A evolução acelerada da tecnologia revolucionou o papel da equipe de TI dentro de uma empresa, transformando-a em uma verdadeira ferramenta de crescimento. Desenvolver formas inteligentes de otimizar o uso dos recursos desse setor já é parte fundamental da rotina de todo gerente. Entretanto, é preciso saber lidar com os riscos presentes para evitar problemas no dia a dia.
Acontece que é comum surgirem dúvidas relacionadas à melhor forma de fazer um gerenciamento de riscos em TI. Por isso, mostraremos aqui tudo o que você precisa saber sobre o assunto, incluindo os erros mais comuns e boas práticas que você deve implementar na equipe. Confira!
Gestão de riscos x Gerenciamento de riscos
Não é possível falar sobre essa importante questão sem, primeiro, esclarecer uma confusão muito comum relacionada a ela. Afinal, você sabe exatamente qual a diferença entre gerenciamento e gestão de riscos?
Gestão de riscos
Essa prática está muito ligada à segurança da informação e tem como objetivo auxiliar na tomada de decisões por meio do mapeamento de riscos. Além disso, sua implementação exige que a empresa possua uma metodologia para estipular os valores das informações e equilibrá-las quanto ao custo de sua segurança.
Isso altera a dinâmica interna da corporação, pois faz com que os investimentos em segurança possuam grande relevância no planejamento estratégico e financeiro.
Gerenciamento de riscos
Trata-se de uma outra forma de pensar, mas que não elimina a necessidade de uma gestão de riscos, tampouco a substitui. O gerenciamento de riscos foca na eliminação de conjecturas que possam atrapalhar as decisões tomadas pela empresa.
No processo de planejamento, faz-se necessário conhecer os riscos envolvidos e criar estratégias para mitigar cada um deles, de forma a dar mais liberdade de ação para a empresa.
Mostraremos, a seguir, alguns dos erros mais frequentemente observados em empresas que implementam um gerenciamento de riscos de forma não tão eficaz.
Erros mais comuns
A busca por um gerenciamento de riscos eficiente, muitas vezes, acaba levando os responsáveis a cometer certos equívocos. Nem sempre é algo que compromete totalmente o funcionamento do sistema, mas é fundamental estar atento e evitar ao máximo as práticas que citaremos a seguir, para que prejuízos maiores não ocorram.
1. Falta de embasamento técnico
Logo no início do processo, é comum que algumas pessoas sigam o instinto de tentar desenvolver um gerenciamento de riscos completamente do zero. Por mais que cada empresa tenha sua própria dinâmica interna e raramente ela seja igual a qualquer outra, é um grande erro ignorar estudos técnicos já feitos de eficiência comprovada.
Reinventar algo nem sempre é a melhor forma de começar. O ideal é avaliar modelos já estabelecidos e adequar suas características às necessidades específicas da empresa.
Para esclarecer de que forma é possível fazer isso, falaremos mais à frente sobre as boas práticas, tanto do processo de implementação como no dia a dia do gerenciamento de riscos.
2. Duplicar práticas já realizadas pela auditoria
Ambas as atividades possuem processos que se assimilam. Entretanto, é preciso ter cuidado para não transformar o gerenciamento de riscos em uma cópia da auditoria. Afinal, o papel desta é identificar erros resultantes de falhas e trabalhar na eliminação das causas, enquanto o gerenciamento deve trabalhar com a prospecção de riscos.
Não basta corrigir falhas, mas é preciso gerenciar possibilidades, alternativas, visando facilitar as tomadas de decisão.
3. Confundir precisão com acurácia
A precisão dos dados levantados não pode ser confundida com a acuracidade da avaliação feita de um total de informações. De forma prática, é preciso que haja um bom controle de levantamento de dados, mas também métricas para análise que não sejam vagas ou incompreensíveis.
4. Focar somente no registro de riscos
Levantar dados, como dito acima, é fundamental. Entretanto, é preciso ter muito cuidado para que o gerenciamento de riscos não se limite a isso. Um erro muito comum de algumas empresas é criar longas listas de riscos e não avançar no gerenciamento.
Essa prática resulta na ineficiência do sistema e em desperdício de tempo e recursos.
5. Aplicar conceitos vagos
Conceituar o que será definido como risco é fundamental para desenvolver um bom gerenciamento. Além disso, é importante simplificar a categorização de níveis utilizando, por exemplo, baixo, médio e alto.
Isso facilita a parte quantitativa do trabalho e evita disparidade entre a análise feita e a dinâmica real dos processos de TI. Uma forma interessante de pensar nessa categorização é relacionar a frequência de ocorrência com o tamanho do impacto resultante.
6. Não implementar um programa de Inteligência de Risco
O funcionamento interno de toda empresa, como já dissemos, é dinâmico e tem suas especificidades. Por isso, é preciso desenvolver um programa de Inteligência de Riscos cujo objetivo seja reavaliar os riscos envolvidos nos processos.
Isso costuma ser deixado de lado e alguns problemas, antes inexistentes, começam a surgir conforme os processos, e seus riscos, mudam.
Boas práticas
Tendo em vista a necessidade de evitar essas condutas, é possível tomar algumas atitudes para guiar a implementação de um gerenciamento de risco. Citaremos, a seguir, algumas das principais.
1. Política de Segurança da Informação
Os parâmetros definidos por uma Política de Segurança da Informação servem de referência para identificar riscos nos processos de TI. Por isso, é fundamental trabalhar no seu desenvolvimento para que seja algo sólido e eficiente.
2. Padrões de segurança
Isso pode ser descrito até mesmo na Política de Segurança da Informação, mas deve ser implementado como uma cultura organizacional da empresa. Normas para utilização de e-mails, para acesso aos servidores, utilização de programas e softwares são alguns exemplos de questões a serem definidas já na fase de implementação.
Procedimentos específicos para armazenamento de informações e backups também são aplicáveis.
3. Políticas de desenvolvimento de softwares e soluções
Regulamentar os direitos sobre softwares e outras soluções desenvolvidas pela empresa é essencial para garantir a neutralização de riscos ligados ao extravio de informações importantes. O direito de uso e venda faz parte da segurança das informações e precisa ser considerado.
4. Normas de monitoramento de informações
Não só o acesso, mas o monitoramento de informações é também parte fundamental de um gerenciamento de riscos. Afinal, ele delimita os locais nos quais os dados da empresa estarão expostos e facilita o rastreamento de quem manipula-os em determinados contextos.
Vale lembrar que, além de todas essas dicas, é preciso desenvolver estratégias para recuperação de dados em casos extremos, já que são muitos os riscos de perda ligados aos mais diferentes fenômenos, inclusive naturais ou catastróficos.
Tendo isso em mente, é possível implementar um gerenciamento de riscos mais eficiente, de forma que sua empresa possa tomar decisões mais eficientes e planejar os próximos passos de seu crescimento.
Gostou de ler sobre gerenciamento de riscos em TI? Então, siga nossas páginas no Facebook e LinkedIn para ver mais conteúdos sobre o tema!
