fbpx

Blog

4 de fevereiro de 2019

Como anda a sua gestão de segurança em TI? Parte I.

Introdução

É um momento oportuno para falar de gestão de riscos empresariais.

O evento catastrófico ocorrido com a poderosa Vale na semana passada, com consequências humanas, ambientais e financeiras de altíssimo impacto, nos diz muito sobre a complexidade e necessidade de se atuar de forma eficaz e equlibrada na Gestão de Riscos aos Negócios.

É razoável pensar, segundo a presunção da inocência até que se prove contrário, que os inúmeros técnicos e executivos envolvidos nas decisões para construção, operação e manutenção das barragens, não agiram com dolo ou omissão.

Mas a ocorrência do evento e seus impactos, mostram que há erros e aprendizados necessários a todos os negócios na forma como se pensa e se age sobre riscos.

Gerir riscos, sem dúvida, não é um assunto “sexy” no mundo dos negócios, mas se faz cada dia mais necessário. E fazê-lo bem não significa estar blindado de sua materalização. Significa conhecê-los em detalhes, avaliar seus impactos, provisionar coberturas e planejar respostas a eventos.

Deve-se entender que não é possível operar 100% livre de riscos, portanto uma gestão eficaz trabalha focando nos riscos prioritários, aqueles cuja multiplicação da probabilidade de ocorrência pelo impacto monetário é significativo.

Atitudes Empresariais Frente aos Riscos

Podemos ser simplistas e classificar as empresas em apenas 3 tipos de Atitude sobre Riscos, a saber:

Tipo 1: Não sei e/ou não quero saber. Vou me preocupar quando ocorrerem.

Devo limitar-me a dizer que esta atitude acabará inevitavelmente nos cemitérios empresariais.

Tipo 2: Conheço de forma razoável meus riscos, tenho algumas contramedidas implemementadas, tenho também alguns seguros, mas francamente, tenho dificuldades em conhecer de forma simples e atualizada meu nível de exposição e tenho dúvidas da eficácia de minhas respostas a incidentes.

Provavelmente, a maior parte das empresas se enquadra nesta categoria. Fizeram algo, ou mesmo muito, mas podem ter errado na dose do remédio, para mais e para menos.

Tipo 3: Avalio riscos , meço impactos, crio respostas e medidas de prevenção e mitigação de forma cotidiana nos meus negócios. Tenho plena consciência dos custos desta gestão e os equilibro de forma a que sejam sempre vantajosos em relação aos impactos ponderados.

Você quer estar aqui e, acredite-me, poucos estão.

Entendendo Gestão de Riscos em Tecnologia Hoje.

A gestão de riscos em TI segue lógica similar a dos demais riscos e o nível ideal de gestão de risco (Tipo 3), aplica-se totalmente.

Mas a execução revela-se desafiadora. Vamos entender porque.

A dinâmica dos riscos em TI comporta-se de forma distinta daquela de outros dos riscos empresariais mais usualmente monitorados , como o de crédito por exemplo. Não são lineares. Crescem exponencialmente, como a evolução da tecnologia e, a cada inovação, como IoT, por exemplo, e por causa da penetração mundial da world wide web , um novo (e desconhecido) leque de riscos é introduzido. E há gente, os hackers, e mesmo organizações, dedicada em regime 24×7 a encontrar e explorar suas vulnerabilidades, numa velocidade muito maior daquela com que você implementa ou monitora suas contramedidas.

A resposta usual a este cenário vem sendo dada pela própria tecnologia. A figura abaixo mostra o landscape de soluções por categoria de proteção hoje disponíveis no mercado mundial.

Não sei quanto a você, mas quando vejo algo assim, fico angustiado. E não estou questionando o inegável valor destas soluções e nem a competência de seus idealizadores.

A pergunta a ser feita é: seu eu selecionar uma solução de cada categoria, conforme minhas preferências e budget, estarei seguro?

Acredito que não é suficiente. Explorarei os demais componentes de uma gestão eficaz de segurança de informação em um novo artigo, mas antes quero encerrar com mais alguns dados sobre Riscos Cibernéticos.

A McKinsey, em relatório de 2014 entitulado “Risk and responsibility in a hyperconnected world: Implications for enterprises” por David ChinnJames Kaplan, e Allen Weinberg estimou então as perdas materiais por roubos/perdas de ativos de Informação, em U$S 3 Trilhões. Acredito que este número deve ter crescido bastante após 5 anos, e ainda penso que esteja um tanto quanto subestimado. Perdas de difícil ponderação, aquelas com degradação da imagem corporativa provavelmente não estão ai consideradas, e podem, mesmo, destruir para sempre uma marca ou reputação.

Mais ainda, o cerco regulatório, no Brasil e no Mundo, se acirra como resposta governamental a riscos crescentes. A nova Lei Geral de Proteção de Dados, por exemplo, prevê sanções de até R$ 50 milhões para eventos que firam suas diretrizes.

Por Paulo Simon

Paulo Simon é Engenheiro Eletrônico com Especialização em Computação formado pela USP, com especialização em Computação, MBA Executivo pela FIA e Certificado em Inovações Exponenciais pela Singularity University. Executivo de TI com 30 anos de carreira com passagens pela Unilever, Price Waterhouse, Deloitte Consulting, Monsanto e TIVIT, é atualmente Diretor de Consultoria da Agtech.


Para conhecer nossos produtos e serviços, entre em contato conosco.

Gestão de Riscos, Monitoramento, Segurança , , ,
Sobre deise aneli

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *