/ segurança da informação

Gestão de Riscos: 4 passos para proteger suas informações

Muitos gestores acreditam que suas informações estão bem preservadas em pastas codificadas no sistema ou em computadores com senhas, mas esse sentido de segurança não permite que eles avaliem os reais riscos que a empresa pode correr.

Saber exatamente em que território está “pisando” é a melhor forma de garantir que os dados e as informações da companhia estejam sempre em segurança.

Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. O profissional que gerencia os riscos de TI e de Segurança da Informação reconhece as vulnerabilidades e ameaças do ambiente, avalia e propõe soluções e ferramentas para minimizar os riscos.

Você sabe todos os riscos que a sua empresa está sujeita? Conhece todas as ameaças que rondam o seu negócio? Se a sua resposta foi “talvez”, “acho que sim” ou algo parecido, provavelmente você não tem uma gestão de riscos estruturada, certo?

Então, está na hora de montar um planejamento para a sua empresa e eu vou te ajudar com isso! 😉

1 – Identifique e avalie os riscos

Nesse primeiro momento você deve fazer um levantamento de todos os riscos que podem prejudicar a sua empresa.

Juntamente com a equipe responsável pela segurança da informação da instituição, pense em todas as possibilidades, até as mais banais, e, principalmente, nos riscos externos, pois eles não estão relacionados diretamente ao seu negócio, à cultura local e aos fenômenos naturais.

Não esqueça de incluir em sua lista os riscos internos, que podem surgir durante o desenvolvimento de processos, a partir de estratégias, conflitos, depreciação de produtos e outros ativos, falta de conscientização e cooperação de funcionários.

Riscos comuns dentro das empresas

  • Interrupção na produção;
  • Vazamento ou perda de dados e informações;
  • Perda de competitividade;
  • Intervenção fiscal;
  • Problemas com a integridade física de funcionários;
  • Contaminação de produtos;
  • Erros em softwares causados por mal desenvolvimento;
  • Impacto ambiental, entre outros.

Claro que esses riscos podem variar muito, de acordo com o segmento de cada organização. Quanto maior a variedade de produtos ou serviços oferecidos por uma instituição, maior será a possibilidade de riscos.

Por outro lado, não entram nessa lista questões relacionadas à má gestão e falta de investimento, pois na verdade eles são causados por problemas internos, normalmente, pela administração da empresa.

Depois que o levantamento estiver pronto é importante validá-lo com a diretoria da instituição para, então, dar seguimento ao processo.

2 – Categorize os riscos

A categorização dos riscos consiste em relacioná-los com os tipos de impacto. Com isso, fica mais fácil decidir os riscos que serão tratados, transferidos ou aceitos.

Você pode classificá-los com os seguintes critérios:

Riscos específicos do negócio

Todo segmento tem riscos que são exclusivos do setor, como automotivo, educacional, químico, entre outros. A diferença é que algumas empresas estarão menos expostas do que outras, pois, certamente, já estudaram e se prepararam para não serem prejudicados.

Riscos operacionais

Esse tipo de risco está relacionado à tecnologia, procedimentos e infraestrutura da instituição. Eles podem surgir por causa das escolhas feitas pelos gestores, culturas e processos aplicados internamente. Riscos desse tipo podem causar a interrupção do trabalho, parar a linha de produção e até degradar a qualidade dos serviços.

Riscos improváveis

Esses riscos podem depender da situação política e geográfica da região em que a empresa está localizada. Variações climáticas, movimentação cambial, ações populares e intervenções políticas, além de outros fatores, são exemplos de riscos improváveis.

Para muitas empresas, tratar um risco improvável pode proporcionar um custo muito maior do que esperar que ele atinja a companhia. Um exemplo disso são as movimentações cambiais. Em alguns casos pode ser melhor aguardar as reações do mercado do que investir em procedimentos que tentem solucionar um risco que depende completamente de fatores externos.

Depois de categorizar, junto com gestores e especialistas dos serviços da infraestrutura da empresa, pense em todos os impactos que estão relacionados ao risco. É bem provável que, durante essa relação, surjam novos problemas. O recomendado é não incluí-los em sua lista nesse momento, apenas registre para uma futura avaliação ou nova categorização.

O próximo passo é especificar o que faz do risco inaceitável, mitigável, transferível ou aceitável e, em seguida, estruturar uma matriz de risco para estabelecer quais são financeiros, jurídicos, de mercado, produto/serviço ou outra categoria relacionada ao negócio.

3 – Estruture a matriz de risco

A avaliação de risco consiste em elaborar uma matriz bem estruturada, baseada na norma ISO/IEC 27005, especificando de forma clara e objetiva as ameaças e vulnerabilidades que permeiam a companhia.

A matriz apresenta o impacto que uma ameaça pode oferecer à empresa e o risco deve ser estimado tanto quantitativamente (estimativa numérica) como qualitativamente (estimativa conceitual).

Cada instituição pode montar uma matriz da forma que acredita ser mais adequada, mas é importante que a estrutura respeite os seguintes critérios:

  • Mitigar: riscos que podem ser minimizados por meio de controles específicos;
  • Transferir: a empresa pode passar a responsabilidade de tratar os riscos para utra organização, como as seguradoras;
  • Aceitar: quando a empresa tem conhecimento do risco, mas entende que o mais acertado é não adotar nenhuma medida de controle;
  • Evitar: a empresa consegue aplicar ações internas para impedir que o risco atinja a companhia.

Com as ameaças identificadas, categorizados e com a matriz estruturada a empresa poderá trabalhar na prevenção e tratamento delas.

4 – Trate e monitore os riscos

Nessa etapa, as equipes de gestão, técnica e especialistas da empresa deverão estudar formas de tratar os critérios pontuados na matriz de risco.

Avaliando como os riscos podem influenciar no processo da empresa, estudando os casos de outras companhias que sofreram com vulnerabilidades, mas conseguiram minimizar prejuízos e, principalmente, estimando os prejuízos que cada risco pode oferecer.

Em alguns casos, pode ser mais vantajoso para a organização não investir esforços e dinheiro para tratá-lo, ao contrário, monitorar pode ser a melhor opção.

Estruturar um plano de gestão de riscos não é uma tarefa fácil, exige muito dos profissionais que se responsabilizam pelo processo e de seus gestores também. Porém, para manter a empresa sempre em segurança e atenta aos perigos que a empresa corre é muito importante que a companhia invista tempo e dinheiro na aplicação desse método.

Preparado para estruturar o seu? Conte para a gente nos comentários.

cabecalho_e-mail--2--4