Por Fernando Marinho *
Recentemente li um artigo sobre os conceitos acima e conversando com um colega sobre estes conceitos básicos, percebi que muitos executivos de hoje (seja um CEO, COO, representante do governo ou líder que pode implementar mudanças na sua Organização), se deixam levar pelos desafios rotineiros e acabam deixando para pensar nos problemas, apenas quando ocorrem.
“Não antecipar problemas, mas resolvê-los imediatamente quando surgem” – dizia meu pai.
O mal dessa postura é que uma resposta elaborada durante o momento da crise pode se sujeitar às pressões, perdas ou mesmo emoções daquele momento…
Pessoalmente, acredito que uma das obrigações de um líder profissional seja tomar conhecimento prévio e entender os riscos, ameaças e vulnerabilidades que lhe cercam, para saber antecipadamente qual melhor(es) opção(ões) escolher.
Se qualquer um procurar na internet, vai encontrar vários artigos, blogs, sites e material sobre o assunto que tenta definir da melhor forma possível cada um desses termos, individualmente. De qualquer forma, apenas uma análise da interação entre estes três assuntos poderá auxiliar na avaliação e posteriormente um plano de ação para gerenciamento de riscos.
AVALIAR AMEAÇAS E VULNERABILIDADES PERMITE UM ENTENDIMENTO MAIOR DOS RISCOS
Racionalizar um processo de Segurança, como realizado por um profissional da área, permite o entendimento e interpretação eficiente e eficaz do resultado das auditorias, bem como permite uma escolha e seleção mais consistente com a necessidade.
Enxergar os impactos e os potenciais efeitos acarretados, fazem partes do cenário necessário para acompanhar o processo de gestão de riscos. Ameaças e vulnerabilidades fazem parte dos riscos, que não são a mesma coisa.
Apenas como ilustração, seguem aqui algumas características de cada um:
• Ameaças (externas) normalmente NÃO podem ser controladas
É impossível impedir uma inundação, um homem-bomba ou uma greve em andamento. Ameaças podem ser identificadas, mas geralmente estão fora do nosso controle.
• Riscos (externos e/ou internos) PODEM ser minimizados (ou mitigados)
Riscos podem ser gerenciados em relação às vulnerabilidades ou impactos que acarretam quando se realizam.
• Vulnerabilidades (internas) PODEM ser tratadas
Fraquezas podem ser identificadas e até mesmo eliminadas com a aplicação de ações proativas para correção das vulnerabilidades.
O grande problema que existe hoje é a questão sobre a utilidade de uma Análise de Riscos. Enquanto a maioria dos profissionais utilizam uma abordagem sobre as causas, um BIA (Análise de Impacto nos Negócios) permite repensar a prioridade ao atendimento das consequências, quando as ameaças se concretizam. “Qual meu ativo mais crítico, aquele que apresenta o maior impacto, caso seja afetado por uma ameaça ?”.
Isso é o que efetivamente precisamos proteger ao invés de nos preocuparmos com toda a organização.
É muito comum que as pessoas sintam-se protegidas, por terem tomado “todas as precauções possíveis”, sem cogitar da ocorrência de um evento que não tenha sido previsto. Segurança infinita significa custos infinitos: é necessário saber como definir os limites entre proteção e investimento (ou o investimento na proteção).
Por outro lado, as fraquezas que foram “propositalmente” deixadas de lado, podem se tornar um risco, na medida em que as medidas de prevenção não as tenha levado em consideração.
É aqui que surge o outro lado da avaliação de impacto nos negócios, para proteger valores e itens insubstituíveis, como pessoas, propriedade intelectual, imagem, Pesquisa & Desenvolvimento e todo um universo de relacionamento e informação.
A ANALISE DE RISCO DEVE SE TORNAR UM PROCESSO DINÂMICO, REVISTO E REFEITO PERIODICAMENTE
Porque organizações crescem e mudam o tempo todo. E o mundo corporativo inteiro age dessa forma. Os itens iniciais que foram reunidos para começar seu negócio, podem estar defasados em relação à tecnologia, informação ou produtividade. Mas como ainda funcionam da forma esperada, são considerados suficientes, apesar da tecnologia expandir e evoluir constantemente.
Organizações dependem de suas estruturas (bancos, presídios, armazéns, etc.), que até recentemente eram consideradas “seguras”, estão revendo seus conceitos, depois do surgimento dos “Drones” (dispositivos aéreos de controle remoto) que podem carregar desde câmeras até explosivos, a custos relativamente baixos e disponíveis para a maioria das pessoas.
A maioria da pessoas raramente concebe a ocorrência simultânea de dois ou mais ameaças que se concretizam. Entretanto, a maioria dos acidentes raramente é acarretado apenas por um fator isolado. Geralmente são mais de dois fatores de risco que se concretizam, acarretando um evento.
A GESTÃO DE RISCO EFICIENTE É AQUELA REALIZADA DE FORA PARA DENTRO DA SUA ORGANIZAÇÃO
Porque é imune a políticas, influências ou interesses pessoais. Uma abordagem externa permite dissecar fatores de risco que podem conviver de forma imperceptivel no ambiente corporativo, com o qual se acostumaram um ao outro por tempos, sem perceber.
O processo de “Análise de Risco” tras consigo uma complexidade além da competência, pois acaba envolvendo a participação de recursos e suas próprias percepções do ambiente que os cerca. E isso pode acabar trazendo mais dificuldade ainda, na avaliação precisa destes riscos.
O grande problema que vivemos atualmente, é poder provar aos donos e diretores das empresas, que a preocupação com os riscos é mais importante que a alta do dolar, a falta de energia ou os escândalos que preenchem os noticiários diariamente.
Nós, profissionais de segurança, sofremos uma “concorrência desleal” com outros assuntos que acabam tomando importância muito maior, na lista de preocupações que os gestores carregam diariamente.
Até a hora em que os riscos se concretizam…
Fernando Marinho é Economista, Pós Graduado em Segurança de Dados e Sistemas, com Formação no DRII e BCI, é Vice Presidente da AIGE-LAC (Associação Internacional de Gestores de Emergência para América Latina e Caribe), atuante desde 1999 em Planos de Continuidade, Planos de Contingência e Planos de Recuperação de Desastres. Autor do livro “Como Proteger e Manter seus Negócios”.