Essa pesquisa analisa as recomendações da norma técnica ISO 27005:2011, que trata da gestão de riscos de segurança da informação, e apresenta um modelo prático de gestão de riscos a ser implementado de forma fácil por organizações que desejam assegurar a disponibilidade, integridade e confidencialidade de suas informações. A gestão de riscos é um processo holístico que engloba todas as atividades, processos e recursos que tenham participação na segurança das informações da empresa. Envolve um estudo aprofundado de todos os ativos e informações que se deseja proteger; identificação de todos os riscos que possam comprometer a segurança desses ativos e informações; implementação de soluções de segurança de forma a mitigar os riscos identificados a níveis aceitáveis pelos gestores; e monitoramento contínuo dos riscos, considerando o impacto que esses riscos podem trazer para a segurança da informação se algum evento adverso ocorrer. O modelo proposto foi aplicado, para fins de validação e demonstração, em uma instituição de ensino fictícia.