Gerenciamento de riscos em TI x governança corporativa: qual a relação entre eles?

em Soluções.

A governança corporativa e o gerenciamento de riscos em TI são pontos essenciais nas tomadas de decisão e na implantação de novas políticas. Se olharmos para a urgência de tratar a segurança da informação, um dos tópicos centrais da gestão tecnológica hoje, isso fica ainda mais evidente.

Não é mais possível pensar uma operação de tecnologia da informação sem que o tema da gerência de riscos venha à tona. E isso precisa ser feito de maneira preventiva, com estratégia e métodos que deem ao time um controle maior do que acontecia até pouco tempo.

É realmente necessário fazer gerenciamento de riscos em TI?

A utilização da governança corporativa tem muito a contribuir para os setores de TI. Ela se torna fundamental sobretudo para remover as dificuldades que a área tem em transmitir as demandas e realizar negociações com as áreas administrativas dos negócios.

Ao mesmo tempo, muitos profissionais de TI não têm um conhecimento adequado do funcionamento do negócio. Isso dificulta um gerenciamento de riscos efetivo que se integre com as preocupações e as vulnerabilidades presentes no dia a dia operacional, sobretudo nos departamentos administrativos.

Quer saber como o gerenciamento de riscos em TI e a governança corporativa podem contribuir para a gestão da sua equipe? Continue lendo o nosso post de hoje!

O que é governança corporativa?

Governança corporativa nada mais é do que um sistema de supervisão de empresas que busca criar um relacionamento entre sócios, conselho de administração, diretoria, órgãos fiscalizadores e os demais públicos-alvo das organizações.

Por meio dela, procura-se transformar os princípios organizacionais em indicações diretas — de modo a garantir que os empregados tenham os mesmos interesses da empresa — e aumentar a qualidade da gestão.

Para alcançar isso, normalmente, são seguidos alguns princípios básicos:

  • transparência com relação às informações da empresa que sejam de interesse de cada uma das partes, o que abrange os fatores que direcionam as ações da organização.
  • equidade no tratamento dos sócios, considerando as suas posições e funções com relação à empresa.
  • auditabilidade (accountability) é a prestação de contas acerca da situação da empresa de forma acessível e responsável.
  • responsabilidade corporativa corresponde ao comprometimento com a redução do prejuízo e o aumento dos lucros da empresa.

O que é gerenciamento de riscos em TI?

Gerenciamento de riscos em TI, também conhecido pelos termos gestão ou análise de riscos, é um processo que avalia a capacidade que um acontecimento envolvendo o arcabouço tecnológico tem de afetar uma empresa, seja positiva ou negativamente.

Toda tomada de decisão de uma companhia deve passar por esse processo, de modo à adequar as ações da organização à quantidade de riscos que ela está disposta a tomar.

Esse processo é um dos maiores desafios da gestão de TI na atualidade. Isso porque ele influencia diretamente em outros aspectos da gestão, como o gerenciamento de serviços, recursos e até dos custos que envolvem a operação.

Para que a análise de riscos seja bem-sucedida, ela deve preencher alguns requisitos, como:

  • ser sistematizada;
  • basear-se em todas as informações disponíveis;
  • considerar imprevistos;
  • ser um processo transparente e inclusivo com relação aos funcionários.

Qual é a estrutura necessária para analisar riscos em TI?

Tendo isso em mente, há uma estrutura básica a ser seguida em toda análise de riscos envolvendo tecnologia da informação.

E essa estrutura é composta por três etapas:

1.Diagnóstico de riscos

A primeira etapa consiste em uma análise do estado atual da empresa. E, no caso específico da TI, uma análise dos equipamentos e do software instalado.

Esta coleta de informações pode ser feita através de questionários aplicados aos funcionários, análise da documentação e soluções de monitoramento e varredura da rede.

Em seguida, são feitas análises de ameaça e de vulnerabilidade, de modo à identificar não só as possíveis origens dos ataques (causas raiz), como também os pontos mais propensos a serem atacados.

No caso da TI, esse diagnóstico de vulnerabilidades pode ser feito por meio de softwares criados para fazer testes de segurança em redes e simulações de invasões.

Outro método muito utilizado é a criação de checklists com os padrões básicos de segurança, para verificar se os ativos na empresa atingem as necessidades de segurança.

A última etapa do processo de diagnóstico é a avaliação dos controles de segurança implantados na empresa e como eles atuam com relação às ameaças (internas e externas) e também às vulnerabilidades.

Os controles dizem respeito tanto a ferramentas de software e hardware (como controle de acesso, firewall e criptografia) quanto a políticas de segurança e treinamento dos funcionários. Eles podem ser divididos em dois tipos específicos:

  • controles de prevenção;
  • controles de detecção de ataque.

Ao final desta etapa, deve-se ter informações sobre os tipos de controle, a sua eficácia e se eles correspondem ou não às normas de segurança de dados da empresa.

2.Avaliação e hierarquização de riscos

Com as informações coletadas no diagnóstico de riscos, é possível fazer uma primeira hierarquização dos ativos de informação, por meio da probabilidade de exploração da vulnerabilidade com sucesso por parte da origem da ameaça.

Os critérios para definir essa probabilidade geralmente são:

  • competência da fonte de ameaça;
  • as características da vulnerabilidade;
  • a eficácia dos controles de segurança atuais.

Essa avaliação é feita com um número de 0 a 1, de acordo com a probabilidade de sucesso.

O segundo critério de hierarquização é o impacto de um ataque bem-sucedido a um determinado ativo de informação.

Nesta etapa, é feita a chamada Business Impact Analysis (Análise de Impacto dos Negócios). Nela, são avaliados os ativos pelas tarefas executadas, a importância deles para a organização e a propensão deles aos riscos diagnosticados.

O método mais utilizado para isso é a entrevista com os donos dos sistemas. Por meio destas análises, também é possível elaborar planos de continuidade de negócios. A avaliação de gravidade do impacto é feita com um número de 0 a 100.

Com a probabilidade de ataque e o impacto dessa ocorrência em mãos, é possível realizar um cálculo de risco. O resultado deste cálculo servirá para adotar políticas de segurança na próxima fase do gerenciamento de riscos em TI.

O número obtido ao multiplicar a gravidade do impacto pela probabilidade de sucesso do ataque é o que será utilizado para fazer a hierarquização dos ativos da informação.

3. Redução de riscos

Após a hierarquização dos riscos de cada ativo, chegamos ao momento de apresentar as recomendações de mudanças nos controles de segurança.

Aqui cabe fazer uma avaliação de custo-benefício de cada uma das decisões de acordo com o risco de cada ativo. Essas recomendações devem ser práticas e levar em conta a quantidade de riscos que a organização está disposta a tomar.

Além disso, deve ser feita também uma documentação de todo o processo com o intuito de manter um registro que facilite futuras avaliações de riscos que serão feitas na empresa.

Na prática, como melhorar o gerenciamento de riscos em TI na sua empresa?

Agora que já conhecemos as três etapas básicas da análise dos riscos de TI, vamos à algumas dicas práticas para melhorar a gestão deles na rotina operacional:

1. Faça com que o time de TI tenha conhecimento de todos os riscos detectados

Mais do que apenas diagnosticar os pontos de fragilidade da infra de TI, por exemplo, é importante que toda a equipe tenha conhecimento deles. Só é possível trabalhar para evitá-los a partir do momento em que o time pode reconhecê-los com facilidade e discutir maneiras de mitigá-los.

2. Reconheça quais são as ameaças naturais à segurança da informação

Também é fundamental não esquecer que eventos naturais, tais como enchentes, incêndios etc. podem colocar todo o gerenciamento de riscos em TI sob ameaça.

Focar somente no ambiente virtual de TI pode abrir brechas para que os hardwares, por exemplo, fiquem vulneráveis.

3. Avalie a estrutura física da organização

As ameaças físicas, muitas vezes relegadas ao acaso, também devem ser contempladas na estratégia.

É importante, por exemplo, instalar dispositivos como alarmes, detectores de incêndio e câmeras de segurança nas instalações da empresa.

4. Estabeleça uma rotina de análise e manutenção de hardwares e softwares

Hardwares e softwares são o núcleo central da TI corporativa. É preciso, por exemplo, avaliar constantemente o dimensionamento das máquinas que atendem à operação do negócio.

Uma boa dica é criar uma rotina de manutenção preventiva, inserindo processos proativos na cultura do departamento de TI, bem como conscientizar os usuários da importância disso.

Dessa forma, as pessoas entendem, entre outras coisas, que não podem ignorar os alertas de atualizações das soluções.

5. Insira o gerenciamento de riscos em TI na cultura organizacional

Por fim, focar somente nas ameaças externas e nos processos pode não ser suficiente.

É importante que toda a empresa tenha a gestão de riscos em TI como uma missão. Os usuários não devem ver as vulnerabilidades e os riscos como responsabilidade apenas do time de tecnologia.

Assim, sempre que as pessoas sentirem algo estranho no dia a dia operacional (com hardwares e softwares que utilizam cotidianamente), elas poderão alertar o departamento de TI. As chances de detecção de tentativas de fraude virtual, por exemplo, aumentam significativamente quando os usuários são conscientes e atuam de maneira preventiva.

Como elevar a qualidade da governança corporativa considerando a gestão de TI?

Tendo em mente que o gerenciamento de riscos em TI e a governança corporativa estão intimamente ligadas, veja algumas dicas para implementar melhorias:

1. Alinhe a TI aos objetivos do negócio

É cada vez mais fundamental que o gerenciamento de TI esteja alinhado aos objetivos estratégicos do negócio.

Assim, é importante desenvolver/definir missão, metas e objetivos para o departamento de tecnologia em total alinhamento com a estratégia empresarial. Dessa forma, a TI passa a ter uma atuação mais analítica e consegue colaborar mais com a estratégia global do negócio.

2. Crie um plano de melhorias nas atividades de TI da empresa

Como vão surgir pontos para ajustar, é fundamental que o time de TI pense em um projeto de melhorias em seus processos. Um bom conselho é consultar os profissionais para que eles deem apontamentos do que pode ser feito neste sentido.

3. Estabeleça um SLA

Outro processo que não pode ser ignorado é a criação de acordo de níveis de serviços (SLA) que o time de TI prestará aos demais departamentos.

Isso fará com que sejam documentados, por exemplo, como e quando os usuários devem solicitar apoio: de que forma podem contribuir com ideias para que a TI busque ferramentas, recursos e serviços que auxiliem nos processos do negócio etc;

4. Conquiste a alta hierarquia do negócio

Também é interessante certificar-se de que as iniciativas de governança de TI tenham incentivadores entre a diretoria executiva da empresa.

Isso faz toda a diferença, uma vez que o time de tecnologia sempre se esforçará para definir bem os projetos, comunicá-los da melhor forma possível e sempre alinhá-los aos objetivos do negócio.

5. Sempre mensure e comunique os resultados

Por fim, é importante não esquecer que a boa governança corporativa (e também de TI) é aquela em que os retornos sobre os investimentos (ROI) podem ser facilmente calculados e comprovados.

O departamento de tecnologia deve sempre ser orientado e avaliado por métricas e indicadores de desempenho. São eles que ajudam a monitorar e a avaliar os resultados esperados e/ou obtidos em cada projeto, em cada serviço prestado.

Como você viu ao longo deste artigo, ao realizar um gerenciamento de riscos em TI, muitos dos princípios da governança corporativa podem (e devem) ser aplicados.

Transparência e responsabilidade corporativa na realização dos relatórios contribuem para melhorar a comunicação com o conselho administrativo. Isso certamente ajudará os executivos da alta hierarquia empresarial a se mostrarem mais dispostos a aceitar as propostas feitas quando elas são apresentadas.

Logicamente, quanto mais clara e justificada for essa explanação, mais fácil será demonstrar sua consonância com os interesses estratégicos da organização. E, consequentemente, melhores serão os sucessos dos projetos. Afinal, defender algo que está claramente alinhado aos interesses da organização é bem menos desgastante e pode surtir efeitos melhores (aprovações de investimentos, reconhecimentos de esforços etc.).

Desta forma, a gestão da equipe de tecnologia da informação poderá se destacar mais, uma vez que trabalhará em conjunto com o conselho administrativo na prevenção e na resolução de problemas, em vez de trabalhar de forma isolada do restante da empresa.

Quer saber mais sobre as soluções da Locaweb Corp? Acesse nosso site!