Com o avanço da tecnologia da informação e comunicação, a gestão de risco tem se tornado um processo essencial para qualquer empresa. Por meio deste, é possível implementar novas soluções, utilizar indicadores para avaliar a eficiência da organização e mitigar riscos para que o negócio possa atingir seus objetivos com qualidade e excelência.
Por Lidio Santos e Hugo do Val | Segurança da Informação UFRJ
A gestão de riscos agrega valor para a organização, já que todo o processo diminui as incertezas nas tomadas de decisões necessárias para crescimento do negócio. Gerir os riscos significa entender suas consequências e mapear as opções existentes de forma inteligente e premeditada, protegendo os ativos, tangíveis ou intangíveis, e as relações da organização. A existência de padrões internacionais reitera a importância da gestão da segurança da informação nas organizações.
Deste modo, a norma ISO/IEC 27002 estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação de uma organização. Como benefícios associados a aplicação desta norma estão: A melhor conscientização sobre a segurança da informação, o maior controle de ativos e informações sensíveis, dentre outros.
A norma ISO/IEC 27005 fornece diretrizes e descreve um processo genérico para a Gestão de Riscos de Segurança da Informação de uma Organização.
De acordo com o IBGC (2007)
1. Riscos externos: São ocorrências associadas ao ambiente macroeconômico, político,social, natural ou setorial em que a organização opera. A organização, em geral, não consegue intervir diretamente sobre estes eventos e terá, portanto, uma ação predominantemente reativa. Isto não significa que os riscos externos não possam ser “gerenciados”; pelo contrário, é fundamental que a organização esteja bem preparada para essa ação reativa.
2. Riscos Internos: São eventos originados na própria estrutura da organização, pelos seus processos, seu quadro de pessoal ou de seu ambiente de tecnologia. A organização pode e deve, em geral, interagir diretamente com uma ação pró-ativa.
Para que a gestão de risco seja feita de forma planejada e traga benefícios à organização, é necessário adotar algumas ações, tais como:
Definir o contexto
Para uma gestão de risco eficaz, é necessário definir o panorama da organização, visualizando seus problemas e definindo os principais padrões de avaliação adotados. Afinal, cada organização possui uma política de trabalho e atua de forma diferente na hora de definir o seu próprio contexto.
Convém que o contexto interno e externo para a gestão de riscos da segurança da informação seja estabelecido, o que envolve a definição dos critérios básicos necessários para a gestão de riscos de segurança da informação, a definição do escopo e dos limites e o estabelecimento de uma organização apropriada para operar a gestão de riscos de segurança da informação.
O resultado deste processo compreende a especificação dos critérios básicos, o escopo e os limites do processo de gestão de riscos de segurança da informação e a organização responsável pelo processo.
Identificar os Ativos
É essencial identificar e avaliar quais ativos de informação serão considerados. Por isso, é importante identificar e delimitar aqueles que de fato serão utilizados como parâmetros, bem como serão feitas as devidas atribuições de valor.
Logo, é relevante que a identificação dos ativos seja executada com um detalhamento adequado que forneça informações suficientes para o processo de avaliação de riscos.
O nível de detalhe usado na identificação dos ativos influenciará a quantidade geral de informações reunidas durante o processo de avaliação de riscos.O resultado deste processo será uma lista de ativos com os riscos a serem gerenciados e uma lista dos processos de negócio relacionados aos ativos e suas relevâncias.
Esta relação entre processos de negócio e ativos, portanto, expõe o valor da integração da Gestão de Risco com os demais processos e operações da organização, buscando uma identificação e avaliação de ativos melhor construída.
Enquanto um olhar exterior da equipe de Gestão de Risco pode ser suficiente para tomar conclusões acerca da importância de cada ativo, observar mais intimamente a cadeia de processos da organização permite coletar informações e visões de profissionais que, muitas vezes, estão mais próximos dos ativos. Desta forma, é possível expandir o entendimento dos processos da organização e reduzir o viés de atribuição de valor aos ativos
Avaliar e divulgar os resultados
Medir e avaliar a efetividade da gestão de risco é a parte mais visível do processo, e é por meio desses dados que os superiores terão acesso aos principais resultados dessa atividade.
Sendo assim, Após a avaliação e aprovação, é importante que o gestor de TI divulgue os resultados para todos os colaboradores, de acordo com o grau de sigilo de cada setor.
Uma boa gestão de risco é um processo de correção e aperfeiçoamento de estratégias para trazer maior segurança para a organização e que afeta diretamente o relacionamento com os clientes e valoriza a organização frente ao mercado.
Finalmente, podemos dizer que a comunicação eficaz entre as partes interessadas é importante, uma vez que isso pode ter um impacto significativo sobre as decisões que devem ser tomadas. A comunicação e divulgação dos resultados assegurará que os responsáveis pela implementação da gestão de riscos, e aqueles com interesses reais de direito, tenham um bom entendimento das decisões tomadas e das razões que tornam certas ações necessárias. Esta comunicação deve ser bidirecional.
Para tanto, a capacidade do profissional de Gestão de Risco em entender e bolar diferentes formas de visualização dos dados gerados ao longo do processo é uma qualidade essencial para que a organização possa aproveitar ao máximo os frutos da Gestão de Risco.