Motivação para análise e gerenciamento de riscos

O risco ...

• pode ser algo incerto;

• expõe uma ou mais atividades, funções, processos ou toda a organização à possibilidade de perdas financeiras, danos físicos ou atrasos em projetos;

• é medido como a combinação da probabilidade da ocorrência do evento e suas consequências;

• pode ser negativo (perdas) ou positivo (oportunidades).

Motivação para análise e gestão de riscos

Gestão de Riscos é um dos pilares da Governança, e seu conceito é garantir que qualquer falha nas operações não coloque em risco os objetivos estratégicos da corporação.

É importante considerar que os riscos relacionados às operações – operacionais, falhas e vulnerabilidades de segurança ou até mesmo em projetos e desenvolvimento – podem ter impactos no sucesso da corporação, seja em uma campanha ou iniciativa específica, seja em sua imagem.

Metodologia de Análise

Para que a análise dos riscos seja objetiva, deve-se, em primeiro lugar, ter a informação sobre os ativos e seus respectivos valores para os negócios da companhia. Na primeira abordagem do Plano de Segurança é feito esse levantamento, para mais tarde ser estruturado em uma base de dados. Em seguida devem-se estabelecer prioridades, geralmente sob as perspectivas lógica e física dos serviços de TI.

As fases deste processo são:

• Identificar

• Priorizar

• Planejar

• Divulgar

• Atualizar

• Monitorar

Figura 1 - Processo de Análise e Gestão de Riscos, com início na Identificação.

Identificação dos riscos

A informação usada para estimar o impacto e a probabilidade da ocorrência de um evento, pode ser conseguida através de:

• registros e experiências passadas

• relatórios, banco de dados

• boas práticas

• padrões internacionais, guias específicos

• análise e pesquisa de mercado

• protótipos e experimentos

• modelos de engenharia, política, economia

• consultoria externa especializada.

O objetivo da fase de identificação dos riscos é, portanto:

• Identificar os ativos dentro do escopo do Plano Geral de Segurança da Informação

• Identificar as ameaças a esses ativos

• Identificar as vulnerabilidades que possam ser exploradas por essas ameaças

• Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos (CID), incluindo-se a autenticidade (A).

Priorização dos ativos

Inicialmente, devem ser considerados todos os ativos pertinentes às atividades relacionadas ao negócio, sem qualquer avaliação prévia, observado seus aspectos físicos e lógicos.

Na análise física levam-se em conta: o controle de acesso físico, localização geográfica, infra-estrutura predial e de comunicação, sistemas de monitoramento. Na análise lógica consideram-se a disponibilidade dos serviços, rotinas de backup, proteção por firewalls, atualização de versões de sistemas operacionais, e outras ações já implantadas.

Os ativos podem ser divididos em grupos, por exemplo, classificados por:

• valores relativos (A vale mais que B, ou classificação em Alto, Médio ou Baixo, escala (de 1 a 10, etc.) e

• valores financeiros (custo para desenvolvimento e implantação, custo para proteção, recuperação, valor perante a concorrência), assim como por sua importância para os negócios (ainda que “ importância” possa ser vista subjetivamente).

O bom senso, a experiência do executivo e o conhecimento do negócio são fundamentais na priorização, sendo necessário que a seleção dos profissionais entrevistados para os levantamentos seja cuidadosa, com supervisão direta da alta gerência da corporação.

Análise de Risco

Após estabelecidos os ativos e suas prioridades, procura-se associá-los aos processos de negócio, para que a análise possa ser feita à luz de impactos nos negócios, dado que não necessariamente o valor patrimonial de um ativo seria diretamente proporcional ao impacto nos negócios a ele relacionados, seja em valores financeiros, operacionais ou de imagem.

Faz-se, então, um conjunto de avaliações tal que se estabeleçam níveis de risco para cada ativo. Dentre as várias formas de classificação, define-se

...