Governança e a Gestão de Riscos em TI

27 Nov 2010

Olá Caros leitores!

Vamos falar hoje sobre um assunto que vem ganhando muita atenção nestes últimos tempos,  isto em função das constantes transformações que as organizações estão inseridas(também em TI) e nesta economia globalizada e instável que estamos vivendo: a gestão de riscos de TI.

Para antes entrar efetivamente no assunto, vamos primeiramente entender o que é um risco. Segundo a Wikipédia “O termo Risco é utilizado para designar o resultado objetivo da combinação entre a probabilidade de ocorrência de um determinado evento, aleatório, futuro e que independa da vontade humana, e o impacto resultante caso ele ocorra. É também uma a probabilidade de ocorrência de um determinado evento que gere prejuízo econômico.”

Bom, acredito que o final da explicação “prejuízo econômico” já nos diz tudo.  Podemos dizer que as empresas assumem riscos ao colocar produtos ou serviços novos no mercado. Um risco pode ser classificado como uma oportunidade e/ou uma ameaça. Uma empresa corre o risco de ganhar muito dinheiro com o novo produto/serviço (oportunidade) ou corre o risco de ter um grande prejuízo (ameaça). Grande parte dos riscos fogem do controle das empresas, portanto, a única opção é ter planos para caso os riscos se tornem verdade. A importância de se analisar os riscos cresce a cada dia. Um exemplo é o que está acontecendo no momento, às bolsas brasileiras sendo afetadas pelas crises da Grécia e Irlanda. O mundo globalizado é isto.

Os termos “risco”, “análise de risco”, “gestão de risco” vem ganhando espaço dentro das organizações. Podemos dizer que praticar Governança seja ela empresarial, seja de TI ou de outra área, também é através ferramentas, processos e estruturas organizacionais diminuir os riscos de algo inesperado e ruim acontecer.

Na área de TI, podemos encontrar referências sobre como mitigar/controlar riscos no PMBOK, ITIL, COBIT entre outros frameworks. Temos frameworks focados em gestão de riscos como o M_O_R da OGC (http://www.mor-officialsite.com/home/home.asp) que é a mesma mantenedora da ITIL e o Risk IT (http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-IT1.aspx) que foi concebida pela ISACA, mesma mantenedora do COBIT.

Um dos acontecimentos mais conhecidos relacionados à mitigação de riscos é o “Acordo de Basiléia I” de 1988 na cidade de Basiléia na Suíça. O acordo de Basiléia tem o objetivo de fixar índices, criando uma padronização financeira mundial, tendo como objetivo diminuir o risco operacional, e conseqüentemente o risco das instituições financeiras “quebrarem”. Um exemplo do acordo é que os bancos só podem emprestar 12 vezes o valor de seu capital e reservas. Em 2004 o acordo ganhou sua segunda versão, o Basiléia II, trazendo melhorias nas regras estabelecidas. Existem uma série de outras regras, entre elas regras que impactam diretamente a área de TI.

Alguns pontos que o Acordo Basiléia II impacta em TI são: capacidade de armazenamento de dados, integridade das transações, segurança, contingência, planejamento da capacidade, integridade na emissão de relatórios entre outros.

A Gestão de Riscos de TI precisa estar no dia-a-dia dos CIOs através de:  processos que precisam ser implementados para mitigação de riscos, ajustes na estrutura organizacional para acomodar estes novos processos, definição de indicadores “de riscos”, incluir a análise de riscos no Plano Diretor de TI ou Plano de Tecnologia da Informação, fazendo com que este assunto seja recorrente dentro da TI.

A primeira norma mundial (similar a ISO) referente Gestão de Riscos é a AS/NZS 34, elaborada em 1999. As etapas da gestão dos riscos são divididas em 2 fases: Identificação e avaliação.

Fase 1) Identificação

Estabelecimento do contexto: Relacionada ao escopo da avaliação que será realizada. Dentro de qual cenário o risco será analisado. Exemplo: E se uma enchente ocorrer em Blumenau?

Identificação de Riscos: É identificar o que pode dar errado dentro do escopo definido. O que uma enchendo afetaria na nossa organização para clientes e colaboradores?

Análise dos Riscos: Quais as conseqüências do risco caso ocorra. Dentro da análise dos riscos, temos 2 sub-atividades:

Análise qualitativa dos riscos: Identificar o impacto que certo risco poderá trazer para a organização e qual a probabilidade dela ocorrer.

Análise quantitativa: Estimar em valores $$ o quanto este risco poderá custar para a organização.

Fase 2) Avaliação

Plano de Resposta aos Riscos: Diante de um risco pode-se tomar 4 tipos de ação.

Evitar: Tomar uma ação para evitar totalmente um risco. Por exemplo, proibir o acesso a internet dentro da organização. Isto evita que vírus sejam copiados da internet.

Transferir: Pode-se transferir o risco para um terceiro. Exemplo: passar a administração de um servidor para um terceiro, e colocar em contrato penalidades caso o acordo estabelecido não seja cumprido.

Mitigar: Tomar ações para minimizar riscos. Exemplo: Limitar o uso da internet para alguns sites confiáveis somente.

Aceitar: Existem alguns riscos que são tão caros de serem “combatidos” que vale mais á pena aceitar o risco e ter um “plano B” para caso o mesmo ocorra. Exemplo: Guardar backup fora da empresa caso algum sinistro ocorra. Isso é geralmente utilizado pois o custo de se ter uma estrutura de TI de continuidade a parte não justifica (que é a realidade da maioria das organizações). Guarda-se somente um backup fora da empresa para restaurar o ambiente caso o sinistro ocorra.

Monitorar e controlar os Riscos: Acompanhar o dia-a-dia, fazendo o monitoramento dos riscos atuais e identificando novos riscos. Esta etapa também tem o objetivo de verificar se as políticas e procedimentos quanto a gestão dos riscos estão sendo seguidas. Também os indicadores referentes riscos são acompanhados nesta etapa.

Bem, a gestão de riscos é um processo importante e contínuo, e deve fazer parte da estratégia das organizações, já que como sabemos, os riscos de TI, não são de responsabilidade somente de TI, mas sim de toda a organização, principalmente dos tomadores de decisão.

Você tem alguma experiência em relação a riscos de TI? Compartilhe conosco, seu comentário é muito bem vindo.

Um grande abraço e até a próxima!

RELATED POST
25 comments
  1. Boa tarde Ramon!
    Muito obrigado pelo seu comentário. Isso nos motiva a continuar fortes no objetivo, que é trazer a informação na medida certa para nossos leitores.

    Seja sempre bem-vindo.

    Abs,

    Emerson Dorow

  2. Kara, parabéns pelo site, e por todos os posts. Sei pouco da área de T.I, mas suas postagens são de fácil compreensão. Vlw…

  3. Emerson,

    Parabéns pelo site, estou estudando para prova de Governança de TI, sobre ITIL e usei suas informações para estudo. Valeu mais ver seus posts do que assistir a aula teórica depois de um dia cansado.

  4. Parabéns pelas colocações referentes aos riscos que rodeiam as organizações e muitos só se dão conta depois que o pior acontece…infelizmente..

  5. Emerson
    Boa Noite.

    Querofazer meu tcc da pós graduação na área de gestão de riscos de TI, com finalidade de me embasar sobre o assunto.
    Tens algum material a parte, ou algumas dicas de trabalho pra seguir nesta linha?

    Bruno

    1. Olá Bruno,
      O CobiT irá te trazer alguma coisa.

      Procure por GRC + TI no google e encontrarás algum material. Eu sugiro adquirir alguma publicação focada no assunto. Não tenho nenhum que conheço para lhe indicar.

      Abs,

      Emerson.

  6. Bom dia!
    Estou estudando para um debate sobre gestão de ricos em TI, seu site vai mi ajudar bastante.
    obrigada!
    Leila souza

    1. Leila,
      Estou estudando a possibilidade de fazer o meu TCC em Gestão de Riscos.Penso muito em relacionar a Gestao de Riscos na TI.

      Tens algumas dicas de tema pra me dar?Eu nao sei por onde começar, falando de tema especificamente!

      Podes me ajudar a saber quais são as àreas de TI que envolve riscos e que devem ser mitigados?

      Em que àrea de TI merece atenção?

      Saudações,
      Edilásio Paulo.

  7. I simply couldn’t depart your website prior to suggesting that I actually loved the standard information a person supply for your guests? Is going to be back steadily in order to investigate cross-check new posts

Leave a reply

Lightdesk – Gestão de service desk e CSC

Comentários recentes

Categorias

Pesquisa ITSM

A TI da sua empresa utiliza uma ferramenta para registrar as solicitações de suporte?

View Results

Loading ... Loading ...

Calendário

November 2010
M T W T F S S
« Oct   Dec »
1234567
891011121314
15161718192021
22232425262728
2930  

Parceria #GTI e TIEXAMES

Compre cursos na TIEXAMES e usando o voucher GTI você ganha 15% de desconto!

Sites Parceiros