{"id":433,"date":"2026-02-12T17:48:59","date_gmt":"2026-02-12T16:48:59","guid":{"rendered":"https:\/\/ap4592jwt1io3f.apeiroo.com\/?p=433"},"modified":"2026-03-09T08:15:50","modified_gmt":"2026-03-09T07:15:50","slug":"quantificacao-do-risco-cibernetico-baseada-em-dados-parte-3","status":"publish","type":"post","link":"https:\/\/apeiroo.com\/pt\/data-driven-cyber-risk-quantification-part-3\/","title":{"rendered":"Quantifica\u00e7\u00e3o do risco cibern\u00e9tico com base em dados. Parte 3."},"content":{"rendered":"
\n
\n
\n

<\/p>\n

Um guia estrat\u00e9gico para CISOs<\/p>\n

<\/p>\n

<\/p>\n

1<\/strong>. Fatores com maior impacto na resili\u00eancia cibern\u00e9tica<\/strong><\/h1>\n

<\/p>\n

<\/p>\n

Uma perspetiva muito interessante para determinar a prioridade das iniciativas num programa de ciberseguran\u00e7a \u00e9 examinar quais os factores que mais contribuem para o custo de uma viola\u00e7\u00e3o cibern\u00e9tica, incluindo n\u00e3o s\u00f3 a maturidade das pr\u00e1ticas de uma organiza\u00e7\u00e3o, mas tamb\u00e9m as tecnologias e os factores externos. Ao comparar a forma como a exist\u00eancia ou aus\u00eancia destes factores est\u00e1 associada a custos de viola\u00e7\u00e3o inferiores \u00e0 m\u00e9dia (influ\u00eancia atenuante dos custos) ou superiores \u00e0 m\u00e9dia (influ\u00eancia amplificadora dos custos), podemos ter uma ideia da sua import\u00e2ncia.<\/p>\n

\"\"<\/figure>\n

 <\/p>\n

<\/p>\n

<\/p>\n

<\/p>\n

<\/p>\n

Figura 5:<\/strong> Fatores que afetam o custo de uma viola\u00e7\u00e3o de dados.\nFonte: IBM & Ponemon Institute, 2024.\nOs n\u00fameros representam a percentagem m\u00e9dia de redu\u00e7\u00e3o ou aumento no custo de uma viola\u00e7\u00e3o de dados cibern\u00e9ticos<\/p>\n

<\/p>\n

<\/p>\n

Como os dados s\u00e3o apresentados em percentagens, podemos extrair algumas infer\u00eancias interessantes. Por exemplo, uma organiza\u00e7\u00e3o do setor de sa\u00fade com um custo m\u00e9dio de viola\u00e7\u00e3o cibern\u00e9tica de US$ 10,1 milh\u00f5es poderia estimar uma redu\u00e7\u00e3o potencial de cerca de US$ 600.000 simplesmente treinando seus funcion\u00e1rios em conscientiza\u00e7\u00e3o sobre seguran\u00e7a cibern\u00e9tica.<\/p>\n

<\/p>\n

<\/p>\n

Embora as consequ\u00eancias das viola\u00e7\u00f5es de dados sejam graves, existem formas concretas pelas quais as organiza\u00e7\u00f5es podem mitigar custos e melhorar a sua postura geral de seguran\u00e7a. Os principais fatores de redu\u00e7\u00e3o de custos identificados na investiga\u00e7\u00e3o incluem:<\/p>\n

<\/p>\n

<\/p>\n

    \n
      <\/p>\n
    • Abordagem DevSecOps:<\/strong> integrar a seguran\u00e7a no ciclo de vida do desenvolvimento reduz os custos da viola\u00e7\u00e3o em aproximadamente 20%.
      desarrollo reduce los costes de las violaciones en aproximadamente un 20 %.<\/li>\n
    • Equipa de resposta a incidentes e de testes:<\/strong> as organiza\u00e7\u00f5es com um plano de IR testado registam cerca de 15% menos custos de viola\u00e7\u00e3o.
      respuesta a incidentes probado registran unos costes por violaciones de seguridad
      un 15 % menores.<\/li>\n
    • IA e automa\u00e7\u00e3o na seguran\u00e7a:<\/strong> O uso extensivo de intelig\u00eancia artificial e automa\u00e7\u00e3o em seguran\u00e7a est\u00e1 correlacionado com redu\u00e7\u00f5es de custos superiores a 20%.
      automatizaci\u00f3n en materia de seguridad se correlaciona con una reducci\u00f3n de
      costes superior al 20 %.<\/li>\n
    • Forma\u00e7\u00e3o dos trabalhadores:<\/strong> A forma\u00e7\u00e3o peri\u00f3dica em consciencializa\u00e7\u00e3o de seguran\u00e7a reduz os custos de viola\u00e7\u00e3o em aproximadamente 5\u20136%.
      sobre seguridad reduce los costes de las infracciones en aproximadamente un 5-6
      %.<\/li>\n
    • Seguro cibern\u00e9tico:<\/strong> mant\u00e9m os custos de viola\u00e7\u00e3o est\u00e1veis e proporciona previsibilidade financeira.
      previsibilidad financiera.<\/span>
      <\/li>\n<\/ul>\n<\/ul>\n

      Ao considerar o primeiro conjunto de iniciativas a serem implementadas em uma organiza\u00e7\u00e3o que est\u00e1 a iniciar a sua jornada em ciberseguran\u00e7a, um CISO pode come\u00e7ar escolhendo primeiro um plano de seguro cibern\u00e9tico e um Retainer de Resposta a Incidentes, avan\u00e7ando progressivamente pelos n\u00edveis seguintes, utilizando uma linguagem de redu\u00e7\u00e3o de risco que o Conselho possa compreender e apoiar facilmente.<\/p>\n

      1. A metodologia FAIR: uma norma para a an\u00e1lise quantitativa do risco cibern\u00e9tico<\/strong><\/p>\n

      1.1 Introdu\u00e7\u00e3o ao FAIR <\/strong><\/p>\n

      Embora as f\u00f3rmulas e refer\u00eancias apresentadas nas sec\u00e7\u00f5es anteriores forne\u00e7am aos CISOs ferramentas poderosas para estimar a exposi\u00e7\u00e3o ao risco cibern\u00e9tico, as organiza\u00e7\u00f5es que buscam uma abordagem mais estruturada e internacionalmente reconhecida para a quantifica\u00e7\u00e3o do risco devem considerar a implementa\u00e7\u00e3o da metodologia Factor Analysis of Information Risk (FAIR).\n\nO FAIR \u00e9 o \u00fanico modelo quantitativo padr\u00e3o internacional para seguran\u00e7a da informa\u00e7\u00e3o e risco operacional. O FAIR fornece um modelo para compreender, analisar e quantificar o risco cibern\u00e9tico e o risco operacional em termos financeiros. Ao contr\u00e1rio das estruturas tradicionais de avalia\u00e7\u00e3o de riscos baseadas em gr\u00e1ficos qualitativos por cores ou escalas num\u00e9ricas ponderadas (alto\/m\u00e9dio\/baixo), a FAIR oferece uma metodologia para decompor o risco em fatores mensur\u00e1veis e utilizar estat\u00edsticas e probabilidades para estim\u00e1-lo quantitativamente.<\/p>\n

      1.2 A arquitetura do quadro FAIR<\/strong><\/p>\n

      A metodologia FAIR quantifica o risco de ciberseguran\u00e7a, decompondo-o em fatores individuais por meio de an\u00e1lises estat\u00edsticas e probabil\u00edsticas. Ela avalia o risco por meio de cen\u00e1rios cuidadosamente delimitados, analisando a frequ\u00eancia prov\u00e1vel de eventos de perda (Loss Event Frequency) e o impacto potencial dessas perdas (Loss Magnitude).<\/p>\n

      O Modelo Central FAIR <\/strong><\/p>\n

      A metodologia FAIR quantifica o risco de ciberseguran\u00e7a, decompondo-o em fatores individuais por meio de an\u00e1lises estat\u00edsticas e probabil\u00edsticas. Ela avalia o risco por meio de cen\u00e1rios cuidadosamente delimitados, analisando a frequ\u00eancia prov\u00e1vel de eventos de perda (Loss Event Frequency) e o impacto potencial dessas perdas (Loss Magnitude).<\/p>\n

      <\/p>\n

      O modelo divide o risco em dois componentes principais:<\/p>\n

      \u2022\tFrequ\u00eancia de Eventos de Perda (LEF),<\/strong>determinada por:\u00a0<\/p>\n

        \n
      • Frequ\u00eancia de eventos de amea\u00e7a (TEF):<\/strong> Com que frequ\u00eancia \u00e9 prov\u00e1vel que um agente de amea\u00e7a espec\u00edfico atue contra um ativo.<\/li>\n
      • Vulnerabilidade (Vuln):<\/strong> a probabilidade de um acontecimento de perigo conduzir a um acontecimento de perda, com base nas capacidades do perigo em rela\u00e7\u00e3o ao<\/span>\u00a0defesas do ativo.<\/span><\/li>\n<\/ul>\n

        Magnitude da perda (LM), cobertura: <\/span><\/strong><\/p>\n

          \n
        • Perda prim\u00e1ria:<\/strong> custos diretos resultantes da perda de produtividade, custos de resposta, custos de substitui\u00e7\u00e3o, multas e senten\u00e7as, e perda de vantagem competitiva.\u00a0 <\/span><\/li>\n
        • Perda secund\u00e1ria:<\/strong> custos indirectos resultantes de reac\u00e7\u00f5es secund\u00e1rias das partes interessadas, incluindo danos \u00e0 reputa\u00e7\u00e3o, honor\u00e1rios de advogados e san\u00e7\u00f5es regulamentares.<\/span><\/li>\n<\/ul>\n

          Os analistas do FAIR sempre quantificam o risco n\u00e3o como um valor \u00fanico, mas como uma gama de resultados prov\u00e1veis para levar em conta a incerteza de qualquer decis\u00e3o de neg\u00f3cios. Esta abordagem probabil\u00edstica, normalmente aplicada atrav\u00e9s de simula\u00e7\u00f5es de Monte Carlo, gera milhares de poss\u00edveis resultados de perdas financeiras para um determinado cen\u00e1rio de risco, juntamente com a probabilidade relativa de cada um deles ocorrer.<\/span><\/p>\n

          <\/span><\/p>\n

          FAIR-CAM: o modelo de an\u00e1lise de controlo<\/span><\/strong><\/p>\n

          O FAIR-CAM leva a an\u00e1lise do sistema de controlos a um n\u00edvel granular. Descreve e quantifica a fun\u00e7\u00e3o de cada controlo na redu\u00e7\u00e3o do risco, documenta a interdepend\u00eancia entre controlos e a efic\u00e1cia global de um ambiente com m\u00faltiplos controlos.<\/span><\/p>\n

          O FAIR-CAM amplia o Modelo FAIR categorizando os controlos em tr\u00eas dom\u00ednios:\n\u2022\tControlos de Perda de Eventos (reduzem a frequ\u00eancia ou a magnitude da perda)\n\u2022\tControlos de Gest\u00e3o da Variabilidade (garantem a fiabilidade dos controlos)\n\u2022\tControlos de Apoio \u00e0 Decis\u00e3o (alinham as decis\u00f5es com os objetivos organizacionais)\nEsta perspetiva sist\u00e9mica destaca as interdepend\u00eancias entre os controlos, garantindo uma medi\u00e7\u00e3o mais fi\u00e1vel da sua efic\u00e1cia.<\/span><\/p>\n

          <\/span><\/p>\n

          FAIR-MAM: O Modelo de Avalia\u00e7\u00e3o de Materialidade <\/span><\/strong><\/p>\n

          Al\u00e9m disso, a FAIR fornece o que denomina de \u201cModelo de Avalia\u00e7\u00e3o de Materialidade (FAIR-MAM)\u201d, um mini-quadro que oferece uma descri\u00e7\u00e3o mais detalhada e uma descri\u00e7\u00e3o das categorias que contribuem para a Magnitude da Perda, particularmente \u00fatil para determinar quando a exposi\u00e7\u00e3o a perdas cibern\u00e9ticas se torna um risco material para uma organiza\u00e7\u00e3o.\nIsto aborda o desafio de quantificar o impacto financeiro dos incidentes cibern\u00e9ticos. Ao decompor as perdas em diferentes m\u00f3dulos e categorias, permite aos analistas fornecer estimativas mais precisas e defens\u00e1veis. <\/span><\/p>\n

          <\/span><\/strong><\/p>\n

          1.3 Implementa\u00e7\u00e3o do FAIR em ambientes inform\u00e1ticos <\/span><\/strong><\/p>\n

          Em ambientes de TI tradicionais, o FAIR fornece uma metodologia estruturada para avaliar riscos em aplica\u00e7\u00f5es empresariais, bases de dados, redes e infraestrutura em nuvem. O processo de implementa\u00e7\u00e3o em quatro etapas segue uma progress\u00e3o l\u00f3gica: <\/span><\/p>\n

          Etapa 1: Identificar e delimitar cen\u00e1rios de risco<\/strong> Este processo come\u00e7a identificando os ativos que podem estar em risco, como dados confidenciais, infraestrutura cr\u00edtica ou propriedade intelectual. Esses ativos s\u00e3o ent\u00e3o vinculados a amea\u00e7as potenciais, denominadas \u201cagentes de amea\u00e7a\u201d ou \u201ccomunidades de amea\u00e7a\u201d. Os agentes de amea\u00e7a podem variar de cibercriminosos e atores estatais a amea\u00e7as internas, como funcion\u00e1rios insatisfeitos.<\/span><\/p>\n

          <\/p>\n

          Etapa 2: Avaliar a frequ\u00eancia de eventos de perda<\/strong> Os analistas estimam a frequ\u00eancia com que os eventos de amea\u00e7a podem ocorrer e a probabilidade de que eles consigam violar as defesas. Isso requer a coleta de dados de intelig\u00eancia de amea\u00e7as, informa\u00e7\u00f5es hist\u00f3ricas de incidentes e resultados de avalia\u00e7\u00f5es de vulnerabilidades.<\/p>\n

          Etapa 3: Avaliar a magnitude da perda<\/strong> Utilizando a taxonomia detalhada do FAIR-MAM, os analistas quantificam as perdas potenciais em categorias como impacto na produtividade, custos de resposta, despesas de substitui\u00e7\u00e3o, multas regulat\u00f3rias, honor\u00e1rios legais e danos \u00e0 reputa\u00e7\u00e3o.<\/p>\n

          Etapa 4: Derivar e comunicar o risco<\/strong> Multiplique a frequ\u00eancia do evento de perda pela magnitude da perda para calcular o valor total do risco. As simula\u00e7\u00f5es de Monte Carlo geram distribui\u00e7\u00f5es de probabilidade que comunicam o risco como intervalos em vez de valores \u00fanicos, proporcionando aos tomadores de decis\u00e3o uma compreens\u00e3o realista dos resultados poss\u00edveis.\n\nO FAIR apoia decis\u00f5es de seguran\u00e7a mais inteligentes em uma ampla gama de cen\u00e1rios: justificativa or\u00e7ament\u00e1ria (priorizar gastos por impacto e n\u00e3o por intui\u00e7\u00e3o), transforma\u00e7\u00e3o na nuvem (avaliar riscos em ambientes h\u00edbridos e multicloud), risco de terceiros\/fornecedores (modelar perdas potenciais de SaaS ou fornecedores de servi\u00e7os de TI), relat\u00f3rios ao Conselho (substituir atualiza\u00e7\u00f5es vagas por an\u00e1lises quantificadas e s\u00f3lidas) e prepara\u00e7\u00e3o para conformidade regulat\u00f3ria (vincular controles de seguran\u00e7a \u00e0 redu\u00e7\u00e3o real de riscos, n\u00e3o apenas \u00e0 conformidade formal).<\/p>\n

          <\/p>\n

          1.4 Aplica\u00e7\u00e3o do FAIR em ambientes OT e ICS\/SCADA <\/strong><\/p>\n

          A converg\u00eancia entre Tecnologia da Informa\u00e7\u00e3o (TI) e Tecnologia Operacional (OT) criou novos desafios para a quantifica\u00e7\u00e3o do risco. Os Sistemas de Controlo Industrial (ICS) e os sistemas SCADA apresentam caracter\u00edsticas de risco \u00fanicas que o FAIR est\u00e1 bem preparado para abordar.<\/p>\n

           <\/p>\n

          Compreendendo os fatores de risco em OT<\/strong><\/p>\n

          Os ambientes OT diferem fundamentalmente dos ambientes IT tradicionais em v\u00e1rios aspetos que afetam a avalia\u00e7\u00e3o do risco:<\/p>\n

          Historicamente, os ambientes ICS funcionavam em redes isoladas com conectividade externa limitada, o que reduzia a percep\u00e7\u00e3o da necessidade de medidas de seguran\u00e7a robustas. Esses sistemas dependiam em grande parte de hardware, software e tecnologias de comunica\u00e7\u00e3o espec\u00edficas de fornecedores, o que os tornava menos adapt\u00e1veis \u00e0s pr\u00e1ticas modernas de seguran\u00e7a. Como resultado, muitos dispositivos ICS herdados continuam a utilizar sistemas operativos obsoletos e protocolos antigos que carecem de mecanismos de encripta\u00e7\u00e3o ou autentica\u00e7\u00e3o.<\/p>\n

           <\/p>\n

          Aplicando FAIR a cen\u00e1rios de risco em OT <\/strong><\/p>\n