Quando o assunto é gestão de riscos de TI existem muitos caminhos possíveis para analisar cenários e tomar decisões. Seja na gestão de riscos de segurança da informação, ou no gerenciamento das operações diárias da área de TI, é fundamental ter conhecimento sobre este campo para alcançar os melhores resultados na sua empresa.
A gestão de riscos de TI faz parte de alguns processos previstos dentro das práticas de governança de TI no que tange à prospecção de riscos e análise de cenários. Isso porque dentro de um ambiente controlado por normas e parâmetros para execução das atividades, é preciso que haja um monitoramento também dos riscos para mapeamento de soluções.
Continue a leitura deste artigo e confira algumas dicas de como mitigar riscos em organizações a partir de um método eficiente para gestão de riscos em TI.
O que é risco?
Antes de abordarmos a gestão de riscos em TI em si, é preciso esclarecer o que o setor de tecnologia encara como sendo esses riscos a serem gerenciados. Importante destacar aqui que ninguém está livre: os riscos estão presentes em toda e qualquer operação e nas diferentes áreas, podendo ser classificados em diferentes tipos conforme suas características e origens.
De forma resumida, risco é toda situação onde há uma dificuldade quanto à previsibilidade do que irá acontecer no cenário final. O conceito remete, então, a casos onde há a probabilidade de os resultados serem diferentes do que era esperado inicialmente, devido a diversos possíveis motivos.
A literatura traz também neste mesmo sentido o conceito de incerteza dentro do processo de TI que, no entanto, se diferencia dos riscos pela sua impossibilidade de previsão antecipada. A existência de um risco, esta sim, é algo previsível, porque essa identificação parte da análise de um cenário e do levantamento de possibilidades de falha a partir dele.
É importante destacar aqui que a possibilidade de previsão da ocorrência de um risco não significa que a equipe de TI sabe exatamente o que irá acontecer. Se fosse desta forma, não haveria riscos ou a necessidade de estratégias para a sua gestão.
Os riscos são previstos de forma ampla e geral considerando as vulnerabilidades já identificadas em um sistema, por exemplo, e imaginando cenários onde ameaças externas se aproveitem desta característica para causar algum dano ou consequência.
Assim, mapeando previamente as situações envolvidas no processo de TI e seus possíveis riscos, é possível desenhar um plano de ação com base nas diferentes situações identificadas. Isso traz maior segurança para a equipe no sentido de que, em caso de ocorrência de algum dos sinistros já mapeados, as práticas de governança já pré-definem uma estratégia para a gestão de riscos de TI em questão.
Exemplos de riscos de TI
Para que você tenha uma ideia um pouco mais palpável sobre os chamados riscos de TI, trazemos aqui alguns exemplos do que pode ser tratado como tal:
- flutuações de câmbio;
- falta de disponibilidade;
- despriorização de projetos;
- requisitos de hardware;
- estrutura de confidencialidade;
- falhas em softwares.
Gestão de riscos de TI para mitigar falhas
A gestão de riscos de TI é um conjunto de processos e métodos implementados pelas empresas para buscar um equilíbrio entre os riscos e os custos das operações, identificando, avaliando e controlando ameaças relacionadas à tecnologia da informação.
Neste caso, além do mapeamento de possíveis riscos e definição de um plano de ação para mitigá-los, é necessária uma expertise lógica para a realização dos cálculos e mensuração real dos riscos.
Em muitos casos, empresas que não possuem tecnologia no core do seu negócio podem interpretar que os riscos de TI não representam um grande problema para elas. No entanto, a área de TI dentro da empresa, mesmo que seja somente para registro de dados dos clientes e colaboradores, reúne muitas informações valiosas. Em caso de falhas no sistema ou nos processos, pode haver grandes prejuízos ao negócio.
Já no caso das empresas de base tecnológica, esses riscos ficam muito mais evidentes — e também a necessidade de desenvolver ações para mitigá-los. Quando toda a organização depende da tecnologia para operar seu negócio, é ainda mais urgente que se implemente práticas de governança de TI e de gestão de riscos de TI.
Passo a passo para uma boa gestão de riscos de TI
Alguns aspectos deste passo a passo já foram tratados ao longo deste artigo, porém não de forma sequencialmente organizada. Antes de irmos para o passo a passo é importante sinalizar que os riscos de TI têm como boas práticas o embasamento nas normas ABNT NBR ISO/IEC 27.500 e as diretrizes para riscos se baseiam na ABNT NBR ISO/IEC 31.000.
Confira a seguir 5 passos e dicas que você pode utilizar para fazer a gestão de riscos de TI na sua empresa.
#1 Análise de vulnerabilidades
Este é o momento inicial do seu caminho dentro da construção de práticas de gestão de riscos de TI, e tem como foco descobrir onde e quando os riscos podem surgir e qual o seu nível de impacto para a organização. Aqui a sua solução deve ser analisada de forma honesta para identificação de possíveis vulnerabilidades e, consequentemente, que tipos de riscos podem surgir delas — antes que elas se tornem ameaças reais.
#2 Entendimento das prioridades
Após detectar as vulnerabilidades existentes no sistema e os possíveis impactos de riscos oriundos delas, é preciso estabelecer quais serão atacadas primeiro. Isso está diretamente relacionado ao entendimento quanto ao que é prioridade para o seu negócio em cada momento, para, então, poder direcionar as energias e esforços para este caminho.
#3 Construção de plano de contingência
Com os impactos e prioridades analisados, a sua equipe deverá partir para a avaliação e classificação dos riscos, o que resulta no desenvolvimento de estratégias para controle. É aqui que se inicia a preocupação quanto aos riscos se tornarem reais, ou seja, o que fazer caso aquela vulnerabilidade identificada como tendo alto impacto para o negócio venha a se concretizar? Assim, a etapa de resposta dentro da gestão de riscos de TI consiste na criação de um plano de ação para remediar um problema que venha a acontecer.
#4 Instituição de rotina de backups
Como os principais ativos da área de tecnologia são os dados, também é com eles a maior preocupação da gestão de riscos de TI. Por isso, uma boa prática e também uma das etapas recomendadas a serem seguidas dentro desses processos é a criação de uma rotina de backups. Realizar essas cópias periodicamente, com uma frequência estabelecida dentro das suas políticas de governança de TI, pode contribuir para que os riscos sejam reduzidos.
#5 Treinamento dos colaboradores
Por fim, trazemos aqui a dica relacionada ao treinamento da sua equipe, pois todos os profissionais de TI da organização deverão ser envolvidos nas políticas de gestão de riscos de TI. Essas pessoas, no entanto, nem sempre estarão envolvidas nas definições iniciais sobre as práticas a serem adotadas, visto que isso tende a ser concentrado nos cargos de liderança e gestão da empresa. Por isso, ao consolidar tudo que será aplicado como prática de gestão de riscos de TI, compartilhe em treinamentos com seus colaboradores e mantenha todos sempre na mesma página. Somente assim é que as práticas poderão ser executadas de forma satisfatória.
Destacamos aqui os principais momentos envolvidos na construção das melhores práticas de gestão de riscos de TI, porém é sempre bom lembrar de que pouco disso será efetivo sem a devida revisão dos processos. Por isso, adicione aí uma camada permanente de monitoramento do que está sendo feito, e também coloque atenção para quando os riscos de fato vierem a acontecer: o plano de ação para mitigá-lo foi eficiente? O que poderia ser melhor e por que?
Assim, o seu processo estará constantemente sendo atualizado e a sua equipe poderá se sentir mais segura nas tomadas de decisão, assim como o negócio como um todo ficará cada vez mais blindado de eventuais riscos.
Para mais conteúdos como este, continue acompanhando o blog da ESR e confira nosso calendário de cursos!