A Gestão de Riscos consiste em direcionar, controlar e levar o risco relacionado à Segurança da Informação a níveis aceitáveis para a organização. A prática desta atividade requer uma série de processos e procedimentos que precisam estar alinhados a uma metodologia bem estabelecida e consistente. Além de otimizar os gastos com recursos de segurança da informação, a gestão de riscos também mantém a organização preparada para enfrentar incidentes relacionados a Segurança da Informação.
A atividade de gerenciar riscos ainda não é uma prática comum e consolidada no mercado brasileiro. Embora a Segurança da Informação venha ganhando notoriedade e tornando-se uma preocupação nas organizações, a gestão de riscos, ainda não ganhou o mesmo tratamento.
A gestão de riscos auxilia na criação de planos de ações após definirmos os riscos operacionais, riscos tecnológicos, riscos de negócio e pode ser aplicada em diversas situações, tais como:
• Enfrentar problemas com gastos desnecessários em TI;
• Mensurar o impacto mediante a indisponibilidade de ativos e processos críticos;
• Classificar a criticidade e riscos de ativos e processos, além de verificar a existência de conflitos;
• Planejar ações mitigatórias relacionadas a vulnerabilidades.
Pesquisas em Gestão de Riscos
Pesquisas apontam que as organizações possuem dificuldades para iniciar e manter a gestão de riscos e estas dificuldades está justamente em etapas crucias do processo, como seguir uma norma para direcionamento, definir corretamente os ativos do escopo das análises de risco, mapeamento de novos riscos, identificação de vulnerabilidades e reavaliação de riscos.
Segundo pesquisa divulgada pelo Assepro Nacional (Associação das Empresas Brasileiras de Tecnologia da Informação) neste ano, 70% das empresas nacionais já priorizam a Segurança da Informação e entendem sua importância para seus objetivos de negócios. Em pesquisa realizada pela KPMG no Brasil com cerca de 70 empresas de diferentes setores no país, apenas 44% realizam a atividade de Gestão de Riscos.
Frente a este cenário, fica claro que existe a preocupação em manter as informações da organização seguras, provavelmente investindo em equipamentos e softwares especializados, mas não existe o mesmo cuidado em planejar estas ações, para minimizar os riscos e até evitar custos desnecessários para a organização.
Referências
A gestão de riscos pode ser realizada baseando-se em normas criadas especificamente para o assunto, dentre as mais utilizadas no mercado estão a ISO 27005 e a ISO 31000.
A ISO 27005 possui uma visão única e exclusiva para riscos em Segurança da Informação e direciona todos os passos de uma avaliação de riscos desde a análise até o tratamento dos riscos. De acordo com a ISO 27005, são elas:
Definição do Contexto ou Escopo
Identificação dos Riscos
Estimativa do Risco
Avaliação das estimativas de riscos realizadas
Tratamento dos riscos
Monitoramento dos Riscos
Já a ISO 31000 trata a gestão de riscos a um nível corporativo e não só no âmbito da Segurança da Informação, fornecendo detalhes de cálculos de probabilidade, avaliação de consequências.
Atualmente, existem várias ferramentas específicas para o gerenciamento de riscos como o RSA Archer, que em seu módulo Risk Management auxilia em todas as etapas do gerenciamento de riscos.
No entanto, seguir uma norma, além de possuir uma ferramenta não é garantia de sucesso para o gerenciamento de riscos. É necessário uma equipe capacitada para realizar essa atividade e alcançar os benefícios gerados como:
• Otimização de recursos;
• Redução de custos;
• Aproveitamento de novas oportunidades;
• Melhoria no planejamento;
• Redução de surpresas e perdas inesperadas.
O fato é que os benefícios da gestão de risco, bem realizada são inúmeros para a organização, desde o cálculo de ROI até a identificação de oportunidades de negócio durante as análises.
Conclusão
A gestão de riscos é um processo dinâmico, contínuo e essencial para a boa governança de qualquer organização. Portanto, todas as organizações devem ter a capacidade e competência para diagnosticar, priorizar, monitorar e tratar os seus riscos, sempre atentas às mudanças do ambiente interno e externo para não serem surpreendidas por riscos desconhecidos ou não controlados. São muitos os desafios encontrados na realização da gestão de riscos e para enfrentá-los é preciso uma equipe preparada para tal. Com uma gestão de riscos bem realizada e controlada os benefícios para a sua organização sem dúvidas serão satisfatórios e trarão inúmeras oportunidades ao negócio.
* Por Protásio Campina Junior – É coordenador de Segurança da Informação
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 20 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
