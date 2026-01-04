Nova Lei da Cibersegurança e a Gestão de Risco
A nova lei da cibersegurança coloca a gestão de risco como um dos pilares obrigatórios. As entidades abrangidas devem identificar e avaliar riscos, assim como Implementar um sistema de gestão de risco.
Na área da cibersegurança, o risco é uma circunstância ou um evento razoavelmente identificável, com um efeito adverso potencial na segurança das redes e dos sistemas de informação.
A gestão de risco é o processo de identificação, avaliação e mitigação dos riscos que uma organização está sujeita no âmbito das suas operações. O risco é transversal a uma organização e nesse sentido pode ser feita uma gestão de risco nas áreas financeiras, estratégicas, operacionais e na área da cibersegurança.
Gestão de risco - Principais Etapas
A gestão de risco geralmente segue um processo sistemático que inclui as seguintes etapas:
- Estabelecer Contexto
- Esta fase é fundamental para o planeamento e implementação da gestão de risco, pois permite compreender os critérios, decisões e recursos internos e externos que possam afetar os objetivos da organização
- Identificação de riscos
- Nesta fase tenta-se identificar os riscos potenciais que poderão causar uma perda à organização; Tal pode ser feito com o feedback dos colaboradores, análise de vulnerabilidades /ou informação de incidentes de cibersegurança;
- Análise de Risco
- tem como objetivo verificar quais as origens dos riscos identificados, as suas consequências e impactos e qual a sua probabilidade de ocorrência e ao impacto que teriam sobre a organização caso ocorressem. Isso geralmente é feito utilizando uma matriz de risco que classifica os riscos com base em sua severidade.
- Avaliação de Risco
- Tem como finalidade auxiliar na tomada de decisão sobre o tratamento dos riscos, baseando-se principalmente na premissa de um nível aceitável de risco;
- Tratamento/Mitigação de riscos
- Uma vez que os riscos são identificados e avaliados, devem ser implementadas estratégias para mitigá-los. Isso pode envolver a implementação de controlos internos, transferência de riscos, investimento, entre outras medidas.
- Comunicação e consulta do risco
- Atividade que tem como objetivo alcançar não só o consenso sobre como gerir os riscos, como promover a consciencialização sobre a importância do processo de gestão de riscos em toda a organização
- Monitorização, revisão contínua e documentação
- A gestão de risco é um processo contínuo e dinâmico. Portanto, os riscos devem ser monitorizados regularmente para garantir que as estratégias de mitigação se mantêm eficazes. Além disso, é importante rever periodicamente o processo de gestão de riscos para garantir que esteja alinhado com os objetivos e estratégias da organização.
A eficácia da gestão de risco pode ter um impacto significativo no desempenho e na sustentabilidade de uma organização, ajudando-a a evitar perdas financeiras, danos à reputação e outros impactos negativos decorrentes de eventos imprevistos.
Em resumo... as empresas devem
Identificar e avaliar riscos
- Mapear ativos, redes, sistemas e cadeia de fornecedores.
- Avaliar ameaças, vulnerabilidades e impacto potencial.
- Definir critérios de probabilidade e impacto para riscos.
- Implementar um sistema de gestão de risco
As organizações devem ter um sistema contínuo que compreende:
- Políticas e procedimentos documentados de gestão de risco
- Controles técnicos e organizacionais proporcionais ao risco
- Gestão de continuidade de negócio (BCM)
- Medidas de prevenção e mitigação
- Autenticação forte, controlo de acessos, monitorização
Mais informações no site do CNCS (incuindo Guia para Gestão dos Riscos- aqui)
Imagem via ipkeys
Leia também...