Cinco coisas que você precisa saber sobre gerenciamento de riscos

Veja como ser um gestor de risco inteligente, capaz de ajudar sua organização sabiamente tomar os riscos em oportunidades lucrativas.

Faz tempo que a gestão de riscos deixou de ser uma novidade para os líderes empresariais. Nunca se falou tanto em riscos no ambiente corporativo e já é bastante  improvável encontrar um tomador de decisão que não tenha pelo menos noção dos estragos  que possam ser causados à sua corporação por um tratamento inadequado de situações  potencialmente perigosas, sejam de natureza financeira, operacional ou estratégica.

Espionagem comercial. Conformidade. Pouco tempo. Swaps de crédito (credit-default swap, ou CDS). Riscos estão em toda parte e se você está apenas tentando minimizá-los dentro em TI, você está perdendo o foco.

Em vez disso, aprenda a ser um  gestor de risco inteligente, capaz de ajudar sua organização sabiamente tomar os riscos em oportunidades lucrativas.

1. Coloque a  casa em ordem primeiro

Você certamente identifica e planeja os eventos que podem afetar a sua capacidade de fornecer uma infraestrutura tecnológica estável, disponível, protegida e recuperável. Mas você tem que olhar além do risco que invade diretamente a sua seara, tais como violações de rede ou violações de dados, e ver de forma mais ampla onde a tecnologia pode desempenhar um papel na proteção – ou exposição – dos ativos da organização. “Muitos departamentos de TI só gerenciam os riscos de perímetro, ou perdas de violações de dados, mas ninguém está fazendo nada sobre a propriedade intelectual”, diz Brian Barnier, um conselheiro de risco e principal analista da ValueBridge Advisors, em Norwalk, Connecticut.

2. Não pense só em cumprir a sua obrigação

Sim, a conformidade com as leis setoriais e uma série de outros regulamentos é, obviamente, um pedaço do quebra-cabeça de gestão de risco. Mas não deixe que ela conduza a sua abordagem. “Quando falamos de inteligência de risco, estamos falando que o CIO deve considerar como o núcleo de tecnologia da informação pode contribuir para a garantia de um crescimento sustentável da organização, e entender todas as coisas que a põem em risco”, diz Bill Kobel, da Deloitte & Touche LLP. Pergunte se você tem os profissionais necessários para fazer a  tecnologia ficar à frente em seu mercado e não apenas estar compliance. A inteligência em  riscos pressupõe estabelecer uma correlação direta  entre os riscos que a organização considera aceitável assumir e os seus objetivos de negócios.

3. Gerenciamento de risco empresarial é uma oportunidade de carreira

O CIO está muito bem posicionado para dirigir uma empresa a partir de uma abordagem mais sofisticada para a gestão de risco. Especialmente em empresas que são muito dependentes de TI, o CIO geralmente tem o melhor acesso a  informações precisas sobre os pontos críticos do negócio e principalmente sobre o  modo como são administrados. “Quanto mais o CIO entende sobre os processos de negócio e as dependências que os negócios têm de TI, mais o CIO pode ser um verdadeiro advogado no board da gestão de risco inteligente”, diz Barnier. As organizações que administram seus riscos com inteligência estão  percebendo que certos riscos podem ser tolerados, desde que conhecidos e monitorados pela organização. Essa abordagem pode ajudar o CIO pessoalmente e ajudar sua organização gerar receita mais rentável por assumir riscos onde fazem sentido.

4. Há folhas de fraude
O processo de gerenciamento de riscos deve estar suportado por  ferramentas que possibilitem o estabelecimento de critérios para classificar a natureza  do risco e a identificação de quais áreas da empresa ou que processos de negócios  abrigam esses riscos. Tudo isso implica a necessidade de um modelo de classificação e  mensuração. Existem várias estruturas e padrões que podem colocá-lo no caminho para as boas práticas. As mais importantes são a ISACA (o grupo é mais conhecido por COBIT) e a ISO 31000. Mas esteja consciente sobre como aplicá-las, adverte Kobel. Frequentemente, os especialistas de uma empresa entendem diferentes domínios de uma estrutura – como segurança, privacidade , continuidade de negócios, ou conformidade – e o quadro onde será aplicada determinada metodologia, mas negligenciam a forma como o negócio realmente funciona.

5. Os bandidos realmente sabem como se alinhar com o seu negócio
Se você não estiver conectando diretamente a gestão de riscos de processos de negócios, fique ciente de que seus adversários estão. Os caras maus estão sondando vulnerabilidades, olhando para o seu comportamento operacional, pontos fracos em seus produtos e serviços, diz Kobel. Precisam descobrir como atacar você, quer através de engenharia social ou através de sua infraestrutura. O mesmo vale para insiders: “Eles têm um conhecimento inato de determinados processos de negócio, ou um conjunto de atividades, e eles começam a navegar através das costuras, para burlar os controles internos e alcançar seus objetivos”, acrescenta. “O que eles estão fazendo é visando o lado do negócio.”

Fonte: CIO

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado.