Gestão de riscos de TI: se você ainda não faz, comece já!

901 309 Microservice

Como já falamos no início da nossa série sobre Governança da Segurança de Tecnologia da Informação, a gestão de TI engloba planejar, construir, executar e monitorar as atividades alinhadas de acordo com o direcionamento estratégico determinado pela governança para se atingir os objetivos gerais da organização.

Hoje vamos abordar a Gestão de Riscos, que também pode se encaixar nessas etapas. No gerenciamento dos riscos da mesma forma é necessário:

planejar: levantar as possibilidades de riscos e vulnerabilidades,

construir/executar: quando são definidas as formas de controle para os riscos,

e monitorar: quanto as possibilidades de riscos são acompanhadas e reavaliadas.

1- Planejar:

Nesta primeira etapa é preciso analisar quais as vulnerabilidades existentes na empresa, a quais riscos ela está exposta. Também devem ser avaliadas as práticas e políticas de segurança existentes para ver se são efetivas em relação aos riscos já levantados.

2- Construir/executar:

Neste momento entram em cena as ações concretas para mitigar e controlar os riscos que foram descobertos na fase de levantamento e análise. Muitos riscos não podem ser completamente evitados, mas pode-se ao menos diminuir o nível de exposição a eles. O gerenciamento inclui um trabalho preventivo, de se antecipar ao problema e não apenas ter ações que resolvam depois de já ocorrido.

3- Monitorar:

A gestão completa inclui desde o levantamento ou análise dos riscos até a definição de medidas concretas para o monitoramento desses riscos. Com tudo isso incluído, a gestão de riscos é um processo que nunca termina, deve ser sempre contínuo. Já que sempre surgem novas formas e possibilidades de ameaças para as empresas.

Riscos X investimentos

Com o gerenciamento de riscos é possível avaliar se o investimento em segurança está adequado ou não. No caso de um alto risco, com grande chance de ocorrer e de grande impacto, ele merece um grande investimento de segurança. Já um risco bem pouco provável e que não tem grande efeito nocivo na organização merece sim um determinado controle, mas não um investimento de tão grande valor.

Por isso, o gerenciamento permite que a empresa tenha uma visão mais clara do modo como deve direcionar seus investimentos em segurança. Desta maneira, a TI passa a ter uma atuação mais estratégica dentro do negócio, contribuindo de maneira efetiva para os objetivos gerais de crescimento da organização.

Acompanhou a série completa sobre Governança da Segurança da Informação? Se ainda não leu os outros posts, acompanhe aqui no blog e veja como deixar sua empresa mais segurança e com produtividade e eficiência garantidas.

SP (11) 4063-8108 | RJ (21) 4063-3343 | MG (31) 4063-7161 | PR (41) 4063-7161 | SC (47) 3322-2343 | RS (51) 4063-7161 | PE (81) 4062-9072