O risco não é um novo problema ou uma nova terminologia; os seres humanos sempre tiveram de enfrentar (ou encarar) os riscos no seu meio ambiente, embora seu significado tenha mudado, como tem mudado a sociedade e o próprio meio onde vive.
Uma das ferramentas mais poderosas no gerenciamento de riscos é o conhecimento. Na era do conhecimento, onde a informação é considerada um dos principais patrimônios de grande parte das organizações, esta deve ser tratada como tal, sendo protegidas nos seus aspectos de disponibilidade, integridade, confidencialidade e autenticidade, seguindo a linha adotada pelo Governo Federal. Neste contexto, o gerenciamento de risco indica os caminhos e as informações que devem ser protegidas.
Mas como proteger uma informação ?
Inicialmente, faz-se necessário uma definição do que seja Gerenciamento de Riscos propriamente dito. Este é um processo que objetiva identificar os riscos ao negócio de uma empresa e, a partir de critérios de priorização, tomar ações que minimizem seus efeitos. É caracterizado, sobretudo, por ter uma abordagem mais estruturada e científica.É dividido em 4 (quatro) etapas básicas:
1. Identificação dos Riscos: Como o próprio nome já diz, nessa etapa são identificados os riscos a que o negócio (o foco sempre deve ser este) está sujeito.
O primeiro passo é a realização de uma Análise de Riscos, que pode ser tanto quantitativa – baseada em estatísticas, numa análise histórica dos registros de incidentes de segurança – quanto qualitativa – baseada em knowhow, geralmente realizada por especialistas, que têm profundos conhecimentos sobre o assunto.
Devido a sua agilidade, geralmente as empresas tendem a adotar os modelos qualitativos, que não requer cálculos complexos. Independentemente do método adotado, uma Análise de Riscos deve contemplar algumas atividades, como o levantamento de ativos a serem analisadas, definições de uma lista de ameaças e identificação de vulnerabilidades nos ativos.
2. Quantificação dos Riscos: Nessa etapa é mensurado o impacto que um determinado risco pode causar ao negócio. Como é praticamente impossível oferecer proteção total contra todas as ameaças existentes, é preciso identificar os ativos e as vulnerabilidades mais críticas, possibilitando a priorização dos esforços e os gastos com segurança.
Uma das ferramentas existentes no mercado é o BIA, do inglês Business Impact Analysys. Esta técnica consiste, basicamente, da estimativa de prejuízos financeiros decorrentes da paralisação de um serviço. Você é capaz de responder quanto sua empresa deixaria de arrecadar caso um sistema estivesse indisponível durante 2 horas? O objetivo do BIA é responder questões desse tipo.
3. Tratamento dos Riscos: Uma vez que os riscos foram identificados e a organização definiu quais serão tratados, as medidas de segurança devem ser de fato implementadas.
Definições de quais riscos serão tratadas ? Isso mesmo. O ROI e o BIA servem justamente para auxiliar nesta tarefa. Alguns riscos podem ser eliminados, outros reduzidos ou até mesmo aceitos pela empresa, tendo sempre a situação escolhida documentada. Só não é permitido ignorá-los.
Nessa etapa ainda podem ser definidas medidas adicionais de segurança, como os Planos de Continuidade dos Negócios – que visam manter em funcionamento os serviços de missão-crítica, essenciais ao negócio da empresa, em situações emergenciais – e Response Teams – que possibilitam a detecção e avaliação dos riscos em tempo real, permitindo que as providências cabíveis sejam tomadas rapidamente.
4. Monitoração dos Riscos: O Gerenciamento de Riscos é um processo contínuo, que não termina com a implementação de uma medida de segurança. Através de uma monitoração constante, é possível identificar quais áreas foram bem sucedidas e quais precisam de revisões e ajustes.
Mas como realizar uma monitoração de segurança? O ideal é que este trabalho seja norteado por um modelo de Gestão de Segurança, que defina atribuições, responsabilidades e fluxos de comunicação interdepartamentais.
Só que a realidade costuma ser bem diferente... Não são todas as empresas que possuem uma estrutura própria para tratar a segurança de suas informações.
Então a monitoração de riscos pode ocorrer numa forma mais light, digamos. Não é necessário todo o formalismo de uma estrutura específica, mas devem ser realizadas algumas atividades importantes, tais como:
• Elaboração de uma política de segurança, composta por diretrizes, normas, procedimentos e instruções, indicando como deve ser realizado o trabalho, e
• Auditoria de segurança, a fim de assegurar o cumprimento dos padrões definidos e, conseqüentemente, medir a eficácia da estratégia de segurança adotada.
Um efetivo gerenciamento de riscos necessita de alguns requisitos básicos que devem ser de conhecimento de todos os envolvidos nesse assunto. Esse conhecimento, inclusive, é uma outra dificuldade a ser vencida.
Normalmente apenas algumas pessoas ficam sabendo do processo de gerenciamento de riscos. O desejável é que todos os envolvidos tenham acesso às informações desse gerenciamento, considerando, evidentemente, a questão da confidencialidade da informação: acesso parcial, acesso somente de leitura, acesso para atualização, etc... Neste caso o uso de uma ferramenta adequada e com inteligência para tratar todas as informações geradas é fundamental.
Como requisitos básicos para o gerenciamento de riscos, consideramos que devam existir:
Objetivos de negócio – Antes de qualquer análise de riscos, devem existir os objetivos de negócio relativos à organização ou à área organizacional em estudo. Somente podemos falar em riscos, se existem os objetivos de negócio. Cada objetivo deve ser o mais explícito possível. "Crescer o faturamento em 15% em relação ao ano passado" é muito melhor do que um genérico "aumentar o faturamento". "Garantir um tempo de resposta no ambiente computacional de no máximo três segundos" é muito melhor do que "ter um tempo de resposta que deixe o usuário satisfeito".
