Uma parte essencial no processo de tomada de decisão é o gerenciamento de riscos. Realizar mudanças de sistema ou na forma em que a sua equipe de TI opera pode ser um processo muito complicado para um gestor, que precisa se preocupar com diferentes pontos, entre os quais:

Como o processo de gerenciamento de riscos não é exclusivo da área de TI, é preciso lidar com algumas peculiaridades desse processo e ficar atentos aos erros que você não pode cometer. Conheça alguns dos principais.

1. Usar uma metodologia mal definida

É de extrema importância para o sucesso da gestão de riscos que o processo seja bem sistematizado. Há diversos modelos de gerenciamento de riscos em TI, mas de maneira simplificada, ele deve passar pelas seguintes etapas:

  1. Diagnóstico de riscos: a primeira etapa consiste em realizar um levantamento do estado atual da empresa ou do objeto específico da gestão de riscos. Com base nessas informações, deve-se analisar as possíveis ameaças e as vulnerabilidades e avaliar se os controles de segurança atuais da empresa são eficazes contra essas ameaças identificadas;
  2. Hierarquização de riscos: com base nas informações reunidas na etapa anterior, é possível analisar quais dessas vulnerabilidades são mais prováveis de serem exploradas e quais têm maior impacto sobre a empresa caso sejam exploradas. Com base nesses dados, é possível fazer o cálculo de risco e hierarquizar os ativos de informação da empresa.
  3. Redução de riscos: por fim, é necessário fazer recomendações acerca de mudanças nos controles de segurança para mitigar os riscos, levando em conta tanto o custo-benefício para a empresa, quanto o risco que a organização está disposta a tomar. Também é indispensável fazer a documentação do processo para quando ele vier a ser realizado novamente.

2. Limitar os riscos avaliados a possíveis ataques

Um erro muito comum na gestão de riscos em TI é pensar somente na questão dos ataques e dos controles de acesso na hora de fazer o diagnóstico de riscos.

Uma boa análise de riscos também deve considerar a possibilidade de falha de um equipamento, erros no sistema ou sobrecarga dos servidores, que podem acarretar na indisponibilidade do serviço ou em inconsistências nos dados.

Para saber mais sobre como evitar problemas em seus sistemas, baixe o nosso e-book sobre as melhores práticas para desenvolver sistemas!

3. Usar valores de riscos mal definidos

O cálculo de risco é um elemento chave do processo de gestão de riscos, portanto é essencial que esteja bem definido o que representa um risco alto, médio e baixo de uma vulnerabilidade ser explorada. Da mesma forma, deve ser identificado o tamanho dos impactos oriundos desses riscos.

Quanto ao cálculo de risco em si, há diversas formas de fazê-lo. A forma sugerida pelo Guia de Gerenciamento de Riscos para Sistemas de Tecnologia da Informação (NIST 800-30) é a criação de uma matriz de risco, na qual cada ativo de informação seria designado com um valor semi-quantitativo de 0.1 a 1 para a probabilidade de ameaça e um de 1 a 100 para o impacto.

Dessa forma, o risco seria calculado por meio da multiplicação da probabilidade de ameaça pelo impacto, com valores tabelados para cada faixa de risco: muito alto, alto, moderado, baixo e muito baixo.

4. Restringir a responsabilidade pelo projeto ao gestor de TI

Muitas vezes, o gerenciamento de riscos é visto como uma tarefa exclusiva do gestor de TI.

No entanto, esse processo pode ser muito beneficiado pela adoção das práticas da governança de TI e pela integração, não só de toda a equipe de TI, como também de membros de outros setores da empresa.

Ao fazer isso, você pode:

  • Entender melhor a cultura empresarial;
  • Conseguir contribuições relevantes sobre a classificação de impacto sobre certos ativos da informação;
  • Conscientizar os funcionários sobre formas de mitigar os riscos.

Além disso, é de extrema importância que as informações provenientes do gerenciamento de risco estejam organizadas de forma acessível para futuras negociações com o conselho administrativo sobre investimentos na área de segurança de informação.

5. Falta de comprometimento com o gerenciamento de riscos

Não dar a atenção necessária para a segurança da informação é um dos erros mais comuns dos gestores de TI e isso se traduz, em termos de gestão de risco, no descumprimento dos cronogramas.

Um dos principais pontos para o sucesso do gerenciamento de riscos é a sistematização. Portanto, é essencial estabelecer parâmetros importantes, tais como:

  • Definir bem o escopo do projeto;
  • Estabelecer cronogramas;
  • Delegar tarefas dentro da sua equipe;
  • Realizar reuniões periódicas para manter todos atualizados sobre o estado atual do processo e assegurar que os prazos estão sendo cumpridos.

6. Deixar de dar continuidade à gestão de riscos

Em muitos casos, o gerenciamento de riscos só é feito na fase de planejamento de um projeto, sem continuidade no decorrer do desenvolvimento desse produto. No entanto, a análise de riscos deve ser um componente importante na execução de um projeto, uma vez que sempre se descobrem novas vulnerabilidades e erros.

Uma das possibilidades para a implantação de uma gestão de riscos contínua é a TI Bimodal.

Segundo esse conceito, a equipe de TI deve se dividir em duas formas de trabalho:

  • Uma, focada em inovação, trabalha com uma forma de desenvolvimento mais ágil;
  • A outra, focada em estabilidade, garante o funcionamento pleno do sistema.

7. Desconsiderar a contratação de um serviço de consultoria

Como a gestão de riscos ainda é subestimada na área de TI, muitas empresas não consideram economicamente vantajoso contratar um serviço de consultoria para auxiliar nesse processo.

Porém, uma equipe inexperiente pode cometer vários erros que atrasam o projeto ou podem incorrer em gastos desnecessários, como elencar vários riscos com probabilidades muito baixas, em vez de focar naquilo que oferece riscos maiores.

A consultoria de uma equipe especializada pode auxiliar muito no planejamento e nas fases iniciais da gestão de riscos.

O gerenciamento de riscos é ponto fundamental na segurança das empresas, embora frequentemente menosprezado em ações efetivas e definição de processos. Compartilhe esse artigo em suas redes sociais e ajude a difundir uma visão mais ampla e responsável sobre esse importante tema.

Conheça nossa ferramenta e como ela pode ajudá-lo em seus processos!