Voltar ao Blog Segurança

KRI em segurança de TI — como medir o risco antes que se torne um incidente

Zespół ESKOM.AI 2026-05-19 Tempo de leitura: 6 min

KPI versus KRI — a diferença fundamental

Muitas organizações confundem indicadores de desempenho (KPI) com indicadores de risco (KRI). Um KPI mede o que já aconteceu: o número de incidentes no trimestre passado, o tempo médio de resposta a uma ocorrência. Um KRI, pelo contrário, mede sinais de alerta — dados que apontam para uma probabilidade crescente de um incidente no futuro. É a diferença entre um termómetro e um barómetro.

Características de um KRI eficaz

Um bom indicador de risco de TI deve cumprir vários critérios. Em primeiro lugar, deve ser quantitativamente mensurável e recolhível de forma automatizada — indicadores que requerem reporte manual rapidamente se tornam ficção. Em segundo lugar, deve antecipar incidentes com tempo suficiente para permitir reação. Em terceiro lugar, deve ser compreensível para o destinatário — a administração precisa de uma visão simplificada, a equipa técnica de detalhes.

Exemplos de KRI em áreas de segurança de TI

  • Gestão de vulnerabilidades — percentagem de sistemas com vulnerabilidades críticas não corrigidas há mais de 30 dias; tendência do número de vulnerabilidades descobertas semanalmente.
  • Gestão de acessos — número de contas com passwords não alteradas há mais de 90 dias; número de contas privilegiadas sem proprietários ativos.
  • Cópias de segurança — percentagem de sistemas críticos com recuperabilidade não testada; tempo desde o último teste de restauração para cada sistema.
  • Consciencialização dos colaboradores — taxa de cliques em campanhas simuladas de phishing; percentagem de colaboradores com formações por concluir.
  • Configuração de segurança — percentagem de dispositivos não conformes com a configuração de referência (baseline); número de exceções à política de segurança.

Limiares de alarme e escalação

Recolher indicadores por si só não é suficiente — crucial é definir limiares que desencadeiam ações. O modelo tricolor (verde-amarelo-vermelho) é claro mas insuficiente para sistemas dinâmicos. Uma melhor abordagem são limiares baseados em tendências: um aumento do indicador superior a 20% numa semana deve desencadear uma revisão, independentemente do valor absoluto.

Automação da recolha e visualização de KRI

A recolha manual de dados em folhas de cálculo é a razão mais comum para o fracasso dos programas de KRI. Os sistemas multi-agente da ESKOM.AI podem recolher automaticamente dados de diferentes fontes — sistemas de gestão de vulnerabilidades, logs de acesso, resultados de scans de configuração — e agregá-los num dashboard de risco unificado. O relatório gerado chega aos destinatários certos em ciclos que correspondem às suas necessidades: diariamente para o CISO, semanalmente para a administração.

KRI e requisitos regulatórios

A NIS2 e a DORA exigem das organizações uma abordagem documentada à gestão do risco de TI. Um programa de KRI bem definido fornece não apenas dados operacionais, mas também evidências de compliance para auditorias. A documentação das alterações nos indicadores ao longo do tempo demonstra aos reguladores que a organização identifica ameaças e reage a elas sistematicamente.

#KRI #risk management #IT security #metrics #GRC

Serviços e Produtos Relacionados

Auditoria de Infraestrutura Crítica
Analytics e BI
Monitorização Contínua de Conformidade
HybridCrew
Voltar ao Blog