis e informativos. Permitirá aos gestores compreender rapidamente a trajetória da organização e atuar atempadamente. Neste particular, gostava de destacar a audácia com que António Miguel aborda os desafios da integração da inteligência artificial com a gestão do risco, através da análise empírica de vários casos de uso.

Tal como a resiliência dos navegadores foi uma característica essencial para enfrentar e superar inúmeras ameaças, durante viagens que duravam meses, e até anos, encontramos neste livro práticas e métodos para introduzir o conceito de “resiliência” nas políticas, processos, procedimentos e formação nas nossas organizações.

Espera-se hoje dos gestores de risco, responsáveis de Security e Safety, responsáveis de Cibersegurança e Chief Information Security Officers, que deixem de ser vistos como os “arautos da desgraça”, que se transformem nos embaixadores da resiliência.

Prepare-se para embarcar numa viagem, em que os métodos, modelos referenciais, frameworks e conceitos são enriquecidos pela experiência de mais de 25 anos de António Miguel, enquanto consultor e formador.

A gestão do risco merecia uma obra em português desta envergadura e aplicabilidade prática, e desejo que esta obra sirva de inspiração a todos os atuais e futuros gestores de risco, tal como me inspirou a mim para escrever este prefácio.

Despeço-me com as palavras intemporais de Mia Couto:

“O mar foi ontem o que o idioma pode ser hoje, basta vencer alguns Adamastores”.

Felicidades e boa viagem!

João Miguel Annes CISO da ANA Aeroportos Vice-presidente do Comité de Cibersegurança da ACI Europe

RISCO EMPRESARIAL E CIBERSEGURANÇA XVIII © FCA

INTRODUÇÃO

Numa era definida pela estrutura BANI – Frágil, Ansiosa, Não Linear e Incompreensível (Brittle, Anxious, Nonlinear and Incomprehensible) –, o cenário empresarial global apresenta um conjunto único de desafios, impactando profundamente a forma como as organizações abordam a gestão do risco.

O mundo BANI é uma realidade na qual os pontos fortes tradicionais podem tornar-se inesperadamente pontos fracos, o desconforto e a imprevisibilidade são as normas, a causa e o efeito já não são lineares e a complexidade muitas vezes leva a cenários desconcertantes. Este novo paradigma exige uma reavaliação das práticas de gestão do risco nas organizações. Já se foi o tempo em que os riscos podiam ser abordados isoladamente; os riscos atuais estão interligados, exigindo uma abordagem holística, ágil e adaptativa.

A gestão do risco empresarial (GRE) no mundo BANI transcende as fronteiras tradicionais, integrando várias perspetivas de risco numa estratégia unificada. Trata-se de criar sistemas que não sejam apenas robustos, mas também resilientes, capazes de antecipar e responder ao inesperado. Esta abordagem é essencial para navegar na natureza frágil dos sistemas modernos, e também para abordar as ansiedades profundas sobre ameaças futuras, os impactos não lineares dos riscos e a incompreensibilidade dos desafios emergentes.

Particularmente no domínio da cibersegurança, o quadro BANI lança luz sobre novas dimensões de risco. A fragilidade da infraestrutura digital, a ansiedade em torno da escalada das ameaças cibernéticas, o impacto não linear e muitas vezes devastador das violações de dados e a incompreensibilidade dos ataques cibernéticos sofisticados exigem uma estratégia de cibersegurança proativa e abrangente. Esta estratégia deve ser integrada na trama mais ampla da gestão do risco empresarial para garantir uma defesa robusta contra a miríade de perigos digitais que as organizações modernas enfrentam.

Em 2023, o cibercrime custou ao mundo 8,4 triliões de dólares. Este número enorme inclui uma variedade de custos, como danos e destruição de dados, dinheiro roubado, perda de produtividade, roubo de propriedade intelectual e muito mais. Espera-se que os custos globais dos danos do crime cibernético cresçam 15% ao ano, atingindo 10,5 triliões de dólares anuais até 2025. Estes números sublinham o impacto económico substancial do crime cibernético e a importância crítica das medidas de segurança cibernética.

O custo dos ataques cibernéticos não é apenas uma preocupação económica premente, mas também uma questão crítica que afeta todas as facetas da sociedade e salienta a necessidade de estratégias robustas de segurança cibernética a nível individual, organizacional e nacional. À medida que as ameaças cibernéticas evoluem, o mesmo acontece com as nossas defesas, exigindo investimento contínuo, inovação e cooperação internacional para salvaguardar o nosso mundo digital. Os números associados ao cibercrime são um lembrete claro dos riscos envolvidos e da importância em dar prioridade à segurança cibernética num mundo cada vez mais interligado.

XIX © FCA

Politicamente, a segurança cibernética tornou-se uma questão de preocupação nacional. Os ataques cibernéticos podem ser usados como ferramentas para influência política, perturbação ou espionagem. Está em jogo a integridade das infraestruturas críticas, das eleições e das informações de segurança nacional, tornando a segurança cibernética uma prioridade estratégica. A dimensão internacional da cibersegurança, com ameaças muitas vezes originadas através das fronteiras, acrescenta uma camada de complexidade às relações políticas e exige cooperação e acordos internacionais.

A cibersegurança desempenha um papel fundamental no panorama global, em permanente evolução, da segurança da informação. Novas tendências na mobilidade e na conectividade apresentam um amplo espetro de desafios à medida que surgem novos ataques para as novas tecnologias. A crescente expansão da Inteligência Artificial (IA) veio não só acrescentar novas e significativas dificuldades à cibersegurança, mas igualmente proporcionar formas sofisticadas de gerir o risco da informação e a cibersegurança.

A integração da gestão do risco empresarial com a cibersegurança é mais do que um imperativo estratégico; é um mecanismo de sobrevivência no mundo atual. A cibersegurança não é apenas uma preocupação de Tecnologias de Informação (TI), mas uma pedra angular da gestão do risco em toda a empresa. Esta abordagem integrada não só ajuda a compreender o complexo cenário dos riscos, mas também a tomar decisões informadas, a alocar recursos de forma eficaz e a criar resiliência.

A importância desta integração torna-se particularmente evidente quando se consideram as rigorosas regulamentações da União Europeia (UE) sobre gestão do risco, segurança da informação e privacidade. Leis como o Regulamento Geral sobre a Proteção de Dados (RGPD) e a Diretiva de Redes e Sistemas de Informação (NIS2) não são meros obstáculos jurídicos, mas ferramentas estratégicas para navegar nas complexidades do mundo moderno. A conformidade com estes regulamentos é fundamental, servindo como um símbolo de confiança e fiabilidade num mercado global cada vez mais cético.

Este livro é uma incursão na compreensão deste mundo complexo e do papel fundamental da gestão integrada do risco empresarial e da segurança cibernética, à luz das normas, estruturas1 e boas práticas internacionalmente reconhecidas e das rigorosas regulamentações da UE sobre gestão do risco, segurança da informação e privacidade de dados.

À medida que embarcamos nesta jornada através dos temas abordados nos capítulos que se seguem, aprofundamo-nos em estratégias, estruturas, normas, ferramentas e melhores práticas para navegar no mundo imprevisível e complexo da gestão global do risco e da cibersegurança.

O objetivo é equipar os leitores com os conhecimentos e habilidades necessários para prosperar num mundo em que a mudança é a única constante e a proatividade e adaptabilidade são a chave para o sucesso.

1 Adotaremos aqui o termo “estrutura” como tradução de framework, para usar a mesma terminologia da norma portuguesa NP ISO 31000:2018.

RISCO EMPRESARIAL E CIBERSEGURANÇA XX © FCA

Este livro está organizado em seis capítulos:

■ No Capítulo 1, abordam-se os conceitos fundamentais e a terminologia da gestão do risco, confronta-se a gestão tradicional e a gestão integrada do risco, salienta-se a importância da governação do risco e descrevem-se os passos para a criação de uma política, uma estratégia e um processo para gerir de forma eficaz, coerente e holística os riscos das organizações nas suas variadas formas, desde os riscos estratégicos até aos operacionais, passando pelos riscos da informação e do uso intensivo e extensivo da tecnologia e da Internet;

■ No Capítulo 2, aprofundam-se os processos, as técnicas e as ferramentas da gestão do risco empresarial à luz das normas, estruturas e boas práticas internacionalmente reconhecidas;

■ No Capítulo 3, aborda-se, de forma profunda, a gestão dos riscos da informação e da cibersegurança e exploram-se as vantagens da integração destes riscos com os outros que afetam as organizações. Detalham-se os tipos de ameaças a que as organizações estão sujeitas atualmente e explicam-se as medidas de controlo mais eficazes para as identificar e combater;

■ No Capítulo 4, descrevem-se as principais normas e estruturas disponíveis no mercado para uma eficaz gestão do risco – ISO 31000, ISO/IEC 27001, ISO/IEC 27005, Committee of Sponsoring Organizations of the Treadway Commission (COSO) e NIST Framework 2.0 – e a respetiva importância e aplicabilidade nas organizações;

■ O Capítulo 5 é uma viagem pelo excitante mundo da IA e o seu impacto na gestão do risco empresarial e da cibersegurança. Exploram-se os usos positivos e negativos desta tecnologia, bem como as ameaças e oportunidades com que se defrontam os profissionais da gestão do risco e as organizações aos diversos níveis operacionais e de gestão;

■ No Capítulo 6, aborda-se o edifício jurídico da gestão do risco da informação e da cibersegurança, nomeadamente as normas europeias e a respetiva transposição para as leis portuguesas. Descrevem-se igualmente os diversos órgãos criados na União Europeia e em Portugal para a aplicação dessa legislação.

As fontes de informação usadas incluem uma extensa bibliografia listada na Bibliografia, bem como um conjunto significativo de websites relevantes, que se encontram discriminados ao longo do livro, à medida que são referenciados.

O livro inclui igualmente um Glossário de termos abrangente, cobrindo os diversos termos técnicos utilizados ao longo dos capítulos, bem como um Índice Remissivo destinado a auxiliar a pesquisa por termos específicos.

Este livro destina-se a uma variedade de perfis que tenham interesse em aprofundar os seus conhecimentos de gestão do risco – profissionais de gestão do risco, profissionais de segurança da informação e cibersegurança, gestores funcionais, gestores de projetos e de programas, estudantes e docentes universitários, bem como quem tenha curiosidade em conhecer o mundo fascinante da gestão do risco.

INTRODUÇÃO XXI © FCA

PROCESSOS, FERRAMENTAS E TÉCNICAS DA GESTÃO DO RISCO EMPRESARIAL

2.1 INTRODUÇÃO

As estruturas e metodologias de gestão do risco vigentes no mercado – como as definidas pelo Project Management Institute (PMI), pelo Institute of Risk Management, pela ISO/IEC 31000:2018, pela ISO 27005:2022, pela Comissão Europeia9, pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO), ou pela AXELOS – preconizam um conjunto de etapas genéricas similares, com algumas variações, para uma correta gestão do risco:

1. Identificação do contexto e dos riscos.

2. Avaliação e hierarquização dos riscos.

3. Planeamento de medidas de gestão dos riscos.

4. Implementação das medidas de gestão dos riscos.

5. Monitorização e controlo dos riscos.

Este conjunto de etapas repete-se de forma iterativa, à medida que a situação vai evoluindo e novos riscos aparecem, ou os inicialmente identificados mudam de perfil. Para que todo o processo funcione de forma eficiente e eficaz, é fundamental que a comunicação com as partes interessadas envolvidas em todas as etapas se processe de forma fluida e transparente. A gestão do risco deve ser uma preocupação e uma responsabilidade de todos numa organização. A Figura 2.1 mostra esquematicamente este processo cíclico.

A execução de cada uma destas etapas requer o recurso a determinados inputs e a aplicação de técnicas ou ferramentas específicas para a produção dos resultados (outputs) que se pretende alcançar. Detalham-se, em seguida, essas etapas.

9 A Comissão Europeia implementou uma metodologia de gestão do risco para ser usada por todos os organismos da Comissão (EC, 2018).

53 © FCA
2

Identificar o contexto e os riscos

Monitorizar e controlar os riscos

Implementar respostas aos riscos

COMUNICAR

Avaliar e hierarquizar os riscos

Planear respostas aos riscos

2.2 IDENTIFICAÇÃO DOS RISCOS

A etapa de identificação dos riscos é fundamental para identificar ameaças e oportunidades que podem afetar os objetivos da organização. Esse processo é a base para o desenvolvimento de estratégias de mitigação e é essencial para o sucesso da gestão do risco. Nesta etapa, é crucial ter em atenção os seguintes aspetos:

Contextualização e estabelecimento de objetivos

Envolvimento das partes interessadas

Definição de critérios de risco

Identificação de fontes de risco

Antes de iniciar a identificação dos riscos, é fundamental entender o contexto em que a organização opera. Isso inclui compreender a sua missão, a visão, as estratégias, os objetivos e as partes interessadas.

Envolver partes interessadas relevantes – como a Administração, gestores, colaboradores, clientes, fornecedores, etc. – é crucial para obter diferentes perspetivas e insights sobre os riscos.

Estabelecer critérios de risco claros para avaliar a probabilidade e o impacto dos riscos. Isso ajuda a classificar os riscos de acordo com a sua significância.

Identificar as diversas fontes de risco, que podem incluir riscos estratégicos, operacionais, financeiros, de conformidade e reputacionais.

A Figura 2.2 mostra esquematicamente esta etapa, na forma inputs, técnicas e outputs.

RISCO EMPRESARIAL E CIBERSEGURANÇA 54 © FCA
FIGURA 2.1 – ETAPAS GENÉRICAS DA GESTÃO DO RISCO

NORMAS, DIRETRIZES E BOAS PRÁTICAS DE GESTÃO DO RISCO

4.1 PANORÂMICA DAS NORMAS, DIRETRIZES E BOAS PRÁTICAS INTERNACIONAIS

Existe um vasto conjunto de normas, regulamentos e boas práticas a nível internacional que rege e orienta a prática da gestão do risco e da segurança da informação nas organizações. Em seguida, vamos listar as normas mais comummente usadas.

4.1.1 NORMA INTERNACIONAIS

A International Organization for Standardization (ISO) e a International Electrotechnical Commission (IEC) disponibilizam um conjunto abrangente de normas para a gestão do risco, a segurança da informação, a cibersegurança e a proteção da privacidade:

■ ISO/IEC 31000:2018 – Gestão do Risco – Princípios e Diretrizes;

■ ISO/IEC 31010:2019 – Gestão do Risco – Técnicas de Avaliação do Risco;

■ ISO/IEC 27000:2018 – Técnicas de Segurança de Tecnologia de Informação – Sistemas de Gestão de Segurança da Informação;

■ ISO/IEC 27001:2022 – Segurança da Informação, Cibersegurança e Proteção da Privacidade – Requisitos para a Gestão dos Riscos de Segurança da Informação;

■ ISO/IEC 27002:2022 – Código de Prática para Controlos de Segurança da Informação;

■ ISO/IEC 27005:2022 – Segurança da Informação, Cibersegurança e Proteção da Privacidade – Orientações para a Gestão dos Riscos de Segurança da Informação;

■ ISO/IEC 27017:2015 – Código de Prática para Controlos de Segurança da Informação Baseados na Nuvem;

227 © FCA
4

■ ISO/IEC 27018:2019 – Proteção de Informações Pessoais em Nuvens Públicas;

■ ISO/IEC 27032:2012 – Cibersegurança e Ciber-resiliência;

■ ISO/IEC 27033-1:2015 – Tecnologia da Informação – Técnicas de Segurança – Segurança de Redes;

■ ISO/IEC 27701:2019 – Gestão de Informações de Privacidade;

■ ISO/IEC 29002:2022 – Segurança da Informação, Cibersegurança e Proteção da Privacidade – Controlos de Segurança da Informação;

■ ISO 22301:2019 – Segurança e Resiliência – Sistemas de Gestão da Continuidade de Negócios – Requisitos.

4.1.2 NORMAS E DIRETRIZES DA UNIÃO EUROPEIA

Na União Europeia (UE), as normas e os regulamentos para a gestão do risco e para a segurança da informação são frequentemente influenciados pelas diretrizes da UE e pelas normas internacionais ISO. Estes regulamentos complementam as normas internacionais, focando-se na proteção de dados, cibersegurança e confiabilidade de serviços digitais.

Alguns dos principais quadros e regulamentos da UE incluem:

■ General Data Protection Regulation (GDPR) – Regulamento Geral de Proteção de Dados (RGPD) – define normas para a proteção de dados pessoais;

■ Diretiva NIS2 (Network and Information Security Directive) – publicada a 14 de dezembro de 2022, a Diretiva NIS2 substituiu a Diretiva NIS de 2016. Esta norma visa melhorar a cibersegurança em toda a UE;

■ eIDAS (Electronic Identification, Authentication and Trust Services) – estabelece um quadro para serviços de identificação eletrónica e serviços de confiança para transações eletrónicas.

A Agência da União Europeia para a Cibersegurança (European Network and Information Security Agency [ENISA]) não emite normas da mesma forma que entidades como a ISO, mas sim diretrizes, recomendações e relatórios sobre cibersegurança e gestão do risco. Estes documentos são atualizados periodicamente para refletir as mudanças no cenário da cibersegurança.

Algumas das principais publicações incluem:

■ Diretrizes para a gestão de riscos de segurança da informação – oferece orientações sobre como identificar, avaliar e gerenciar riscos de segurança da informação;

■ Relatório sobre as ameaças do ciberespaço – fornece uma análise abrangente das ameaças cibernéticas atuais;

■ Diretrizes para resposta a incidentes de segurança – oferece procedimentos e práticas recomendadas para lidar com incidentes de cibersegurança;

RISCO EMPRESARIAL E CIBERSEGURANÇA 228 © FCA

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.