Como já falamos no início da nossa série sobre Governança da Segurança de Tecnologia da Informação, a gestão de TI engloba planejar, construir, executar e monitorar as atividades alinhadas de acordo com o direcionamento estratégico determinado pela governança para se atingir os objetivos gerais da organização.
Hoje vamos abordar a Gestão de Riscos, que também pode se encaixar nessas etapas. No gerenciamento dos riscos da mesma forma é necessário:
– planejar: levantar as possibilidades de riscos e vulnerabilidades,
– construir/executar: quando são definidas as formas de controle para os riscos,
– e monitorar: quanto as possibilidades de riscos são acompanhadas e reavaliadas.
1- Planejar:
Nesta primeira etapa é preciso analisar quais as vulnerabilidades existentes na empresa, a quais riscos ela está exposta. Também devem ser avaliadas as práticas e políticas de segurança existentes para ver se são efetivas em relação aos riscos já levantados.
2- Construir/executar:
Neste momento entram em cena as ações concretas para mitigar e controlar os riscos que foram descobertos na fase de levantamento e análise. Muitos riscos não podem ser completamente evitados, mas pode-se ao menos diminuir o nível de exposição a eles. O gerenciamento inclui um trabalho preventivo, de se antecipar ao problema e não apenas ter ações que resolvam depois de já ocorrido.
3- Monitorar:
A gestão completa inclui desde o levantamento ou análise dos riscos até a definição de medidas concretas para o monitoramento desses riscos. Com tudo isso incluído, a gestão de riscos é um processo que nunca termina, deve ser sempre contínuo. Já que sempre surgem novas formas e possibilidades de ameaças para as empresas.
Riscos X investimentos
Com o gerenciamento de riscos é possível avaliar se o investimento em segurança está adequado ou não. No caso de um alto risco, com grande chance de ocorrer e de grande impacto, ele merece um grande investimento de segurança. Já um risco bem pouco provável e que não tem grande efeito nocivo na organização merece sim um determinado controle, mas não um investimento de tão grande valor.
Por isso, o gerenciamento permite que a empresa tenha uma visão mais clara do modo como deve direcionar seus investimentos em segurança. Desta maneira, a TI passa a ter uma atuação mais estratégica dentro do negócio, contribuindo de maneira efetiva para os objetivos gerais de crescimento da organização.
Acompanhou a série completa sobre Governança da Segurança da Informação? Se ainda não leu os outros posts, acompanhe aqui no blog e veja como deixar sua empresa mais segurança e com produtividade e eficiência garantidas.