O Gerenciamento de Riscos em Segurança da Informação é uma frente de trabalho específica que tem por objetivo identificar os possíveis riscos e reduzir os impactos negativos que eles podem causar, permitindo o tratamento ou aceitando seus efeitos, que por via de regra acarreta em prejuízos financeiros,  nas metas e resultados não atingidos, processos judiciais e desgastes com imagem e reputação da companhia.

Gerenciar os riscos em segurança da informação, não é tão simples quanto parece. É um assunto bastante denso e abrangente, e para realizar uma avaliação de riscos eficiente é necessário que o profissional tenha conhecimento teórico.

Comece dando uma lida na Norma ABNT NBR ISO/IEC 27005:2008 – Tecnologia de Segurança – Técnicas de Segurança – Gestão de Riscos em Segurança da Informação; ela servirá como uma ótima referência no desenvolvimento da sua gestão.

Mas não para por aí.

Para exercer esse tipo de tarefa é preciso entender de forma mais complexa o universo corporativo e se impor como verdadeiro gestor (leia o artigo “Os 5 principais pilares da Governança de TI”).

É importante adquirir conhecimento prático, entender um método e praticá-lo, caso contrário não conquistará resultados reais e efetivos para o seu negócio.

A Gestão de Riscos em Segurança da Informação se aplica a todo e qualquer tipo de negócio, independente do ramo de atividade. Porém em todo negócio existem riscos.

Já está claro que ataques, invasões e outros tipos de cibercrimes estão se aprimorando e sendo cada vez mais frequentes, e conforme nossa dependência da tecnologia aumenta, paralelamente a necessidade de se proteger também cresce.

Um dos primeiros passos a serem tomados para tornar a empresa em um ambiente mais seguro é conhecer e classificar o maior número de riscos possíveis, apontando-os e documentando-os, para que depois disso se planeje quais as providências a serem tomadas.

Como fazer uma gestão de riscos na minha empresa?

É essencial se organizar desde o começo, pois durante toda sua gestão, inúmeras informações serão coletadas, e todas elas precisam ser  postas em uma ordem prioritária, possibilitando um ciclo de monitoramento que se estenderá ao longo do processo.

Anote, desenhe e monte seu planejamento de forma prática para obter melhores resultados.

Agora, em 4 etapas vamos te conduzir de forma eficiente ao que deve ser feito por você, que quer iniciar um gerenciamento dos riscos na sua empresa:

1 - Encontrar um Método de Gestão

Não existe um padrão ou modelo de método patenteado de critério obrigatório, portanto sinta-se à vontade para utilizar o que for mais confortável e compatível com sua estrutura. Porém este conceito ou método deve orientar e oferecer ferramentas para você, como:

  • Diagnóstico;
  • Mapa de Riscos (gravamos um StartiCast exclusivo sobre esse tema, assista aqui);
  • Classificação;
  • Plano de Ação;
  • Ciclo de Visitação;
  • Plano de Comunicação.

Com essas ferramentas na mão, já é possível realizar uma ótima gestão de riscos.

Vale lembrar que assim como um mecânico de carro, você deve saber como utilizar cada ferramenta, ou seja, busque conhecimento e aprimore suas habilidades.

2 - Parceiros Estratégicos

Definido o método, vamos colocá-lo em prática e dar sequência ao próximo passo.

Da mesma forma que fizemos com o método, vamos adotar ferramentas que possibilitam mostrar quais são os riscos, onde estão e como evitá-los.

Essa etapa pode ser a combinação de ações como um scan de vulnerabilidade, pentest, auditoria, uso de uma norma como a ISO, entre outros.

Sem um diagnóstico concreto e confiável, todo o trabalho ficará comprometido, raso e possivelmente não terá efeito prático.

  • Busque parceiros estratégicos que tenham valores em comum, que sejam especialistas no serviço e que tenha foco no seu mundo de negócios;
  • Não contrate apenas fornecedores, eles fazem tarefas por dinheiro e estão comprometidos com o contrato;
  • Fuja de propostas simples e rápidas, pois possivelmente não é sensível para seu negócio.

O parceiro estratégico se apresenta como aquele que junto ao cliente busca soluções com menor impacto, maior eficiência em uma relação de ganha-ganha.

3 - Documentos e Relatórios

Este processo de gestão é vivo, recorrente e precisa ter um cronograma pulsante dentro da companhia.

Cada etapa realizada é uma foto do estado/momento em que se encontra a empresa, porém o maior aprendizado organizacional é a sequência de avaliações e levantamentos que serão feitos ao longo da gestão.

Para tanto, estas avaliações precisam ser estruturadas e apresentadas de forma eficiente.

Uma das etapas da gestão de riscos é conseguir se comunicar com os outros departamentos e, através de um consenso, conseguir aprovação da diretoria para tratar dos riscos identificados.

É uma tarefa bem minuciosa e criteriosa, portanto deve ser apresentada de forma adequada, ou seja, através de relatórios completos, porém objetivos, do que foi diagnosticado.

Por exemplo: na realização de um Mapa de Risco é necessário descrever todos os riscos encontrados e classificá-los em grau prioritário, para que só assim avance para o planejamento das ações. Após ter o plano de ação desenhado, podemos enfim solicitar aprovações.

Portanto, antes que qualquer ação ou tratativa se inicie, é de vital importância realizar todos os processos prévios.

A Norma 27005:2008 define que “uma ameaça tem o potencial de comprometer os ativos e, por isso, também as organizações”, e sabendo da gravidade das consequências que esses riscos apresentam às empresas, faça tudo de forma processual, documentada e assertiva.

4- Tratamento e Acompanhamento

Após o conhecimento e classificação dos riscos identificados, um Plano de Ação deve ser feito. Nesse planejamento iremos considerar as tratativas do riscos em ordem prioritária, ou seja, do que for emergencial ao pouco urgente.

Pode-se considerar também alguns critérios de como será aplicado o tratamento, como: minimizar, aceitar, evitar ou repassar os riscos para terceiros.

Certo? Bacana, porém o trabalho de gerenciamento dos riscos não acaba nas tratativas deles. Como disse antes, é um processo vivo e precisa de acompanhamento.

É preciso criar um ciclo de visitação aos pontos críticos, assim como um exame de rotina que fazemos no médico, da mesma forma faremos na gestão dos riscos diagnosticados e classificados nas etapas anteriores.

Assim, você contribuirá efetivamente com o plano de continuidade do negócio em que está inserido.

O que você deve fazer:

  • Faça a Gestão de Riscos em Segurança da Informação;
  • Busque um parceiro estratégico adequado que entenda seu negócio e que ajude a sua empresa a gerar valor;
  • Adote um método fácil, simples e objetivo de gestão, com foco em resultado prático;
  • Aplique um diagnóstico que ofereça informações mais objetivas a ponto de tomar ações sobre;
  • Evite relatórios extensos, e invista no plano de ação;
  • Não deixe para amanhã. Riscos podem trazer prejuízos irreparáveis, mas podem ser controlados, mitigados ou aceitos, desde que sejam conhecidos e geridos.

Quem é a Starti

Somos especialistas em Segurança da Informação e ajudamos, há mais de 10 anos, pequenas e médias empresas no Brasil a prevenir e mitigar os riscos cibernéticos em diversas camadas de segurança.

CTA-BLOG-01-4