Segundo o relatório Cost of a Data Breach 2024 da IBM, o custo médio global de uma violação de dados atingiu US$ 4,88 milhões, alta de 10% sobre o ano anterior e o maior valor já registrado. Diante de cifras dessa ordem, tratar risco cibernético com rótulos genéricos de "alto" ou "médio" deixou de ser suficiente: a alta direção exige saber quanto, em reais, a empresa pode perder — e quanto vale a pena investir para evitá-lo. É exatamente essa ponte entre tecnologia e finanças que a ISO 31000 e a metodologia FAIR constroem.
Por que sair da gestão qualitativa para a quantitativa
A maioria das organizações ainda gerencia risco de forma qualitativa: especialistas classificam cada cenário em escalas ordinais — baixo, médio, alto, ou notas de 1 a 5 — combinando "probabilidade" e "impacto" em uma matriz de cores. O método é rápido, barato e útil para uma triagem ampla. Seus limites, porém, são sérios: as escalas são subjetivas, não somam (não dá para agregar "três riscos altos" em um número), e dois avaliadores podem chegar a resultados opostos para o mesmo cenário.
A gestão quantitativa expressa o risco em termos que o conselho entende: perda anual esperada em reais e probabilidade percentual de o evento ocorrer no período. Em vez de cores, ela produz uma distribuição de perdas possíveis. Isso permite comparar riscos entre si, priorizar por valor financeiro em jogo, justificar orçamento de segurança por retorno sobre o investimento e responder com precisão à pergunta que todo CFO faz: "qual é a nossa exposição?".
Não se trata de abandonar o qualitativo, e sim de combiná-los: triagem qualitativa para varrer o universo de riscos e quantificação rigorosa para os poucos riscos materiais que de fato movem decisões de capital.
ISO 31000:2018 — a norma guarda-chuva
A ISO 31000:2018 é a referência internacional para gestão de riscos de qualquer natureza — estratégicos, financeiros, operacionais, de segurança. Ela é deliberadamente agnóstica de método: não dita fórmulas, mas estabelece o alicerce sobre o qual qualquer técnica (inclusive FAIR) opera. A norma se organiza em três blocos.
Princípios
O propósito central é a criação e proteção de valor. Os princípios determinam que a gestão de risco seja integrada às atividades da organização, estruturada e abrangente, customizada ao contexto, inclusiva (envolve as partes interessadas), dinâmica, baseada na melhor informação disponível, atenta a fatores humanos e culturais, e sujeita a melhoria contínua.
Estrutura (framework)
A estrutura garante que a gestão de risco seja sustentada pela liderança. Ela se apoia em liderança e comprometimento da alta direção e se desenvolve em um ciclo de integração, concepção, implementação, avaliação e melhoria. Sem patrocínio executivo, o processo vira papel parado.
Processo
O processo operacional é onde o risco é efetivamente gerido, em etapas encadeadas e contínuas:
- Comunicação e consulta com as partes interessadas ao longo de todo o ciclo.
- Definição de escopo, contexto e critérios — inclusive apetite e tolerância a risco.
- Avaliação de risco, subdividida em identificação, análise e avaliação (comparação com os critérios).
- Tratamento de risco — seleção e implementação das respostas.
- Monitoramento e análise crítica e registro e relato.
A metodologia FAIR — colocando números no risco
FAIR (Factor Analysis of Information Risk) é o padrão aberto mantido pelo FAIR Institute e formalizado pela Open Group como Open FAIR. É a engine quantitativa que preenche a lacuna deixada pela ISO 31000: como transformar incerteza em uma faixa de perda financeira defensável.
FAIR define Risco como a perda provável em um intervalo de tempo e o decompõe em duas alavancas principais:
- LEF — Frequência de Evento de Perda (Loss Event Frequency)
- Quantas vezes, por ano, o evento de perda deve ocorrer. Deriva da frequência de ameaça (com que frequência o agente atua) e da vulnerabilidade (a probabilidade de o ataque ter sucesso, função da capacidade da ameaça versus a força dos controles).
- LM — Magnitude da Perda (Loss Magnitude)
- Quanto se perde por evento. Divide-se em perda primária e perda secundária.
A perda primária recai diretamente sobre a organização e tende a ser mais previsível: custos de resposta a incidente, horas de equipe, substituição de ativos, indisponibilidade e produtividade perdida. A perda secundária decorre da reação de terceiros (clientes, reguladores, mídia, justiça) e costuma ser maior e mais volátil: multas regulatórias — inclusive sob a LGPD —, indenizações, perda de clientes, queda de receita e dano reputacional.
Cada fator não é um número único, e sim uma distribuição estimada por especialistas calibrados como uma faixa: valor mínimo, mais provável e máximo. O modelo então roda simulações de Monte Carlo — milhares de iterações sorteando valores dentro das faixas — para produzir a perda anualizada esperada e seus percentis (por exemplo, P50 e P90). O resultado não é uma falsa precisão, mas uma faixa honesta: "há 90% de chance de a perda anual com ransomware ficar abaixo de R$ 6,2 milhões, com valor mais provável de R$ 1,8 milhão".
Como quantificar: do cenário ao real por ano
Quantificar um cenário com FAIR segue uma sequência prática. Suponha o cenário "ransomware criptografa o datacenter principal":
- Estime a LEF: com base em telemetria própria, benchmarks setoriais e histórico de pares, defina a faixa de eventos por ano (ex.: mínimo 0,1; mais provável 0,3; máximo 0,8 evento/ano).
- Estime a perda primária: resposta a incidente, recuperação, indisponibilidade (ex.: R$ 400 mil a R$ 2 milhões por evento).
- Estime a perda secundária: multas, churn de clientes, reputação, ponderada pela probabilidade de a perda secundária se materializar (ex.: 40% de chance, R$ 1 a R$ 8 milhões).
- Rode o Monte Carlo combinando as distribuições e leia a perda anualizada esperada e os percentis.
- Compare o resultado com o apetite a risco aprovado pela direção.
O mesmo número permite avaliar controles: se um programa de backups imutáveis e segmentação custa R$ 600 mil/ano e reduz a perda esperada de R$ 2,1 milhões para R$ 700 mil, o tratamento gera R$ 1,4 milhão de redução — um ROI de segurança claramente positivo.
Matriz de risco e níveis de exposição
Mesmo em programas quantitativos, a matriz de risco (probabilidade × impacto) continua útil para comunicação visual e para a triagem inicial. O diferencial maduro é ancorar os eixos em valores quantitativos, não em adjetivos. A tabela abaixo ilustra níveis de exposição calibrados em perda anual esperada e ação esperada conforme o apetite definido.
| Nível | Perda anual esperada (faixa) | Relação com o apetite | Ação recomendada |
|---|---|---|---|
| Crítico | Acima de R$ 5 milhões | Excede o apetite | Tratamento imediato; reporte ao conselho |
| Alto | R$ 1 mi a R$ 5 milhões | No limite do apetite | Plano de tratamento priorizado |
| Médio | R$ 200 mil a R$ 1 milhão | Dentro da tolerância | Mitigar quando custo-benefício favorável |
| Baixo | Abaixo de R$ 200 mil | Dentro do apetite | Aceitar e monitorar |
Apetite e tolerância a risco
O apetite a risco é a quantidade de risco que a organização está disposta a reter para perseguir seus objetivos — uma declaração estratégica aprovada pela alta direção. Em uma abordagem quantitativa, ele ganha forma numérica: "aceitamos até R$ 3 milhões de perda anual esperada agregada em risco cibernético". A tolerância a risco é o desvio aceitável em torno desse apetite, geralmente expresso por objetivo ou ativo (ex.: indisponibilidade do sistema de pagamentos não pode exceder duas horas por ano).
Definir esses limites parte da capacidade financeira de absorver perdas, do contexto regulatório e da estratégia de negócio. Uma vez fixados, eles transformam a decisão "aceitar ou tratar" em uma comparação objetiva entre a perda anualizada estimada de cada cenário e o limite tolerado.
Tratamento de risco: as quatro respostas
Identificado e quantificado o risco, a ISO 31000 e a ISO 27005 oferecem quatro estratégias de tratamento:
- Mitigar (reduzir): implementar controles que diminuam a frequência ou a magnitude — autenticação multifator, segmentação de rede, EDR, backups imutáveis, gestão de vulnerabilidades.
- Transferir (compartilhar): deslocar parte do impacto financeiro a terceiros, via seguro cibernético ou cláusulas contratuais com fornecedores.
- Aceitar (reter): assumir conscientemente o risco quando ele está dentro do apetite e o custo de tratá-lo supera o benefício — sempre formalizado e aprovado pelo dono do risco.
- Evitar: eliminar a fonte do risco, descontinuando a atividade, o sistema ou o dado que o origina.
A escolha racional compara o custo do tratamento com a redução de perda esperada que ele produz — uma conta que só a quantificação FAIR torna possível.
É importante registrar formalmente o risco residual: a exposição que permanece após o tratamento. Nenhum controle leva o risco a zero, e a direção precisa aceitar explicitamente o resíduo, fechando o ciclo de responsabilidade. Esse registro também alimenta a próxima rodada de avaliação, em que novas ameaças e mudanças no ambiente são incorporadas.
Erros comuns que minam um programa de risco
Mesmo organizações que adotam as normas certas tropeçam em armadilhas previsíveis. As mais frequentes:
- Confundir avaliação de risco com avaliação de conformidade. Cumprir um checklist de controles não diz quanto a empresa pode perder; conformidade é meio, não fim.
- Tratar a matriz de cores como resultado final. Sem ancoragem financeira, a matriz vira teatro de risco — bonita, mas incapaz de orientar onde investir.
- Esperar dados perfeitos para começar. FAIR opera com estimativas calibradas; o programa deve nascer imperfeito e melhorar a cada ciclo, não aguardar o cenário ideal.
- Não conectar risco a apetite. Quantificar sem comparar com um limite aprovado deixa a decisão de tratar ou aceitar sem referência objetiva.
- Falta de patrocínio executivo. Sem liderança e comprometimento — exigência expressa da ISO 31000 —, o processo não influencia decisões reais de orçamento.
Integração com ISO 27005 e NIST RMF
Essas referências não competem; encaixam-se em camadas. A ISO 31000 é a governança guarda-chuva. A ISO 27005 especializa o processo para segurança da informação, conectando-o ao Sistema de Gestão da Segurança da Informação da ISO 27001. No universo do NIST, o SP 800-37 (Risk Management Framework) define o ciclo de categorizar, selecionar, implementar, avaliar, autorizar e monitorar controles, enquanto o SP 800-30 orienta a condução das avaliações de risco. O FAIR atravessa todas elas como motor de quantificação.
| Referência | Papel | Foco | Natureza |
|---|---|---|---|
| ISO 31000:2018 | Governança guarda-chuva | Risco corporativo (qualquer tipo) | Princípios e processo, agnóstica de método |
| ISO 27005 | Processo de SI | Risco de segurança da informação | Qualitativa ou quantitativa |
| NIST SP 800-37 / 800-30 | Framework e guia de avaliação | Risco de sistemas e informação | Estruturada, orientada a controles |
| FAIR / Open FAIR | Engine quantitativa | Risco em valor financeiro | Quantitativa (Monte Carlo) |
A combinação madura é direta: ISO 31000 dá a governança, ISO 27005 ou NIST RMF dão o processo de segurança, e FAIR fornece os números que sustentam a decisão executiva.
Como a Decripte coloca isso em prática
Transformar normas e fórmulas em um programa de risco que o conselho confia exige método, dados e ferramentas — e poucas empresas têm equipe interna para sustentar esse ciclo continuamente. A Decripte opera esse trabalho de ponta a ponta para organizações de qualquer porte, de um único colaborador a operações com mais de 100 mil pessoas: estruturamos a governança de risco conforme a ISO 31000, conduzimos a avaliação alinhada à ISO 27005 e ao NIST, e quantificamos seus cenários críticos em reais com FAIR, entregando uma visão de exposição que dialoga com a diretoria na linguagem de negócio. A partir do risco residual, priorizamos o tratamento com ROI de segurança mensurável e monitoramos continuamente.
Quer saber, em números, qual é a exposição cibernética da sua empresa? Faça um diagnóstico gratuito e comece grátis pela nossa central de inteligência, ou conheça nossos planos de gestão contínua de risco e segurança — do MEI ao enterprise.
