O conceito de risco pode estar atrelado com a incerteza de materialização, isso pode envolver eventos externos negativos que implica na não finalização dos objetivos institucionais. No mesmo sentido, com o avanço das novas tecnologias surgiram novos riscos também, como é o caso de aumento das vulnerabilidades tecnológicas, exposições de imagem, vazamento de dados, entre outros. Insta destaca que todas essas ações podem desencadear penalidades, sanções e demais questões nacionais ou internacionais (Franco, 2017).

Frente a isso, é importante que a instituição estabeleça um processo contínuo de gestão de riscos que permeia todos os segmentos institucionais. Ainda, ela deve ser de modo coordenada, é importante destacar que a responsabilidade recai sobre todos, ou seja, todo colaborador pode e deve reportar riscos (Assi, 2021). Em outras linhas, esse processo deve atender todas as etapas da gestão de riscos, logo: (I) definição de critérios e contexto de riscos e políticas; (II) identificação de riscos; (III) avaliação de riscos; (IV) análise de riscos; e (V) tratamento.

Na etapa de definição de critérios e contexto de riscos e políticas, o profissional precisa estabelecer os critérios, bem como a gestão deles, como aspectos fundamentais para atingir os objetivos traçados, como é o caso dos contextos: político, social, legal, financeiro, tecnológico, entre outros. A título de exemplo, uma falha de sistema que pode desencadear danos, logo pode ocasionar vazamento de dados ou outra espécie de invasão (Silva et al., 2021).

No momento da identificação de risco, consiste na busca de fragilidades, bem como as causas e consequências. Dessa forma, os instrumentos que podem ser utilizados são as entrevistas, a análise histórica da empresa, além de varredura do parque tecnológico. Ainda, deve ser identificado a origem, da mesma sorte, o evento que pode se materializar (Ruppenthal, 2013).

Na fase de avaliação, o profissional precisa avaliar o contexto institucional de forma interna e externa, ainda, nessa etapa faz-se necessário determinar o quanto a organização pode ou não aceitar os riscos envolvidos. Na mesma senda, é utilizado para determinar o nível de exposição de risco, além de suas probabilidades e impactos. Importante destacar que o risco pode ser classificado de acordo com a criticidade, ou seja, se é baixo, médio ou alto. Ainda, a análise de riscos é fundamental para a tomada de decisão, quanto ao tratamento dele (Fernandes; Racechini Jr, 2021).

No momento da análise de riscos, é realizada uma reanalise de todo o processo envolvendo o risco em questão. Logo, todo esse procedimento deve seguir as metodologias propostas pelos instrumentos internacionais (ISOs). Já a fase de tratamento, pode ser entendida como a alteração dos riscos, tendo em vista que a implementação de medidas estratégicas com foco na mitigação deles. Com isso, ocorre a redução da probabilidade, bem como dos impactos danosos que ele pode ocasionar. Ainda, nesse contexto, pode ocorrer a transferência do risco, como é o caso de contratação de seguro (Nunes; Perini; Pinto, 2021).

Importante destacar que como os possíveis vazamentos envolvem violações de direitos fundamentais, como é o caso do direito de imagem, honra, dignidade e privacidade. Logo, surge a necessidade de invocação da Responsabilidade Civil, nesse caso, conforme o artigo 186 (Brasil, 2002) dispõe que aquele que causar dano a outrem fica obrigado a reparar.

Nesses termos, a responsabilidade civil não tem como objetivo único o ressarcimento, mas sim a tentativa de reestabelecer o status quo ante, ou seja, quando possível trazer a realidade institucional como era antes do evento danoso. Ademais, outra ferramenta que deve ser utilizada é justamente a Lei Geral de Proteção de Dados (LGPD), que além das características de responsabilidade, traz ainda, os pressupostos necessários para o planejamento, funcionamento e boas práticas institucionais.

Ainda, é importante destacar, que o avanço das novas tecnologias aumentaram significativamente as vulnerabilidades do ecossistema das organizações. Nesse contexto, com o advento da inteligência artificial, capaz de criar, correlacionar, modificar dados e ainda disseminar informações em larga escala de modo acelerado, logo, esses mecanismos potencializaram os riscos já existentes a acerca da privacidade, da exposição à imagem, bem como da reputação tanto da pessoa jurídica quando da pessoa física (Brasil, 2018).

A inteligência artificial pode ser usada por cibercriminosos para propagação automatizada de e-mails phishing e sites falso contendo códigos maliciosos que pode ser entendido como malware criados para coletar informações e dados sigilosos com intuito de aumentar a possibilidade da exploração das vulnerabilidades para invadir sistemas e infraestruturas críticas. Do mesmo modo, pode causar dano como, indisponibilizar sistemas, interromper as operações e sequestrar bases de dados contendo informações críticas ao negócio organizacional, com finalidade de obtenção de vantagens financeiras (Brasil, 2018).

Nesse contexto, o ataque global que ocorreu em maio de 2017 provocado pelo ransomware WannaCry que explorou uma vulnerabilidade em computadores com sistema operacional Windows e sequestrou as bases de dados das organizações ao redor do mundo, ele criptografava e bloqueava o acesso de administradores, das bases, na época cerca de 150 países sofreram impactos tecnológicos devido a interrupção das operações e atendimentos aos serviços críticos, como é o caso das indisponibilidade dos atendimentos hospitalares em todo o Reino Unido. Além disso, houve prejuízos financeiros em todos os seguimentos de forma mundial, ainda ocorreram perdas financeiras em função de pagamentos de recompensa em moedas eletrônicas, que foram exigidos pelos cybercriminosos para devolver os dados obtidos.

Conclui-se que é fundamental estabelecer o processo de gerenciamento de riscos, bem como de monitoramento deles, compreendendo toda as etapas do ciclo de gestão, desde as contextualizações até a fase de tratamento e monitoramento dos riscos. Ainda, é importante manter atualizações de aplicação de patchs de correções das tecnologias conforme recomendações de seus fabricantes. Além disso, é importante manter inventários dos ativos tecnológicos atualizados para assegurar a completude nos processos de atualizações.

Nesse sentido, é crucial implantar também, medidas de segurança de proteção para as tecnologias obsoletas que deixaram de receber novas atualizações por parte dos fabricantes. Nesse cenário, essas tecnologias possuem vulnerabilidades conhecidas e sujeitas à ataques. Logo, a proteção e a prevenção podem ser consideradas como ferramentas eficazes, ainda, a capacitação dos colaboradores pode ser utilizada como um instrumental potencializador, tendo em vista a equipe treinada e preparada pode enfrentar ou até mesmo evitar danos mais gravosos.

Referências

_____________________

ASSI, Marcos. Gestão de riscos com controles internos. Saint Paul Editora, 2021.

FERNANDES, Pedro Jose Martins Alvarez; RABECHINI JR, Roque. O gerenciamento de riscos em projetos gerenciados por abordagens ágeis: uma revisão sistemática da literatura. Gestão e Projetos: GeP, v. 12, n. 1, p. 172-194, 2021.

BRASIL. Lei n. 10.406 de 2002. Disponível em: site. Acesso em: 25 ago. 2025.

BRASIL. Lei n. 13.709 de 2018. Disponível em: site. Acesso em: 25 ago. 2025.

FRANCO, Fernando. Governança e Gestão de Riscos em Organizações Públicas. Faculdade Presbiteriana Mackenzie Brasília, 2017.

NUNES, Rafael Rabelo; PERINI, Marcela Teixeira Batista Sidrim; PINTO, Inácio Emiliano Melo Mourão. A gestão de riscos como instrumento para a aplicação efetiva do Princípio Constitucional da Eficiência. Revista Brasileira de Políticas Públicas, v. 11, n. 3, 2021.

RUPPENTHAL, Janis Elisa. Gerenciamento de riscos. Santa Maria: Universidade Federal de Santa Maria, Colégio Técnico Industrial de Santa Maria, 2013.

SILVA, Dyego Alves da et al. Gestão de riscos no setor público: revisão bibliométrica e proposta de agenda de pesquisa. 2021.