Se preparar para lidar com situações fora do fluxo normal, isto é gerenciar riscos!
08, fevereiro, 2018 - Postado por Felipe Pereira da Silva
O gerenciamento de riscos é um processo capaz de trazer vantagens competitivas para as empresas, porém, ele precisa ser implementado considerando a dinâmica de cada negócio. Modelos prontos e "receitas de bolo", podem até funcionar para atingir algum nível de compliance, porém, a conexão com a realidade do negócio exige muito mais.
Nesta visão, o gerenciamento de riscos é mais importante do que o compliance,
uma vez que este traz uma necessidade limitada para se atingir a conformidade, enquanto que aquele vai além, considerando sim os requisitos de compliance que o negócio necessita mas, sobretudo buscando interpretar a dinâmica da Organização abordando a gestão dos riscos no contexto estratégico, tático e operacional, refletindo, portanto, o cenário atual, a direção do negócio e os impactos trazidos pela inserção de novas tecnologias e novas modalidades de ataque.
É neste cenário dinâmico e desafiador que as empresas precisam identificar, analisar e avaliar seus riscos. E para isso, é importante garantir que a gestão de riscos "converse" com os processos adjacentes, conforme mostra a figura abaixo:
A necessidade dessa interação pode ser da seguinte forma:
- O controle de acesso precisa olhar principalmente para os riscos de segregação de função e de acessos privilegiados. O acumulo de privilégios e a concessão indevida de accessos restritos podem representar riscos;
- Os controles de segurança uma vez implementados com o propósito de mitigar um ou mais riscos, precisam ser avaliados constantemente a fim de aferir se estão cumprindo sua função de mitigação;
- Quando ocorre um incidente de segurança significa que: ou um risco que estava previsto se concretizou, geralmente exigindo uma reavaliação; ou aconteceu um evento que não estava previsto na matriz de riscos, devem a partir de então passar a estar, utilizando a lição aprendida no tratamento do incidente ocorrido. Outro ponto importante é a reavaliação se os controles de mitigação estão corretos;
- É comum que haja diversos riscos com o mesmo impacto e probabilidade, porém, é importante que o fator de riscos considere os diferentes níveis de relevância para o negócio das áreas e dos processos. Assim a priorização de ações de tratamento dos riscos refletirá bem a realidade da Organização;
- Outra situação comum, é a identificação de riscos que não possuem mecanismos de tratamento disponível, com o que se tem em "casa". Existem situações onde são necessários novos investimentos para compra de ferramentas, contratação de mão de obra especializada, em fim, podem existir situações que necessitarão de um planejamento para que o risco(s) seja(m) tratado e é importante que seja formalizado, criando-se um plano de ação com atribuição de prazo e responsabilidade;
- Por fim, os controles que são os mecanismos irão reduzirão o fator de risco, trazendo o risco residual para o nível aceitável da Organização, precisam estar em constante acompanhamento (análise de eficácia), porém quando não operarem adequadamente, é necessário tratar o desvio como uma não conformidade, para que a causa raiz seja identificada, e as respostas adequadas sejam dadas.
Espero que este breve artigo lhe tenha sido útil.
Estamos à disposição para qualquer necessidade de esclarecimento.