Gestão do Risco em 2025: como decidir melhor, priorizar investimentos e provar que controla o que mais importa

 

Reguladores, clientes e conselhos de administração já não querem apenas promessas — necessitam de evidências de gestão do risco, e o garante da gestão do risco integrada nas práticas do dia‑a‑dia.

 

Porque ganhou destaque este tema agora?

São quatro os requisitos que estão a colocar a gestão do risco no centro das decisões:

• DORA aplica‑se desde 17 de janeiro de 2025 ao setor financeiro e impõe avaliação contínua de riscos TIC, testes de resiliência e controlo de terceiros críticos. ESMA
• NIS 2 em Portugal: em setembro de 2025, a Assembleia da República aprovou a transposição, faltando promulgação e publicação — com obrigações claras de gestão de risco e reporting de incidentes em 24h/72h/1 mês. apdc.pt
• AI Act: em vigor desde 1 de agosto de 2024, com fases de aplicação em 2025–2027, exige sistema de gestão de risco para IA de alto risco e regras específicas para modelos de propósito geral. Digital Strategy
• Cyber Resilience Act (CRA): em vigor desde 10 de dezembro de 2024; as principais obrigações aplicam‑se a partir de 11 de dezembro de 2027, reforçando segurança por conceção e gestão de vulnerabilidades em produtos digitais. Digital Strategy

E a realidade confirma a necessidade: paragens operacionais e ataques à cadeia de fornecimento estão a gerar perdas elevadas em 2024/25 — do outage global causado por atualização defeituosa de software (efeito dominó em vários setores) a incidentes recentes que paralisam a produção e a distribuição. Reuters

 

---

O que é gestão do risco “moderna” (e acionável)?

A boa gestão do risco não é um relatório anual: é disciplina de gestão com quatro camadas.

1) Governo e apetite ao risco

• Apetite e tolerância aprovados pela gestão de topo: o que aceitamos perder (financeiro, reputacional, legal, operacional)?
• Papéis claros: quem é risk owner, control owner e process owner na gestão do risco?
• Ciclo de decisão: como priorizamos? Quem aprova aceitar/transferir/mitigar/evitar?

2) Processo baseado em normas (ISO 31000 + ISO/IEC 27005)

• Identificar: riscos estratégicos, operacionais, de informação, terceiros, regulatórios e IA.
• Analisar e avaliar: probabilidade/impacto, cenários (melhor, provável, pior), dependências.
• Tratar: mitigar, transferir (seguros/contratos), aceitar ou evitar, com planos e donos.
• Monitorizar e rever: KRIs, auditoria interna, testes e lessons learned.

3) Integração com continuidade, segurança e conformidade

• Incidentes: um risco materializado alimenta o processo (causa‑raiz, perdas, melhorias).
• Continuidade: alinhar BIA, RTO, RPO com o registo de riscos e testes de crise.
• Conformidade: mapear controlos exigidos por DORA/NIS 2/AI Act/CRA ao tratamento de riscos (um controlo pode cobrir vários requisitos).

4) Evidências e métricas (para auditor e para o Board)

• Mapa de riscos “vivo” com status dos planos de tratamento.
• KPIs/KRIs:
  • % de riscos críticos com tratamento em dia
  • Tempo médio até mitigação (por prioridade)
  • Cobertura de controlos (ex.: MFA, EDR/SIEM, backups testados)
  • Exposição de fornecedores críticos por serviço
  • Tempo de reporte (NIS 2: early warning 24h, notificação 72h, relatório final 1 mês). Digital Strategy

 

---

Taxonomia prática de riscos para 2025

Use uma linguagem comum e completa — e evite “caixas‑outros”:

• Tecnologia & Operações: indisponibilidade (cloud, M365), mudança mal sucedida, latência, perda de dados.
• Cibersegurança: ransomware, phishing com deepfakes, exploração de vulnerabilidades, supply chain.
• Informação & Privacidade: violação de dados, retenção excessiva, base legal frágil, shadow data.
• Terceiros & Quarto Nível: SaaS, outsourcing TIC, fabricantes de software, integradores.
• Regulatório & Legal: sanções por DORA/NIS 2/RGPD/CRA, falhas de reporte, cláusulas contratuais.

IA & Modelos: erro sistémico de modelo, drift, uso de dados pessoais sem base legal, violações do AI Act (alto risco).

 

---

Como priorizar (sem complicar)

• 0–30 dias: BIA rápido; mapa de serviços e dependências (inclui energia/telecom); priorização por impacto.
• 31–60 dias: exercícios executivos (table‑top NIS 2 — 24h/72h/1 mês), teste de restore, plano de comunicação.
• 61–100 dias: teste técnico (falha de update ou perda de cloud), ensaio de blackout (UPS/geradores, comunicações alternativas), revisão de contratos de terceiros (RTO/RPO, reporte de incidentes, right to audit), e after‑action review com melhorias. Google Cloud Status

 

---

Programa de 90 dias (executável)

Dias 0–30 — Foto realista

• Workshop de contexto, apetites e critérios (topo e risk owners).
• Inventário de serviços críticos e fornecedores críticos (contratos, RTO/RPO, cláusulas de segurança).
• Rapid gap‑assessment face a DORA/NIS 2/AI Act (só controlos e evidências).

Dias 31–60 — Reduzir risco material

• Fechar quick wins: MFA universal, hardening de endpoints/identidades, backups imutáveis testados, cobertura EDR/SIEM ≥95%.
• Runbooks de incidente e continuidade: comunicação, decisão, reporte (NIS 2).

Dias 61–90 — Provar que funciona

• Exercício de crise com cenário realista (ex.: atualização defeituosa de software/fornecedor crítico indisponível).
• Table‑top NIS 2 (24h/72h/1 mês) e simulation audit DORA.
• Dashboard de KRIs/KPIs para o Board e plano de melhorias trimestral.

 

---

Checklist rápido (para não falhar o essencial)

• Apetite ao risco aprovado e comunicado
• Registo único de riscos (com donos e prazos)
• Avaliações de risco documentadas e repetíveis (ISO 31000/27005)
• Controlo de terceiros: due diligence, SLAs, RTO/RPO, direito de auditoria
• Mapa de dependências (serviços ↔ fornecedores ↔ dados críticos)
• Métricas ativas (KRIs) e triggers de escalamento
• Plano de resposta a incidentes e continuidade testados
• Evidências prontas para auditor/regulador (logs, relatórios, atas, decisões)
• Calendário de reporte NIS 2 e playbooks preenchidos
• Revisões trimestrais e after‑action reviews

 

---

Três erros comuns (e o antídoto)

1. “Um mapa bonito, mas nada acontece” → converta cada risco em tarefa com dono e data; reporte ao Board o delta mês a mês.
2. Terceiros “de confiança”, mas sem evidências → solicite relatórios independentes, teste o restore, valide cláusulas de notificação e segurança.
3. Riscos de IA ignorados → crie um ciclo de vida de modelos com avaliação de risco, drift, explicabilidade e base legal para dados pessoais.

 

---

Cursos Behaviour recomendados (para transformar este artigo em prática)

• ISO 31000 Lead Manager (framework transversal, apetite ao risco, KRIs, integração com continuidade)
• ISO 27005 Manager (métodos de avaliação de risco aplicados à Segurança da Informação, alinhado com ISO/IEC 27001)
• NIS 2 Compliance Lead Manager (gestão de risco, medidas do Art. 21 e regime de reporte 24h/72h/1 mês)
• DORA Compliance Lead Manager (integração de riscos TIC, terceiros críticos e testes de resiliência em entidades financeiras)
• ISO 27001 Lead Implementer (do risco aos controlos e evidências auditáveis no SGSI)
• ISO 27001 Lead Auditor (do risco aos controlos e evidências auditáveis no SGSI)

 

 

 

Autor: Behaviour
Não é autorizada a cópia ou reprodução deste artigo.