Na atualidade, a informação tem um grande valor. Todavia, a informação é um ativo que precisa ser protegido
em um cofre forte. As organizações fazem o processamento e transações críticas por meio da tecnologia da
informação, e com isso merecem uma atenção redobrada.
A Segurança da Informação é obtida através da implementação de controles, processos, políticas e procedimentos,
que juntos fortalecem os objetivos de negócio com a minimização dos seus riscos, e a promoção da segurança da
organização (NBR ISO/IEC 17799:2005).
A análise de risco tem como objetivos principais a identificação dos riscos, quantificação do impacto e
probabilidade de possíveis ameaças, e a partir dessas informações conseguir um equilíbrio financeiro entre
o impacto do risco e o custo da sua contramedida.
No cenário nacional pode-se perceber que a aderência da gestão de riscos ainda é muito baixa principalmente,
pela alta gestão, então fica a pergunta, por que nós brasileiros não levamos muito em consideração a gestão
dos riscos?. Talvez, isso ocorra devido a existência de crendices de que quando se fala em riscos – se está
incorporando a figura do “advogado do diabo” – que está associada com pessimismo. E muitas vezes, por força
do otimismo, não se dar o devido cuidado aos riscos.
Um dos desafios da área de Segurança da Informação, ou até mesmo do departamento de Tecnologia da Informação, é integrar os objetivos do programa de segurança aos objetivos e requisitos de negócios, principalmente se a alta gestão não percebe a importância desse processo. É ai que entra a questão da sensibilização das pessoas estratégicas das organizações. Esse é o primeiro passo para o sucesso de uma implantação da gestão de riscos, para conseguir êxito nessa sensibilização pode-se utilizar diversas técnicas como workshops, palestras, análises etc.
Mas, nada como realizar a identificação de riscos voltados a continuidade dos negócios, com esse mapeamento
pode-se demonstrar a alta direção das organizações a importância da gestão de riscos para a empresa. O que
percebe-se é que muitas vezes os riscos não são reportados, talvez por medo, ou outros motivos, com isso,
a alta direção não tem conhecimento de todos os potenciais riscos em que a empresa está suscetível.
Um dos papeis do profissional de Segurança da Informação é identificar, comunicar e sugerir planos e
estratégias para tratamento dos riscos identificados. Se a alta direção vai optar por eliminar, mitigar
ou aceitar o risco é outra história. Mas, sempre cabe ao gerente ou especialista de Segurança da Informação
mostrar os riscos, seus impactos, probabilidades e as alternativas possíveis para tratamento.
Abaixo apresenta-se alguns dos frameworks e normas que podem nos auxiliar na implementação de um processo de gestão de riscos voltados para tecnologia e segurança da informação:
COBIT 5
O Guia “COBIT 5 for Information Security” é composto de princípios aceitos mundialmente, bem como de ferramentas e modelos analíticos desenvolvidos para suportar o negócio e a TI, maximizando o grau de confiabilidade e valor que o mercado deposita nas operações da empresa, na sua informação e nos seus ativos de tecnologia. Apesar de ser um framework de Governança de TI ele possui diversos controles voltados para segurança da informação e gestão de riscos. Os profissionais podem obter a certificação Cobit, certificação essa muito bem vista no mercado mundial.
ISO/IEC 27002
Muito utilizado no mundo de Segurança da Informação é um código de boas práticas que de acordo com a ABNT
tem como principal objetivo: “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e
melhorar a gestão de segurança da informação em uma organização (ABNT, 2005). Temos também a ISO/IEC 27005 norma técnica que abrange Gestão de Riscos de Sistemas de Informação. É um dos requisitos da
norma ISO/IEC 27002, por isso não surgiu se sobre pondo a ela, e sim a complementando como um desdobramento.
ISO 31000
A ISO 31000 é a norma internacional para gestão de risco. Ao fornecer princípios e diretivas abrangentes, esta
norma ajuda organizações em suas análises e avaliações de riscos. Quer você trabalhe em uma empresa pública,
privada ou comunitária, poderá se beneficiar da ISO 31000 pois ela se aplica à maioria das atividades de negócios.
PMBOK
O PMBOK® (Project Management Body Of Knowledge) é um guia para gestores de projetos, organizado pelo PMI
(Project Management Institute) que traz um conjunto de boas práticas para profissionais e membros que atuam na área. Apesar de ser voltado para gerenciamento de projetos ele possui uma área dedicada a gestão de riscos, com diversos processos que podemos utilizar e adequar as nossas necessidades, posso dizer que é um dos que utilizo com mais frequência na implantação de processos e gestão de riscos.
RISK IT
Framework baseado em COBIT 5, que tem como abrangência todos os fatores do gerenciamento de riscos, norteando gestores no tratamento de todos os tipos de riscos. Uma ferramenta poderosa e pioneira em gerenciamento de riscos.
Atuando na área de Segurança da informação e especialmente no gerenciamentos de riscos, você irá identificar e
analisar riscos, escolhendo estratégias que melhor se adaptam aos riscos usando uma combinação de ferramentas,
técnicas e frameworks com suas boas práticas. Portanto, certifique-se de que você tenha um profundo conhecimento das melhores práticas e recomendações de gerenciamento dos riscos, posso lhe dizer que o nosso curso de especialização em Segurança da informação abrange todo esse escopo de frameworks e boas práticas para gestão de riscos e continuidade de negócios.
Aproveito para lhe informar que estamos com as inscrições abertas para a nova turma da Especialização em Segurança da Informações. Clique no link e faça sua matrícula agora porque as vagas são limitadas WWW.BSBR.COM.BR ou ligue para (85) 3032-7104 ou 9.8853-9000.
Wesklei Dourado
PMP® | CISSP | CAPM | CCNA | MCSA | MCTS | MTA | ITILv3 | ISO27002 | COBIT | Security +
Coordenador da Especialização em Segurança da Informação.