Cibersegurança e as boas práticas no mercado brasileiro - Security Report

Cibersegurança e as boas práticas no mercado brasileiro - Security Report: Hoje não se discute mais se a sua empresa sofrerá um ataque virtual, mas sim quando isso acontecerá. Os riscos cibernéticos vieram para ficar. Com o uso cada vez mais corrente dos canais digitais, as empresas se tornam alvos altamente expostos às ações de diversas características e naturezas.   O WannaCry elevou o tópico “segurança …

Porque gestão de Riscos?

A primeira pergunta seria: Porque Gestão de Riscos? E a resposta demandaria um bom tempo do interlocutor. A segunda pergunta será: E porque a Gestão de Riscos é importante para o meu negócio? Como se trata de uma pergunta qualitativa, e já que você aceitou que a Gestão de Riscos existe e é necessária, vamos tentar priorizá-la no seu dia a dia de trabalho.

Gestão de Riscos é um dos CINCO pilares da Governança, e seu conceito é garantir que qualquer falha nas operações não coloque em risco os objetivos estratégicos do Negócio. É importante considerar que os riscos relacionados à operação – operacionais, falhas e brechas de segurança ou até mesmo em projetos e desenvolvimento – podem ter impactos fatais para a organização que quer vencer no mercado.

O raciocínio simplista coloca riscos sob dois aspectos: a teoria e a pratica. Muitos escrevem sobre riscos. Posso citar o ERM (Enterprise Risk Manager) do COSO, o capitulo 4 da ISO17799, NIST, PO9 do CobiT entre vários, mas e na prática? Porque o Negócio não segue as regras? Porque na prática, quem conhece o negócio é o próprio negocio. Não existe uma metodologia hibrida, que possa ser aplicada numa vertical financeira com a mesma eficácia se fosse aplicada numa vertical de minas e energia. Porque não existe um questionário ou modelo de entrevista que cubra todos os aspectos do meu negócio. Porque o negócio é dinâmico e vive em função das oportunidades de mercado para se manter perene.

Gestão de Riscos não é matéria nova e arriscar faz parte do dia-a-dia da gestão de qualquer organização. Agora, entender os riscos relacionados ao uso da tecnologia da informação ainda é um desafio para os executivos de negócio que, provavelmente, não tem uma idéia mais detalhada dos problemas inerentes à operação de TI numa organização, por exemplo. A complexidade de TI associada a uma tendência da mídia em exagerar sobre certos riscos pode fazer a alta administração concluir erroneamente que riscos considerados significativos para o negocio sejam despriorizados ou até negligenciados, bem como outros não tão impactantes receberem a atenção que não merecem. Há cerca de dois anos tenho acompanhado uma mudança de cenário em relação ao risco. A Gestão de Riscos passou a ser considerada elemento essencial na organização, e o sucesso na implantação e gestão de riscos advêm daquelas organizações que identificam e gerenciam riscos da forma o mais efetiva possível. Falar de riscos é mais do que falhar ao perder uma oportunidade de negocio; é sobre executar tarefas de forma errada ou incompleta. Falar de riscos em TI então, é a arte de profetizar.

Para a alta administração precisamos falar de riscos em nível de negocio. Qual é o impacto que determinado evento indesejável causa ao negócio. Quais são as alternativas? Quanto elas custam? Como evidenciar que os riscos realmente importantes são os que estão sob controle? E, daqueles sob controle, quais permitem ou alavancam o crescimento do negócio?

No ano de 2004 o IT Governance Institute pesquisou 200 profissionais de TI em 14 diferentes países no mundo. Um dos resultados evidenciou que em 80% das empresas, é a gestão de TI quem define os riscos de TI que impactam no negócio, quando deveria ser ao contrário: Negócio tem a capacidade de definir que riscos de TI são os que impactam. Esta conclusão reflete a falta de envolvimento do processo de avaliação de riscos junto aos reais donos dos processos de negócio. Cabe aos executivos garantir que seus usuários (negocio) definam os impactos a partir dos riscos de TI e decidam o que deve ser feito (Plano de Ação).

Cerca de 25% das empresas entrevistadas executam analise de riscos e ameaças por terceiros regularmente. Eu acho isso preocupante. Terceirizar um provedor de serviços para executar sua avaliação de riscos é pior do que deixar a tarefa a cargo da área de TI.

A boa noticia: as empresas têm demonstrado interesse em adotar as melhores práticas e padrões em Governança de TI para gerenciar seus riscos. De novo posso citar o CobiT e o ITIL como as principais. Na medida em que estas práticas são adotadas, espera-se com razoável garantia que um número maior de avaliações de riscos sejam executadas, inclusive qualitativamente. A Governança de TI é o instrumento de dialogo entre a área de TI e as unidades de Negócio. A partitura são as praticas e a melodia será a Gestão de Riscos.

Somente um terço das empresas tem o Diretor Executivo assinando o Plano de Gestão de Riscos. Para a efetividade da Governança, a alta administração é o instrumento de revisão e aprovação dos Planos de Ação gerados pelos Mapas de Riscos, é o instrumento que prioriza as tarefas e compromete os recursos necessários para a execução eficiente do Plano. O Diretor de TI (40% das respostas) pode deter esta responsabilidade, mas eu acho que é muita responsabilidade na função de TI e é excluir personagens importantes do negócio deste processo.

O IT Governance Institute recomenda a criação de um Comitê com representantes da área de negocio, de forma que o Plano possa ser aprovado coletivamente, sob a chancela da Alta Administração. Em ultimo caso são os gestores do negocio – os usuários dos serviços de TI – que devem ter a responsabilidade pelos riscos relacionados ao negocio que gerem, incluindo aqueles relativos a TI. Os gestores do negocio são também os gestores da gestão de riscos, devem prover os recursos (tempo, pessoas e financeiros) para suportar o plano de gestão de riscos desenhado para proteger os interesses do negocio, e por fim monitorar se os riscos estão sob controle ao longo do tempo.

A ultima recomendação do ITGI é de que a Alta Administração revise periodicamente a abordagem utilizada na gestão de riscos para os riscos mais relevantes do negocio, no mínimo anualmente. A Alta Administração deve ter conhecimento daqueles riscos que ainda não foram mitigados