Mapeamento de riscos em TI: como fazer de forma eficiente?

em Tendências.

O mundo corporativo nunca dependeu tanto da Tecnologia da Informação como na atualidade. Não há dúvidas de que os recursos tecnológicos fornecem benefícios cruciais para o sucesso. Em contrapartida, a quantidade de ameaças que cercam o setor gera preocupação — tornando providencial o mapeamento de riscos em TI.

Tal processo faz parte das estratégias de gestão de riscos, medida consideravelmente essencial para assegurar que ameaças internas e externas não interfiram nos negócios gerando problemas de indisponibilidade provenientes de:

  • falhas humanas e acidentes;
  • desastres naturais;
  • interrupção no fornecimento de energia elétrica;
  • ataques de vírus e malware (ransomware, por exemplo);
  • inoperância do sistema; entre outros.

Em outras palavras, a sua empresa deve estar preparada para administrar toda e qualquer ocorrência em potencial. A principal medida para mitigar os danos provocados por esses eventos, entretanto, é realizar o mapeamento de riscos que, posteriormente, servirá como base para planejar o gerenciamento.

Sabendo da importância em desenvolver mecanismos de gestão de riscos para o seu negócio, desenvolvemos o este artigo que apresenta uma abordagem completa acerca dessa importante etapa que é o mapeamento de riscos em TI. Boa leitura!

Tenha o contexto do projeto bem definido

Ter em mãos o panorama do ambiente e tudo que está atrelado à TI de sua empresa é o passo inicial para garantir a eficiência no mapeamento de riscos. Isto é, ter o contexto bem definido, que servirá como base de conhecimento para identificar as vulnerabilidades, analisar os riscos e levantar os requisitos necessários.

Quanto a isso temos uma dica importante: faça a gestão de ativos de TI em sua empresa antes mesmo de dar continuidade ao mapeamento de riscos. Gerir os ativos não influencia explicitamente no grau de eficiência da administração dos riscos, mas, conforme veremos adiante, tal medida é de extrema relevância.

Bom, o que é a gestão de ativos de TI? Explicando o conceito de maneira concisa — já que este não é o foco do post —, a gestão de ativos é um processo no qual consiste, primeiramente, em catalogar os bens utilizados e administrados sob a responsabilidade do departamento de TI.

Entendem-se como ativos todos os componentes de hardware, produtos de software, sistemas e serviços de TI. Portanto, cria-se um inventário em que os ativos serão listados junto as suas respectivas informações (validade da licença do software, status do hardware, tipo de sistema etc.) essenciais para:

  • manter o controle;
  • prevenir-se a riscos;
  • agendar atividades de manutenção preventiva;
  • evitar prejuízos financeiros;
  • otimizar a aquisição de novos ativos.

Logo, como estamos sugerindo à sua empresa que investigue e conheça tudo que envolve o ambiente informatizado, fazer a gestão de ativos de TI é um ótimo complemento para esse processo ao mesmo tempo em que traz benefícios de longo prazo.

Quanto à infraestrutura da empresa é recomendável avaliar certos aspectos, como:

  • quantidade e qualidade dos cabos e fios (existem cabos em excesso? O tipo de cabo é o ideal para suportar o crescimento da infraestrutura?);
  • padrões de cabeamento (é a melhor alternativa de cabeamento estruturado?);
  • instalações elétricas (que riscos o projeto elétrico oferece?);
  • recursos de climatização (são condizentes com a infraestrutura?);
  • estrutura arquitetônica (é suficiente para mitigar efeitos de desastres naturais ou acidentes?).

Essa etapa do mapeamento de riscos em TI visa orientar os responsáveis pelo projeto sobre tudo que está ligado à infraestrutura de TI, direta ou indiretamente, possibilitando que os riscos inerentes a cada elemento seja identificado.

A partir das informações coletadas, a equipe de TI estará apta a desenvolver estratégias, mecanismos e soluções que prepararão a empresa para enfrentar a diversos problemas — caso venham a ocorrer.

Como você pode ver, o contexto é um aspecto que não deve passar em branco ao fazer o mapeamento de riscos em TI, afinal, como poderemos mapear os riscos se não temos conhecimento do ambiente e suas vulnerabilidades?

Identifique os ativos que serão utilizados

Considerando que já tenha à disposição as informações sobre os ativos de TI, a equipe terá o poder de analisar todos os pontos vulneráveis à riscos e que podem ter o uso aprimorado.

Por exemplo, a infraestrutura de TI é formada por dispositivos que demandam energia elétrica em abundância? Tais elementos podem ser substituídos por tecnologias mais avançadas?

No mercado existem soluções atualizadas, fabricadas para render mais e consumir menos, capazes de assegurar o melhor rendimento do nobreak e, consequentemente, a disponibilidade dos recursos básicos de rede (roteadores, servidores, switchs etc.) e, também, aqueles que são cruciais nos processos do negócio.

Outro fator de importância está ligado ao uso de software. Dependendo do tempo em que a empresa tem o departamento de TI, ela corre riscos de estar utilizando programas e sistemas operacionais próximos da obsolescência ou, simplesmente, que não oferecem a segurança em nível condizente com a demanda.

Nesse sentido, a identificação dos ativos que serão utilizados dará o melhor andamento possível ao mapeamento de riscos. A partir desse processo a equipe conseguirá, inclusive, planejar (ou esboçar, pelo menos) medidas iniciais com vista em soluções imediatas.

A substituição do firewall por uma solução mais robusta, por exemplo, reduzirá significativamente as ameaças virtuais assim que for implementada. Estabelecer o backup em tempo real eliminará o risco de perda de dados imediatamente.

Esses foram apenas alguns exemplos de como o levantamento pode promover alguns aprimoramentos, mas existem outros fatores que, embora estejam ligados aos recursos de hardware, software e sistemas, acabam passando despercebidamente: os recursos humanos.

Ocorrências de roubo, fraude e sequestro de informações costumam ser ligadas ao envolvimento de hackers e grupos de cibercriminosos. No entanto, os próprios colaboradores podem ocasionar esse tipo de situação, acidentalmente ou não, levando a companhia a sofrer com as consequências dos riscos envolvendo dados — decerto um dos mais danosos.

Isso pode acontecer por diversas razões que vão desde falhas justificáveis, seja pela falta de conhecimento, seja por treinamentos de baixa qualidade, ações premeditadas que só se tornaram possíveis devido à falta de controle e planejamento relativos à Segurança da Informação.

Portanto, identificar os ativos humanos é um processo tão imprescindível quanto o de levantar os ativos de TI, não podendo, em hipótese alguma, ser excluído ou negligenciado pela equipe responsável.

Supondo que a identificação dos ativos a serem utilizados foi realizada com sucesso, podemos dizer que o progresso do mapeamento dos riscos em TI está avançado. A essa altura a empresa já tem em mãos uma lista de vulnerabilidades que deve corrigir ou estabelecer mecanismos de gerenciamento de riscos.

No próximo tópico, veremos que o processo passará a ter como foco a definição dos métodos para tratamento dos riscos, ou seja, promover as mudanças necessárias para proteger o negócio das ameaças que atualmente o cercam.

Defina uma metodologia a ser utilizada

Após identificar os ativos e as vulnerabilidades à eles atreladas, o processo de mapeamento de riscos em TI chegará ao estágio de entendimento do risco.

O objetivo disso é analisar e contrastar as informações relacionadas aos riscos em potencial, classificando-as de acordo com o ativo, e registrando comentários que expliquem o entendimento em questão.

A partir do entendimento dos riscos é que se tem início o tratamento deles, ou seja, precisamos ter à disposição todos os detalhes intrínsecos a cada risco em potencial — sobretudo as consequências — para identificar o melhor tratamento possível.

Contudo, fazer essas identificações requer análises precisas e fundamentadas, sempre evitando conceder espaço ao achismo, podendo elas serem obtidas por meio de métodos proativos, tais como:

  • listas de verificação;
  • monitoramento;
  • análise de vulnerabilidades;
  • simulações;
  • testes de penetração em sistemas;
  • análise crítica de segurança;
  • auditoria de software.

E quanto às metodologias que podem ser utilizadas para o mapeamento de riscos em TI? Explicar detalhadamente cada uma das alternativas seria assunto para um livro ou postagem mais extensa, mas podemos destacar as seguintes abordagens:

  • Boehm (modelo de desenvolvimento em espiral);
  • CCMI (visão integrada para otimização dos processos do negócio);
  • RUP (abordagem constituída por quatro fases e que enfatiza a rigidez em alta qualidade);
  • PMI (conjunto de 44 processos para gerenciamento de projetos, subdivididos em 9 áreas).

Precisamos enfatizar o quão fundamental é a assessoria de especialistas nesse momento, visto que as metodologias envolvem uma vasta gama de detalhes. Ou seja, as chances da ação fracassar são grandes se a empresa não contar com profissionais experientes na área.

Vale salientar, também, a importância dos envolvidos conhecerem as razões pelas quais a medida foi determinada, qual será a sua reação perante uma situação real e a quem ela será atribuída — quem será o responsável por executá-la?

Essa disseminação da gestão de riscos na qual se faz um balanço dos efeitos positivos e negativos, entre outros detalhes relevantes acerca dos riscos, é uma medida que faz parte do conjunto de práticas PMBoK, criado pelo Management Institute.

As publicações PMBoK merecem ser ressaltadas pelos benefícios que as práticas e áreas nelas exploradas, aplicáveis a outros processos de gerenciamento de projetos. Em poucas palavras, vale a pena obter informações a respeito.

Para que todos os itens fiquem bem explicitados e documentados, é recomendado definir o tratamento dos riscos evidenciando, além dos riscos em si, os que podem ser mitigados (ou eliminados) e o que deve ser assumido, apresentando as devidas opções de ação.

Por exemplo, de acordo com a ABNT, os riscos podem ser mitigados aplicando-se as seguintes opções:

  • evasão: elimina as causas e consequências do risco;
  • redução: mitiga o risco por meio de controles capazes de diminuir ou extinguir o impacto;
  • retenção: corrige o problema com base no conhecimento da vulnerabilidade, falha ou defeito manifestado;
  • transferência: transfere o risco usando alternativas de contrapeso, ou seja, medidas que compensem o problema.

Esta última, inclusive, é susceptível à transferências de responsabilidades para parceiros — contratados para assumir tais atribuições — ou seguradoras, isto é, outras partes envolvidas que assumem os riscos pelas consequências geradas pela ameaça.

Para mais informações sobre a mitigação de riscos em TI, confira este post em que abordamos o tema com mais detalhes.

Realize auditorias de softwares frequentes

A auditoria de software é um processo que vem ganhando cada vez mais destaque no mundo corporativo — o que muito se deve ao crescimento da tecnologia. Dentre os principais motivos que levam uma empresa a realizar auditoria de software frequentemente, destacam-se:

  • combate à violação de direitos;
  • detecção de produtos de software piratas;
  • identificação de licenças expiradas;
  • prevenção de desastres e litígio judicial.

Analisando os principais objetivos da auditoria de software, provavelmente você concluiu que a aplicação desse processo é conveniente para o mapeamento de riscos em TI. Certo?

Muitos desastres ligados não somente ao setor de TI, mas a aspectos financeiros e judiciais, podem ser antevistos e prontamente solucionados quando identificados na auditoria. De certo modo, a auditoria age como um complemento ao gerenciamento de riscos, visto que ela assegura, acima de tudo, o controle.

Para realizar a auditoria de software é preciso planejar o processo, permitindo que sejam definidas questões como a finalidade da auditoria e o escopo do trabalho. Ao contratar uma empresa especializada, ela garantirá que todas essas informações sejam transmitidas com antecedência.

A execução em si é feita com auxílio de programas/aplicativos específicos de auditoria, capazes de fazer a inspeção em todos os ativos de TI — inseridos no planejamento. Com isso, são gerados relatórios detalhados nos quais são apontados os riscos e inconformidades — juntos de ações recomendadas.

Os relatórios são emitidos de acordo com as áreas envolvidas. Por exemplo, a auditoria pode fornecer um relatório referente apenas à Segurança da Informação, relatando as vulnerabilidades encontradas nos sistemas de informação, modificações feitas no servidor etc.

Você se lembra de quando mencionamos os ativos humanos? A auditoria de software é capaz não só de identificar o ocorrido, mas também os responsáveis por colocar o ambiente em risco. Ou seja, tamanha é a profundidade dos detalhes que a auditoria pode levar à causa raiz do problema!

Entretanto, como a auditoria pode trazer algumas “surpresas” — não necessariamente desagradáveis, pois a detecção de irregularidades dá a oportunidade de corrigir as falhas —, o que fazer para que os riscos sejam analisados e resolvidos rapidamente?

Falaremos sobre isso nos tópicos seguintes, abordando a importância em classificar os riscos para saber quais deles devem ser priorizados.

Separe os riscos de TI por tipo

Comecemos o presente tópico reiterando que o mapeamento de riscos em TI engloba mais do que a Tecnologia da Informação em si. Para que a questão fique clara, o motivo para isso é que os problemas que afetam a área de TI podem, também, impactar outros departamentos, causando danos por vezes irreparáveis.

Vamos citar um exemplo didático: ocorreu um desastre nos servidores, acarretando em interrupção de 6 horas nos setores de produção. Portanto, além do setor de TI, o risco afetou a produção e, consequentemente, as finanças e a própria imagem da empresa.

Caso tornemos a amplitude do risco ainda maior, como uma ocorrência de ataque de ransomware — como aconteceu em maio de 2017 com a proliferação do WannaCry ­—, o risco englobaria todos os departamentos em proporções muito maiores.

A empresa fica passível de perder todos os dados, pagar um preço milionário pelo resgate das informações, ter a imagem comprometida e marcada pela falta de investimento em segurança e melhores práticas.

Quando um desastre de grande magnitude acontece — ou o risco é identificado na auditoria —, envolvendo uma diversidade de riscos, é preciso saber agir o mais rápido possível e com precisão. Para isso é recomendável separar os riscos de TI por tipo. Por exemplo:

  • financeiros: riscos operacionais e de mercado;
  • produção: áreas relacionadas a desenvolvimento de produtos e/ou prestação de serviços);
  • imagem: consequências que venham à estremecer a relação com os clientes e provocar a queda na competitividade;
  • estrutura: eventos que coloquem em risco a estrutura da empresa.

Atribuindo essas sinalizações de riscos a equipe responsável prontamente saberá por onde e como agir. Lembrando que a classificação por tipo não é suficiente para tornar o monitoramento de riscos em TI eficiente.

Separe também pelo nível de impacto

Diante de uma situação de risco na qual as vulnerabilidades e os tipos foram detectados, pode ser difícil lidar com o indesejado da melhor maneira. Afinal, como saber qual dos males é maior quando se está em meio ao problema?

Nesse sentido, é muito importante que a empresa estabeleça uma relação lógica, baseada em prioridades, com objetivo de assegurar que as soluções prioritárias sejam feitas sobre os riscos cruciais.

A definição de prioridades pode ser feita tanto considerando o impacto acerca do risco, quanto à sensibilidade dos elementos ameaçados. Por exemplo, numa situação de múltiplos riscos, o “evento A” ameaça interromper o serviço por tempo indeterminado, enquanto o “evento B” coloca em risco a integridade dos dados.

O que você priorizaria em meio a tal situação? Existem algumas variáveis que tornam a questão muito particular. Se a empresa realiza o backup dos dados em tempo real e com segurança, a prioridade será corrigir o evento A. Do contrário, o evento B pode resultar em prejuízos irreparáveis.

Com isso, você consegue enxergar a importância de separar os riscos pelo grau de criticidade? A ausência do planejamento tende a induzir a equipe a tomar decisões equivocadas, deixando de focar no que é mais importante em meio às circunstâncias.

Bom, mas como fazer um planejamento adequado? Além de analisar todos os pontos — desde os mínimos detalhes —, é importante realizar testes para determinar quais riscos cruciais apresentam menos complexidade para mitigar.

Outro fator que cabe à classificação de prioridades é o tipo de risco. Para isso, a empresa estabelece o que é mais importante conservar (segurança, imagem, finanças etc.) de maneira que se crie uma lista que englobe as prioridades classificadas de acordo com o impacto, tipo e tempo estimado para solucionar o problema.

Com isso, concluímos que a separação de riscos por prioridade é fundamental para a gestão de ameaças, tendo em vista que a agilidade na decisão faz a diferença no momento de acionar um plano de contingência.

Defina métricas concretas para o monitoramento

A definição de métricas é uma medida comum em empresas para monitorar o desempenho e o status de um processo, plano, produto ou serviço.

A base de dados coletada por meio do monitoramento é providencial à tomadas de decisão e, até mesmo, à definição de prioridades para a classificação de riscos.

Entretanto, temos certeza de que você concordará conosco: tendo as métricas e indicadores total importância para a tomada de decisão, avaliação de desempenho e outras tarefas significativas, definir métricas irrelevantes ou inconsistentes resultará em decisões e avaliações erradas.

Por isso é elementar que métricas concretas sejam selecionadas para o monitoramento, do contrário o mapeamento de riscos em TI ficará distante da eficiência que desejamos.

Michael Scarborough, um dos mais referenciados especialistas em ITIL (Information Technology Infrastructure Library), conjunto de melhores práticas para gestão de TI, aponta 3 exemplos de métricas recomendadas abordadas nas publicações, sendo elas:

1. Métricas de Tecnologia:

  • capacidade computacional utilizada de um servidor;
  • espaço de disco ocupado;
  • desempenho da interface de rede.

2. Métricas de Processo:

  • número de mudanças com falhas por semana;
  • média mensal de incidentes solucionados;
  • número de solicitações concluídas por semana.

3. Métricas de Serviço:

  • grau de satisfação do consumidor em geral com um serviço específico;
  • custo pela realização de uma tarefa;
  • tempo para realizar um determinado serviço.

Esses exemplos nos dão uma ótima noção de como as métricas devem ser precisas, sólidas e de alta relevância para todos os envolvidos.

Nas métricas de tecnologia, por exemplo, a equipe pode antever os riscos ligados à infraestrutura, enquanto nas de processo é possível mensurar a eficiência do trabalho e, por fim, nas métricas de serviço, os stakeholders podem analisar a qualidade do serviço prestado ao cliente e seus custos para o negócio.

Chegamos, enfim, ao final deste conteúdo especial no qual abordamos diversos aspectos que contribuem, significativamente, para tornar o mapeamento de riscos em TI mais eficientes em sua empresa.

Quer saber mais sobre as soluções da Locaweb Corp? Acesse nosso site!