Um resumo dos conceitos de risco corporativo, operacional e de segurança da informação, com o objetivo de ajudar aos leitores no entendimento da estruturação do assunto risco e consequentemente melhor desenvolver a Segurança da Informação.
O assunto risco me fascina. É simples e é complexo ao mesmo tempo. É simples na medida em que entendemos a estrutura e a divisão (didática) hierárquica. É um assunto complexo quando pessoas que não estudam profundamente o assunto se arvoram a falar do mesmo como especialistas. Nunca fizeram algo prático validado por organizações.
Na minha jornada tive alguns Mestres a quem presto o meu reconhecimento. Alfredo Sneyers e Edgard D´Adrea, ambos sócios da PricewaterhoseCoopers e que me ensinaram a prática do assunto risco. Thomas Peltier, consultor americano, com seus livros e com treinamentos presenciais que tive a oportunidade de absorver seus ensinamentos passados de maneira simples, direta e prática.
Na elaboração da Dissertação de Mestrado, meu orientador Dr. Napoleão Galegale sabiamente me ajudou a estruturar o tema risco de segurança com o tema de política de segurança.
Desta maneira descrevo abaixo um resumo dos conceitos de risco corporativo, operacional e de segurança da informação, com o objetivo de ajudar aos leitores no entendimento da estruturação do conceito de risco. Para aqueles que desejarem se aprofundar no tema recomendo leitura complementar como os livros do Thomas Peltier.
Um comentário inicial é que estou tratando a questão de risco com a abordagem de um efeito que traga impacto prejudicial à organização. Todos sabemos que o risco pode ser uma oportunidade que pode trazer ganhos para a organização.
TIPOS DE RISCO
1. Risco Corporativo
É a possibilidade da ocorrência de um evento que afete de forma adversa o cumprimento da Missão Organizacional ou dos Objetivos Corporativos. Isto é, qualquer evento que tenha a possibilidade (pequena ou grande) de acontecer e de impactar a organização é um risco corporativo.
O Risco corporativo pode ser classificado em três tipos de riscos.
1.1. Risco Estratégico
É a probabilidade de o ambiente externo à organização provocar situações ou quando do não planejamento estratégico adequado, que impedem o crescimento da organização e impedem o retorno de valor para os acionistas.
São situações setoriais, de novas tecnologias, de velhas tecnologias que são abandonadas, de reputação da marca, de concorrência não prevista, de concorrência possível de ser prevista, mas não foi considerada, de mudança de comportamento do comprador, do surgimento de novos tipos de comprador, de gestão de projetos, de situações internacionais não consideradas ou situações similares.
1.2. Risco Financeiro
É a possibilidade de perda no mercado financeiro. São situações de crédito, liquidez, taxa de juros, inflação, perda de poder da moeda frente às moedas estrangeiras ou do mercado.
1.3. Risco Operacional
É a possibilidade de perda resultante de falhas (erros ou ações de má fé) na gestão de processos, pessoas, tecnologias, sistemas aplicativos, equipamentos, eventos externos (naturais ou provocados pelo homem, incluindo terrorismo) e de uso da informação.
1.3.1. Risco de Segurança da Informação
Dentro do Risco Operacional, considerando o uso da informação, podemos considerar o Risco de Segurança da Informação.
Podemos definir o Risco de Segurança da Informação como a probabilidade da informação sofrer alguma ação não autorizada, que altere seu valor indevidamente ou que a indisponibilizem para o seu uso pela organização.
GERENCIAMENTO DE RISCO
Para qualquer tipo de risco precisamos fazer um gerenciamento de risco que consiste em três blocos de ações:
1. O que temos? Precisamos:
1.1. Identificar os riscos.
1.2. Avaliar os riscos. Nesta etapa devemos decidir se vamos minimizar o risco, se vamos aceitar o risco, se vamos transferir o risco ou se vamos evitar o risco.
2. O que faremos em relação aos riscos identificados?
2.1. Analisar as medidas de controles existentes.
2.2. Decidir qual a estratégia a ser utilizada. Serão implementados novos controles? O que será feito?
3. Como vamos garantir a efetividade dos controles?
3.1. Desenvolver/aprimorar e implantar os controles.
3.2. Supervisionar e revisar os controles continuamente.
GOVERNANÇA E GESTÃO
Para que a gestão de riscos funcione é necessário que a Governança e a Gestão dentro da organização estejam com seus papéis bem definidos.
1. Governança
1.1. Dirigir e direcionar o que se quer e para onde se quer que a organização avance.
1.2. Estabelecer as metas estratégicas.
1.3. Garantir a Gestão de Riscos.
1.4. Monitorar a Gestão.
2. Gestão
2.1. Entender os objetivos corporativos.
2.2. Planejar a área para atendimento aos objetivos corporativos.
2.3. Construir ações para que as áreas desenvolvam suas atividades.
2.4. Entregar os produtos e serviços previstos.
2.5. Monitorar as ações das áreas.
A abordagem que apresentei acima é uma abordagem. Existem outras. Porém é a que eu tenho adaptado de vários autores e tenho seguido na realização dos meus trabalhos profissionais. Com certeza você pode sentir a necessidade de ajustes. Faça-os sempre com o objetivo de manter estruturado e prático. E compartilhe com os demais profissionais.