Artigo
21/07/2024
Atualizado em 23/04/2026

Estrutura de Apetite de Risco Cibernético

A estrutura de apetite de risco cibernético orienta instituições financeiras na gestão eficaz de riscos tecnológicos, definindo limites claros e controles para proteger dados e sistemas críticos.

Imagem de capa do artigo

A criação de uma estrutura de apetite de risco para tecnologia e cibersegurança é fundamental para a gestão eficaz de riscos nas instituições financeiras, pois vai permitir que tenha (como sempre) uma abordagem baseada em riscos, orientando as prioridades de controle com base nas capacidades de segurança atuais, a probabilidade de ameaças e o impacto potencial de qualquer ataque cibernético.

Importância do Apetite de Risco:

A gestão baseada em riscos mede o risco contra o apetite de risco da empresa para determinar onde controles adicionais são necessários, com o objetivo de reduzir os riscos tecnológicos e cibernéticos a um nível tolerável para a empresa. E para isso é importante ter (como sempre) declarações claras e mensuráveis sobre o apetite de risco, definidas em termos de negócios e com uma clara responsabilidade.

Aliás neste sentido, estou ajudando exatamente uma IF em relação a repensar e refazer sua RAS (declaração de apetite a riscos), pois os reguladores e supervisores estão pressionando cada vez mais as IFs a definirem melhor o seu apetite de risco.

Diria que as declarações de apetite de risco (RAS) são o ponto de partida importante para uma gestão bem-sucedida baseada em riscos.

Estrutura do Apetite de Risco:

Minhas dicas para criar uma estrutura eficaz são:

Esclarecimento do Framework: Muitas empresas já possuem componentes de uma estrutura de apetite de risco, como indicadores-chave de risco (KRIs) e declarações gerais de apetite ao risco. Mas em relação à medição do apetite de risco em relação a eventos reais de negócios e a concordância sobre os limiares baseados no apetite de risco já são desafiadoras para a maioria.

Classificações de Riscos: Ao se classificar os riscos tecnológico e cibernético que abarquem todos os riscos atuais e emergentes, deve-se considerar impactos como perda de disponibilidade de sistemas, comprometimento de confidencialidade e integridade de dados, e riscos de gerenciamento de projetos.

Declarações de Apetite: Definir as declarações de apetite ao risco, para que sejam realmente orientadas para os negócios, e principalmente quantitativas. Essas declarações devem ser estratificadas por importância para o negócio, como, por exemplo, a tolerância para tempo de inatividade não planejado de sistemas críticos.

Exemplo Prático de uma Declaração de Apetite para Vazamento de Dados:

Para ilustrar um pouco na prática queria dar um exemplo prático:

Declaração de Apetite de Risco: A empresa não tolera perda de mais de 100 megabytes de dados de alta sensibilidade por ano. Ou poderia ser também que não tolera perda de dados não sensíveis que levem a danos reputacionais significativos ou multas regulatórias.

Objetivos de Controle: Todas as vulnerabilidades em sistemas críticos devem ser corrigidas em 24 horas após o lançamento do patch; em sistemas não críticos, em 12 horas.

Indicadores de Controle e Risco: Poderia ser o percentual de aplicações processando dados críticos com vulnerabilidades abertas, ou o número de incidentes de segurança de vazamento de dados identificados através da prevenção de perda de dados (DLP).

Implementação da Estrutura de Apetite de Risco:

Para implementar uma estrutura de apetite de risco tome os seguintes cuidados:

Compreensão do Status Atual: Avaliar as capacidades existentes e entender quais componentes do framework já estão em vigor.

Alinhamento com os Objetivos de Negócio: Definir o apetite de risco em conjunto com as equipes de tecnologia, baseando-se no impacto que estão dispostas a aceitar para atingir os objetivos de negócios. Isso inclui a aceitação de tempos de inatividade não planejados e a perda de dados sensíveis.

Automação: Aproveitar a automação para aplicar controles automaticamente, conforme níveis de risco residual. Isso inclui o uso de políticas como código para garantir um ambiente de gestão de risco sustentável.

Benefícios da Estrutura de Apetite de Risco:

Por fim queria comentar sobre algumas vantagens que vejo:

Comunicação Transparente: Suporte à comunicação transparente com o conselho sobre o nível de risco tecnológico e cibernético, permitindo discussões orientadas para os negócios sobre investimentos e prioridades.

Plataforma Objetiva para Discussões: Criação de uma plataforma objetiva para discussão entre as linhas de defesa sobre o nível de risco residual.

Evidências Objetivas para Reguladores: Ajuda a fornecer evidências objetivas aos reguladores de que a organização está gerenciando eficazmente os riscos tecnológicos e cibernéticos em relação ao apetite de risco.

Desenvolver, entender, aplicar e executar uma estrutura de apetite de risco para riscos tecnológicos e cibernéticos é um desafio bem complexo ao meu ver, e que requer bons dados, monitoramento extensivo e coordenação entre negócios, tecnologia e a segunda linha de defesa.

Como sempre digo nas consultorias que dou sobre o tema, embora haja um trabalho inicial difícil para acertar o apetite de risco, depois de percorrida esta jornada, vai ficar bem mais fácil, e ajudar no amadurecimento, e que objetivos de negócios sejam alcançados, conhecendo e entendendo onde estão suas forças tecnológicas e cibernéticas.

Por fim, finalizo lembrando que, embora os requisitos regulatórios em indústrias altamente reguladas, como as instituições financeiras, muitas vezes forcem a criação de fortes frameworks de apetite de risco, estabelecer um sólido apetite de risco tecnológico e cibernético traz benefícios para as empresas de todos os setores, gerenciando riscos tecnológicos e cibernéticos contra um apetite de risco orientado para o impacto nos negócios.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante