Governança e a Gestão de Riscos em TI
Olá Caros leitores!
Vamos falar hoje sobre um assunto que vem ganhando muita atenção nestes últimos tempos, isto em função das constantes transformações que as organizações estão inseridas(também em TI) e nesta economia globalizada e instável que estamos vivendo: a gestão de riscos de TI.
Para antes entrar efetivamente no assunto, vamos primeiramente entender o que é um risco. Segundo a Wikipédia “O termo Risco é utilizado para designar o resultado objetivo da combinação entre a probabilidade de ocorrência de um determinado evento, aleatório, futuro e que independa da vontade humana, e o impacto resultante caso ele ocorra. É também uma a probabilidade de ocorrência de um determinado evento que gere prejuízo econômico.”
Bom, acredito que o final da explicação “prejuízo econômico” já nos diz tudo. Podemos dizer que as empresas assumem riscos ao colocar produtos ou serviços novos no mercado. Um risco pode ser classificado como uma oportunidade e/ou uma ameaça. Uma empresa corre o risco de ganhar muito dinheiro com o novo produto/serviço (oportunidade) ou corre o risco de ter um grande prejuízo (ameaça). Grande parte dos riscos fogem do controle das empresas, portanto, a única opção é ter planos para caso os riscos se tornem verdade. A importância de se analisar os riscos cresce a cada dia. Um exemplo é o que está acontecendo no momento, às bolsas brasileiras sendo afetadas pelas crises da Grécia e Irlanda. O mundo globalizado é isto.
Os termos “risco”, “análise de risco”, “gestão de risco” vem ganhando espaço dentro das organizações. Podemos dizer que praticar Governança seja ela empresarial, seja de TI ou de outra área, também é através ferramentas, processos e estruturas organizacionais diminuir os riscos de algo inesperado e ruim acontecer.
Na área de TI, podemos encontrar referências sobre como mitigar/controlar riscos no PMBOK, ITIL, COBIT entre outros frameworks. Temos frameworks focados em gestão de riscos como o M_O_R da OGC (http://www.mor-officialsite.com/home/home.asp) que é a mesma mantenedora da ITIL e o Risk IT (http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-IT1.aspx) que foi concebida pela ISACA, mesma mantenedora do COBIT.
Um dos acontecimentos mais conhecidos relacionados à mitigação de riscos é o “Acordo de Basiléia I” de 1988 na cidade de Basiléia na Suíça. O acordo de Basiléia tem o objetivo de fixar índices, criando uma padronização financeira mundial, tendo como objetivo diminuir o risco operacional, e conseqüentemente o risco das instituições financeiras “quebrarem”. Um exemplo do acordo é que os bancos só podem emprestar 12 vezes o valor de seu capital e reservas. Em 2004 o acordo ganhou sua segunda versão, o Basiléia II, trazendo melhorias nas regras estabelecidas. Existem uma série de outras regras, entre elas regras que impactam diretamente a área de TI.
Alguns pontos que o Acordo Basiléia II impacta em TI são: capacidade de armazenamento de dados, integridade das transações, segurança, contingência, planejamento da capacidade, integridade na emissão de relatórios entre outros.
A Gestão de Riscos de TI precisa estar no dia-a-dia dos CIOs através de: processos que precisam ser implementados para mitigação de riscos, ajustes na estrutura organizacional para acomodar estes novos processos, definição de indicadores “de riscos”, incluir a análise de riscos no Plano Diretor de TI ou Plano de Tecnologia da Informação, fazendo com que este assunto seja recorrente dentro da TI.
A primeira norma mundial (similar a ISO) referente Gestão de Riscos é a AS/NZS 34, elaborada em 1999. As etapas da gestão dos riscos são divididas em 2 fases: Identificação e avaliação.
Fase 1) Identificação
Estabelecimento do contexto: Relacionada ao escopo da avaliação que será realizada. Dentro de qual cenário o risco será analisado. Exemplo: E se uma enchente ocorrer em Blumenau?
Identificação de Riscos: É identificar o que pode dar errado dentro do escopo definido. O que uma enchendo afetaria na nossa organização para clientes e colaboradores?
Análise dos Riscos: Quais as conseqüências do risco caso ocorra. Dentro da análise dos riscos, temos 2 sub-atividades:
Análise qualitativa dos riscos: Identificar o impacto que certo risco poderá trazer para a organização e qual a probabilidade dela ocorrer.
Análise quantitativa: Estimar em valores $$ o quanto este risco poderá custar para a organização.
Fase 2) Avaliação
Plano de Resposta aos Riscos: Diante de um risco pode-se tomar 4 tipos de ação.
Evitar: Tomar uma ação para evitar totalmente um risco. Por exemplo, proibir o acesso a internet dentro da organização. Isto evita que vírus sejam copiados da internet.
Transferir: Pode-se transferir o risco para um terceiro. Exemplo: passar a administração de um servidor para um terceiro, e colocar em contrato penalidades caso o acordo estabelecido não seja cumprido.
Mitigar: Tomar ações para minimizar riscos. Exemplo: Limitar o uso da internet para alguns sites confiáveis somente.
Aceitar: Existem alguns riscos que são tão caros de serem “combatidos” que vale mais á pena aceitar o risco e ter um “plano B” para caso o mesmo ocorra. Exemplo: Guardar backup fora da empresa caso algum sinistro ocorra. Isso é geralmente utilizado pois o custo de se ter uma estrutura de TI de continuidade a parte não justifica (que é a realidade da maioria das organizações). Guarda-se somente um backup fora da empresa para restaurar o ambiente caso o sinistro ocorra.
Monitorar e controlar os Riscos: Acompanhar o dia-a-dia, fazendo o monitoramento dos riscos atuais e identificando novos riscos. Esta etapa também tem o objetivo de verificar se as políticas e procedimentos quanto a gestão dos riscos estão sendo seguidas. Também os indicadores referentes riscos são acompanhados nesta etapa.
Bem, a gestão de riscos é um processo importante e contínuo, e deve fazer parte da estratégia das organizações, já que como sabemos, os riscos de TI, não são de responsabilidade somente de TI, mas sim de toda a organização, principalmente dos tomadores de decisão.
Você tem alguma experiência em relação a riscos de TI? Compartilhe conosco, seu comentário é muito bem vindo.
Um grande abraço e até a próxima!
Loading ...
Parabéns.. Muito interessante seu post!! Parabéns pelo site!
Obrigado Eluana. Seja sempre muito bem vinda aqui no GovernançadeTI.com !!
Abs,
Emerson Dorow
Boa tarde Ramon!
Muito obrigado pelo seu comentário. Isso nos motiva a continuar fortes no objetivo, que é trazer a informação na medida certa para nossos leitores.
Seja sempre bem-vindo.
Abs,
Emerson Dorow
Informações claras e importantes. Analisar os riscos é algo vital nas organizações. Ótimo post Emerson!
Obrigado pelos comentários André!
Abs,
Emerson Dorow
Kara, parabéns pelo site, e por todos os posts. Sei pouco da área de T.I, mas suas postagens são de fácil compreensão. Vlw…
Obrigado Lucas por acompanhar nosso trabalho. O lema do GovernançadeTI.com é informação na medida certa, para compreensão de todos.
Um abraço,
Emerson Dorow
GovernançadeTI.com
Parabéns pelo post Emerson!
Material de grande importância.
Obrigado pela presença Bruno.
Um abraço,
Emerson Dorow
Emerson,
Parabéns pelo site, estou estudando para prova de Governança de TI, sobre ITIL e usei suas informações para estudo. Valeu mais ver seus posts do que assistir a aula teórica depois de um dia cansado.
Obrigado Iranilde!
Parabéns pelo Post vão me ajudar muito..,Ótimo site.
Olá Wagner,
Seja sempre bem-vindo!
Abs,
Emerson Dorow
Parabéns pelas colocações referentes aos riscos que rodeiam as organizações e muitos só se dão conta depois que o pior acontece…infelizmente..
Emerson
Boa Noite.
Querofazer meu tcc da pós graduação na área de gestão de riscos de TI, com finalidade de me embasar sobre o assunto.
Tens algum material a parte, ou algumas dicas de trabalho pra seguir nesta linha?
Bruno
Olá Bruno,
O CobiT irá te trazer alguma coisa.
Procure por GRC + TI no google e encontrarás algum material. Eu sugiro adquirir alguma publicação focada no assunto. Não tenho nenhum que conheço para lhe indicar.
Abs,
Emerson.
Bom dia!
Estou estudando para um debate sobre gestão de ricos em TI, seu site vai mi ajudar bastante.
obrigada!
Leila souza
Leila,
Estou estudando a possibilidade de fazer o meu TCC em Gestão de Riscos.Penso muito em relacionar a Gestao de Riscos na TI.
Tens algumas dicas de tema pra me dar?Eu nao sei por onde começar, falando de tema especificamente!
Podes me ajudar a saber quais são as àreas de TI que envolve riscos e que devem ser mitigados?
Em que àrea de TI merece atenção?
Saudações,
Edilásio Paulo.
Bom Dia !
Sou lhe grato pelo post, está me ajudando muito em meu TCC.
Abraço.
Olá Paulo,
Muito obrigado.
Precisando estamos aí!!
Abs,
Emerson.
I simply couldn’t depart your website prior to suggesting that I actually loved the standard information a person supply for your guests? Is going to be back steadily in order to investigate cross-check new posts
Parabéns, muito boa sua explicação e de fácil entendimento.
Abraço
ótimo resumo, parabéns
bikini swimsuit
Well, it could go either way I guess. I don see a need for controversy, just do whatever seems best for your child.
I remember when my brother and I were younger and he turtle kicked everything in sight, even ME!
Of course I would then have tooo well, anyway I also know of a friend who
started karate with their over energized youngster (together with the whole family) and it really helped in the way LiseAnn mentioned above.
beach dresses By far the most important things for every
bike owner will be to ensure the basic safety of
their bicycles. Issues that may happen to a bi cycle when you use
it, however there are also a lot of potential risks to it in the spot exactly
where you stow it. Your mtb could easily get harmed by being struck with other materials, or by
dropping down to the floor. beach dresses
Sexy Bikini Swimsuit This was a predicament I found myself in quite often when first coming out.
In every single case for me (three to be exact) it doesn’t work out.
In two cases, I ended up being used and manipulated
by these crushes who liked the attention I was giving them.
Sexy Bikini Swimsuit
Tankini Swimwear Your BlackBerry smartphone can handle a number of
different file types and over time you’ll probably end up with email attachments, documents,
photographs, music and video files. It is important to have quick and
efficient ways of transferring these files and luckily you have several
to choose from. In this guide we take a look at some apps and different syncing methods so you can keep your
files backed up and get them where they need to go..
Tankini Swimwear
beach dresses Amazon Web ServicesThis is a cloud services platform that we
used to host our service. (Privacy Policy)CloudflareThis is a cloud CDN service that we use to efficiently deliver
files required for our service to operate such as javascript, cascading style sheets,
images, and videos. (Privacy Policy)FeaturesGoogle Custom SearchThis is feature allows you to search the site.
beach dresses
cheap bikinis Filter media or dirt. For example,
if a filters pump is listed as 900 Gallon/h, it might actually move only 600 Gallon/h, but the actual value depends on chioce of filter media and how
dirt/clogged it is. That said, 500 Gallon/h gross flow rate for a 75 G should work fine for fish, but if you want densely planted tank that needs well
distributed nutrients/CO you should consider more flow..
cheap bikinis
Monokinis swimwear I want to be certain that you do not immediately draw the
conclusion that I believe that the solution to current organizational problems is to promote women to the top.
I have no doubt this strategy would significantly improve the work place, but I am not advocating it as the solution. The solution must go
below the surface of the outer actions. Monokinis swimwear
Women’s Swimwear This has been discussed in other threads.
It is informative to look at the links listed in Webmaster
Central. I have 30,000 links!!! from other HP subdomains, most generated by ‘related hubs’.
Only know this from chess streams, but in chess it’s a professional and his
streaming partner (I’ve seen it done with John Urschel, an ex nfl player who loves chess),
where they play against a viewer. The professional can only
say the name of a piece, “pawn” “knight,” etc.,
but nothing else, and his partner has to figure out what to do.
So if there’s two knights, he has to figure out which one is best two move, and
then also where. Women’s Swimwear
Tankini Swimwear A tractor beam could be used to pull
or throw objects. The most recent version of the armor was able to use pulse bolts.
Gyro stabilizers were used in the boot jets. 1 point submitted 2 months agoI think practice helps.
I definitely find I can retain audiobooks much better than I ever did print.
But I have no problems pressing the pause button going back any time
I want to hear something again. Tankini Swimwear
Sexy Bikini Swimsuit There are more than 20,000 kinds of nematodes that reside in soil, of which, beneficial nematodes are the friendly parasites that help
in eradicating pests like grubs, fleas, mole crickets,
weevils, and Japanese beetles. They usually have an unsegmented
body and are white in color. So, let’s understand how flea
control is managed by these worms Sexy Bikini Swimsuit.
“…economia globalizada…” foi clichê.
Citar wikipédia foi trágico…
Tive que para a leitura.