GESTÃO DE RISCO EM SEGURANÇA DA INFORMAÇÃO, PRINCIPAIS FRAMEWORKS PARA UTILIZAÇÃO.
A Segurança da Informação é obtida através da implementação de controles, processos, políticas e procedimentos, que juntos fortalecem os objetivos de negócio com a minimização dos seus riscos e a promoção da segurança da organização (NBR ISO/IEC 17799:2005).
A análise de risco possui como objetivos principais a identificação dos riscos, quantificação do impacto e probabilidade de possíveis ameaças, e a partir dessas informações conseguir um equilíbrio financeiro entre o impacto do risco e o custo da sua contramedida.
No cenário nacional podemos perceber que a aderência da gestão de riscos ainda é muito baixa principalmente pela alta gestão, então fica a pergunta, por que nós brasileiros não levamos muito em consideração a gestão dos riscos?. Talvez, isso ocorra devido a existência de crendices de que quando se fala em riscos - se está incorporando a figura do "advogado do diabo" - que está associada com pessimismo. E muitas vezes, por força do otimismo, não se dar o devido cuidado ao gerenciamento de riscos.
Um dos desafios da área de Segurança da Informação, ou até mesmo do departamento de Tecnologia da Informação, é integrar os objetivos do programa de segurança aos objetivos e requisitos de negócios, principalmente se a alta gestão não percebe a importância desse processo. É ai é onde entra a questão da sensibilização, esse é o primeiro passo para o sucesso de uma implantação da gestão de riscos, para conseguir êxito nessa sensibilização podemos utilizar diversas técnicas como workshops, palestras, analises, etc.
Mas nada como realizar a identificação de riscos voltados a continuidade dos negócios, com esse mapeamento podemos demonstrar a alta direção a importância da gestão de riscos para a empresa. O que percebo é que muitas vezes os riscos não são reportados, talvez por medo, ou outros motivos, com isso a alta direção não tem conhecimento dos riscos em que a empresa está suscetível, porém em caso de um desastre possivelmente vamos ser cobrados pela omissão e negligencia de não ter identificado e comunicado o risco. O nosso papel sempre será identificar, comunicar e sugerir planos e estratégias para tratamento dos riscos identificados, se a alta direção vai eliminar, mitigar ou aceitar o risco é outra história, mas sempre devemos fazer nosso papel, que é mostrar os riscos seus impactos, probabilidades e as alternativas possíveis para tratamento.
Abaixo cito alguns dos frameworks e normas que podem nos auxiliar na implementação de um processo de gestão de riscos voltados para tecnologia e segurança da informação:
COBIT 5
O Guia "COBIT 5 for Information Security" é composto de princípios aceitos mundialmente, bem como de ferramentas e modelos analíticos desenvolvidos para suportar o negócio e a TI, maximizando o grau de confiabilidade e valor que o mercado deposita nas operações da empresa, na sua informação e nos seus ativos de tecnologia. Apesar de ser um framework de Governança de TI ele possui diversos controles voltados para segurança da informação e gestão de riscos. Os profissionais podem obter a certificação Cobit, certificação essa muito bem vista no mercado mundial.
ISO/IEC 27002
Muito utilizado no mundo de Segurança da Informação é um código de boas práticas que de acordo com a ABNT tem como principal objetivo: “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização (ABNT, 2005). Temos também a ISO/IEC 27005 norma técnica que abrange Gestão de Riscos de Sistemas de Informação. É um dos requisitos da norma ISO/IEC 27002, por isso não surgiu se sobre pondo a ela, e sim a complementando como um desdobramento.
ISO 31000
As normas da família ISO 31000 têm como foco a gestão de risco. Não são normas que visam à certificação, e podem ser implementadas por qualquer empresa, independente de sua área, tamanho ou setor de atuação.
PMBOK
O PMBOK® (Project Management Body Of Knowledge) é um guia para gestores de projetos, organizado pelo PMI (Project Management Institute) que traz um conjunto de boas práticas para profissionais e membros que atuam na área. Apesar de ser voltado para gerenciamento de projetos ele possui uma área dedicada a gestão de riscos, com diversos processos que podemos utilizar e adequar as nossas necessidades, posso dizer que é um dos que utilizo com mais frequência na implantação de processos e gestão de riscos.
RISK IT
Framework baseado em COBIT 5, que tem como abrangência todos os fatores do gerenciamento de riscos, norteando gestores no tratamento de todos os tipos de riscos. Uma ferramenta poderosa e pioneira em gerenciamento de riscos.
Atuando na área de Segurança da informação e especialmente no gerenciamentos de riscos, você irá identificar e analisar riscos, escolhendo estratégias que melhor se adaptam aos riscos usando uma combinação de ferramentas, técnicas e frameworks com suas boas práticas. Portanto, certifique-se de que você tenha um profundo conhecimento das melhores práticas e recomendações de gerenciamento dos riscos. Posso lhe dizer que o nosso curso de especialização em Segurança da informação abrange todo esse escopo de frameworks e boas práticas para gestão de riscos e continuidade de negócios.
Aproveito para lhe informar que estamos com as inscrições abertas para nova turma da especialização pelo Instituto de Capacitação Business School Brasil – BSBr. Clique no link e faça sua matrícula agora porque as vagas são limitadas WWW.BSBR.COM.BR ou ligue para (85) 3032-7104 ou 9.8853-9000.
Wesklei Dourado
PMP® | CISSP | CAPM | CCNA | MCSA | MCTS | MTA | ITILv3 | ISO27002 | COBIT | Security +
Coordenador da Especialização em Segurança da Informação.
