A maior parte das empresas não nega os riscos de segurança que enfrenta. Ela simplesmente não decide nada sobre eles. O risco existe, é conhecido por quem trabalha na área, aparece eventualmente em reuniões — e segue ali, sem aprovação, sem registro, sem responsável. Essa ausência de decisão é, em si, uma decisão. E costuma ser a mais cara.
É exatamente aí que a gestão de riscos de segurança da informação deixa de funcionar. Não por falta de tecnologia ou de equipe qualificada, mas por falta de um dono. Alguém que assine embaixo, que responda, que revise quando o cenário mudar. Sem isso, o risco não vai embora — ele só deixa de ter endereço.
O que é gestão de riscos de segurança da informação?
Gestão de riscos de segurança da informação é o processo pelo qual uma organização identifica, avalia e decide o que fazer com cada ameaça que pode comprometer seus sistemas, dados ou operações. A palavra-chave aqui é decide. Não apenas identifica. Não apenas monitora.
Diante de um risco mapeado, existem quatro caminhos legítimos: mitigar (reduzir a probabilidade ou o impacto), transferir (como no caso de seguros ou contratos de responsabilidade), eliminar (quando é possível remover a causa raiz) ou aceitar (reconhecer que o risco existe e que, por ora, não será tratado). Todos esses caminhos são válidos — desde que sejam percorridos de forma consciente, documentada e com alguém responsável por aquela decisão.
O problema não é aceitar um risco. O problema é aceitá-lo sem que ninguém saiba que o fez.
Aceitar o risco não é o problema. Aceitar em silêncio é.
Existe uma diferença fundamental entre uma decisão tácita e uma decisão formal. Na primeira, o risco é percebido, comentado em algum momento e deixado de lado por inércia ou pela pressão de outras prioridades. Na segunda, há um registro: quem avaliou, qual foi o critério, quem aprovou e quando isso será revisado.
O cenário da decisão tácita é mais comum do que parece. O gestor de TI aponta uma vulnerabilidade, o CISO reconhece que não há orçamento para tratar agora, a diretoria ouve brevemente sobre o assunto em uma reunião e segue em frente. Ninguém decide formalmente nada — mas todos, de alguma forma, concordaram em não agir. Esse é o risco sem dono.
Quando um incidente acontece e esse risco específico está na origem do problema, a pergunta inevitável é: quem sabia? Quem aprovou? Por que não foi tratado? Sem registro, não há resposta. Há apenas responsabilidade difusa — que, na prática, recai sobre quem estiver mais exposto na hora errada.
É por isso que formalizar uma política de segurança da informação vai além de redigir um documento: ela cria o ambiente onde decisões sobre risco precisam ser registradas, e onde a ausência de decisão não é uma opção silenciosa.
Quem deveria ser o dono do risco na gestão de riscos de segurança
Uma confusão frequente é achar que o dono do risco precisa ser quem vai resolvê-lo. Não é assim que funciona. O dono do risco é quem tem autoridade para tomar a decisão sobre ele — e quem responde pelas consequências dessa decisão.
Em alguns casos, esse papel cabe ao CISO. Em outros, ao gestor da área de negócio que depende do sistema em questão, ao jurídico quando há implicações regulatórias, ou diretamente ao C-level quando o impacto potencial é significativo para a operação. O que não é aceitável é que o risco fique suspenso entre departamentos, sem que ninguém tenha clareza sobre quem tem a palavra final.
Segurança deixou de ser um problema exclusivo de TI há muito tempo. Quando um risco de segurança pode paralisar uma operação, expor dados de clientes ou gerar responsabilidade legal, ele é um risco de negócio. E riscos de negócio precisam de donos com poder de decisão, não apenas de técnicos com capacidade de identificação.
O que acontece quando o risco não é documentado
Risco não documentado não é risco gerenciado. É risco esquecido — até o momento em que ele se torna um incidente.
As consequências práticas aparecem em camadas. A primeira é operacional: sem histórico de decisão, a empresa não consegue reconstruir o raciocínio que levou à situação atual. A segunda é regulatória: a LGPD exige que organizações adotem medidas de segurança proporcionais aos riscos que conhecem. Conhecer um risco e não documentar o que foi decidido sobre ele é uma exposição que auditores e reguladores levam a sério. A terceira é reputacional: incidentes que revelam riscos previamente conhecidos e deliberadamente ignorados têm impacto diferente daqueles causados por ameaças genuinamente desconhecidas.
Organizações que entendem o que acontece com infraestruturas nunca testadas reconhecem que a ausência de registros sobre riscos conhecidos é tão perigosa quanto a ausência de proteção técnica. O dano já tem histórico muito antes de se tornar visível.
Falsa sensação de controle: quando “está monitorado” vira desculpa
Há um padrão recorrente em empresas com boas ferramentas de segurança e gestão de riscos ainda imatura: o monitoramento é confundido com gerenciamento. O painel está verde. Os alertas estão configurados. A equipe acompanha os logs. E o risco estrutural identificado há meses continua sem decisão formal, porque a sensação geral é de que “está sob controle”.
Monitorar não é decidir. Visibilidade sobre um problema não equivale a ter tomado uma posição sobre ele. Esse é o mesmo raciocínio que explica por que firewall ativo não significa segurança garantida: a ferramenta cobre uma camada, mas não substitui a decisão humana sobre o que fazer com o que ela revela.
A gestão de riscos de segurança da informação exige mais do que visibilidade. Exige que o que é visto se transforme em decisão registrada, com responsável, critério e prazo de revisão.
Como formalizar a aceitação de risco na gestão de riscos de segurança
Formalizar a aceitação de um risco não exige um processo burocrático pesado. Exige consistência. Os elementos mínimos de um registro adequado são:
- Descrição do risco: o que foi identificado, em qual sistema ou processo, e qual é o impacto potencial.
- Avaliação de probabilidade e impacto: uma classificação simples já serve — baixo, médio ou alto para cada dimensão.
- Decisão tomada: mitigar, transferir, eliminar ou aceitar — com justificativa.
- Responsável pelo risco: nome, cargo, área. Quem responde por aquela decisão.
- Aprovação da liderança competente: quando o impacto é relevante, a decisão precisa ser sancionada por quem tem autoridade sobre o tema.
- Prazo de revisão: riscos aceitos hoje podem se tornar inaceitáveis amanhã. Definir quando essa decisão será reavaliada é parte do processo.
Esse registro não precisa estar em um sistema sofisticado para funcionar. Precisa existir, estar acessível e ser revisado. A maturidade vem com o tempo — o que não pode esperar é o hábito de documentar.
Risco sem dono não é gestão. É aposta.
A provocação que abre este texto continua válida na conclusão: quando o risco de segurança é aceito sem ser discutido, ele não some — só fica sem dono. E risco sem dono é risco que a empresa carrega sem saber exatamente o peso do que está segurando.
Uma gestão de riscos de segurança da informação madura não é aquela que elimina todos os riscos — isso não existe. É aquela que sabe exatamente quem decidiu, o que decidiu, com qual critério e quando vai revisar. Isso transforma uma vulnerabilidade latente em uma decisão consciente. E decisões conscientes, mesmo quando imperfeitas, são muito mais gerenciáveis do que silêncios confortáveis. O mesmo princípio aparece quando o assunto é o que uma auditoria de segurança revela que o time de TI não enxerga sozinho, ou quando se estrutura um plano de resposta a incidentes antes que o incidente aconteça.
Empresas que chegam a esse nível de maturidade não chegam por acidente. Chegam porque, em algum momento, alguém que já viu o que dá errado ajudou a construir processos onde a ausência de decisão deixou de ser uma opção.
