Governança e a Gestão de Riscos em TI

27 Nov 2010

Olá Caros leitores!

Vamos falar hoje sobre um assunto que vem ganhando muita atenção nestes últimos tempos,  isto em função das constantes transformações que as organizações estão inseridas(também em TI) e nesta economia globalizada e instável que estamos vivendo: a gestão de riscos de TI.

Para antes entrar efetivamente no assunto, vamos primeiramente entender o que é um risco. Segundo a Wikipédia “O termo Risco é utilizado para designar o resultado objetivo da combinação entre a probabilidade de ocorrência de um determinado evento, aleatório, futuro e que independa da vontade humana, e o impacto resultante caso ele ocorra. É também uma a probabilidade de ocorrência de um determinado evento que gere prejuízo econômico.”

Bom, acredito que o final da explicação “prejuízo econômico” já nos diz tudo.  Podemos dizer que as empresas assumem riscos ao colocar produtos ou serviços novos no mercado. Um risco pode ser classificado como uma oportunidade e/ou uma ameaça. Uma empresa corre o risco de ganhar muito dinheiro com o novo produto/serviço (oportunidade) ou corre o risco de ter um grande prejuízo (ameaça). Grande parte dos riscos fogem do controle das empresas, portanto, a única opção é ter planos para caso os riscos se tornem verdade. A importância de se analisar os riscos cresce a cada dia. Um exemplo é o que está acontecendo no momento, às bolsas brasileiras sendo afetadas pelas crises da Grécia e Irlanda. O mundo globalizado é isto.

Os termos “risco”, “análise de risco”, “gestão de risco” vem ganhando espaço dentro das organizações. Podemos dizer que praticar Governança seja ela empresarial, seja de TI ou de outra área, também é através ferramentas, processos e estruturas organizacionais diminuir os riscos de algo inesperado e ruim acontecer.

Na área de TI, podemos encontrar referências sobre como mitigar/controlar riscos no PMBOK, ITIL, COBIT entre outros frameworks. Temos frameworks focados em gestão de riscos como o M_O_R da OGC (http://www.mor-officialsite.com/home/home.asp) que é a mesma mantenedora da ITIL e o Risk IT (http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-IT1.aspx) que foi concebida pela ISACA, mesma mantenedora do COBIT.

Um dos acontecimentos mais conhecidos relacionados à mitigação de riscos é o “Acordo de Basiléia I” de 1988 na cidade de Basiléia na Suíça. O acordo de Basiléia tem o objetivo de fixar índices, criando uma padronização financeira mundial, tendo como objetivo diminuir o risco operacional, e conseqüentemente o risco das instituições financeiras “quebrarem”. Um exemplo do acordo é que os bancos só podem emprestar 12 vezes o valor de seu capital e reservas. Em 2004 o acordo ganhou sua segunda versão, o Basiléia II, trazendo melhorias nas regras estabelecidas. Existem uma série de outras regras, entre elas regras que impactam diretamente a área de TI.

Alguns pontos que o Acordo Basiléia II impacta em TI são: capacidade de armazenamento de dados, integridade das transações, segurança, contingência, planejamento da capacidade, integridade na emissão de relatórios entre outros.

A Gestão de Riscos de TI precisa estar no dia-a-dia dos CIOs através de:  processos que precisam ser implementados para mitigação de riscos, ajustes na estrutura organizacional para acomodar estes novos processos, definição de indicadores “de riscos”, incluir a análise de riscos no Plano Diretor de TI ou Plano de Tecnologia da Informação, fazendo com que este assunto seja recorrente dentro da TI.

A primeira norma mundial (similar a ISO) referente Gestão de Riscos é a AS/NZS 34, elaborada em 1999. As etapas da gestão dos riscos são divididas em 2 fases: Identificação e avaliação.

Fase 1) Identificação

Estabelecimento do contexto: Relacionada ao escopo da avaliação que será realizada. Dentro de qual cenário o risco será analisado. Exemplo: E se uma enchente ocorrer em Blumenau?

Identificação de Riscos: É identificar o que pode dar errado dentro do escopo definido. O que uma enchendo afetaria na nossa organização para clientes e colaboradores?

Análise dos Riscos: Quais as conseqüências do risco caso ocorra. Dentro da análise dos riscos, temos 2 sub-atividades:

Análise qualitativa dos riscos: Identificar o impacto que certo risco poderá trazer para a organização e qual a probabilidade dela ocorrer.

Análise quantitativa: Estimar em valores $$ o quanto este risco poderá custar para a organização.

Fase 2) Avaliação

Plano de Resposta aos Riscos: Diante de um risco pode-se tomar 4 tipos de ação.

Evitar: Tomar uma ação para evitar totalmente um risco. Por exemplo, proibir o acesso a internet dentro da organização. Isto evita que vírus sejam copiados da internet.

Transferir: Pode-se transferir o risco para um terceiro. Exemplo: passar a administração de um servidor para um terceiro, e colocar em contrato penalidades caso o acordo estabelecido não seja cumprido.

Mitigar: Tomar ações para minimizar riscos. Exemplo: Limitar o uso da internet para alguns sites confiáveis somente.

Aceitar: Existem alguns riscos que são tão caros de serem “combatidos” que vale mais á pena aceitar o risco e ter um “plano B” para caso o mesmo ocorra. Exemplo: Guardar backup fora da empresa caso algum sinistro ocorra. Isso é geralmente utilizado pois o custo de se ter uma estrutura de TI de continuidade a parte não justifica (que é a realidade da maioria das organizações). Guarda-se somente um backup fora da empresa para restaurar o ambiente caso o sinistro ocorra.

Monitorar e controlar os Riscos: Acompanhar o dia-a-dia, fazendo o monitoramento dos riscos atuais e identificando novos riscos. Esta etapa também tem o objetivo de verificar se as políticas e procedimentos quanto a gestão dos riscos estão sendo seguidas. Também os indicadores referentes riscos são acompanhados nesta etapa.

Bem, a gestão de riscos é um processo importante e contínuo, e deve fazer parte da estratégia das organizações, já que como sabemos, os riscos de TI, não são de responsabilidade somente de TI, mas sim de toda a organização, principalmente dos tomadores de decisão.

Você tem alguma experiência em relação a riscos de TI? Compartilhe conosco, seu comentário é muito bem vindo.

Um grande abraço e até a próxima!

RELATED POST
29 comments
  1. Boa tarde Ramon!
    Muito obrigado pelo seu comentário. Isso nos motiva a continuar fortes no objetivo, que é trazer a informação na medida certa para nossos leitores.

    Seja sempre bem-vindo.

    Abs,

    Emerson Dorow

  2. Kara, parabéns pelo site, e por todos os posts. Sei pouco da área de T.I, mas suas postagens são de fácil compreensão. Vlw…

  3. Emerson,

    Parabéns pelo site, estou estudando para prova de Governança de TI, sobre ITIL e usei suas informações para estudo. Valeu mais ver seus posts do que assistir a aula teórica depois de um dia cansado.

  4. Parabéns pelas colocações referentes aos riscos que rodeiam as organizações e muitos só se dão conta depois que o pior acontece…infelizmente..

  5. Emerson
    Boa Noite.

    Querofazer meu tcc da pós graduação na área de gestão de riscos de TI, com finalidade de me embasar sobre o assunto.
    Tens algum material a parte, ou algumas dicas de trabalho pra seguir nesta linha?

    Bruno

    1. Olá Bruno,
      O CobiT irá te trazer alguma coisa.

      Procure por GRC + TI no google e encontrarás algum material. Eu sugiro adquirir alguma publicação focada no assunto. Não tenho nenhum que conheço para lhe indicar.

      Abs,

      Emerson.

  6. Bom dia!
    Estou estudando para um debate sobre gestão de ricos em TI, seu site vai mi ajudar bastante.
    obrigada!
    Leila souza

    1. Leila,
      Estou estudando a possibilidade de fazer o meu TCC em Gestão de Riscos.Penso muito em relacionar a Gestao de Riscos na TI.

      Tens algumas dicas de tema pra me dar?Eu nao sei por onde começar, falando de tema especificamente!

      Podes me ajudar a saber quais são as àreas de TI que envolve riscos e que devem ser mitigados?

      Em que àrea de TI merece atenção?

      Saudações,
      Edilásio Paulo.

  7. I simply couldn’t depart your website prior to suggesting that I actually loved the standard information a person supply for your guests? Is going to be back steadily in order to investigate cross-check new posts

  8. bikini swimsuit
    Well, it could go either way I guess. I don see a need for controversy, just do whatever seems best for your child.
    I remember when my brother and I were younger and he turtle kicked everything in sight, even ME!
    Of course I would then have tooo well, anyway I also know of a friend who
    started karate with their over energized youngster (together with the whole family) and it really helped in the way LiseAnn mentioned above.

    beach dresses By far the most important things for every
    bike owner will be to ensure the basic safety of
    their bicycles. Issues that may happen to a bi cycle when you use
    it, however there are also a lot of potential risks to it in the spot exactly
    where you stow it. Your mtb could easily get harmed by being struck with other materials, or by
    dropping down to the floor. beach dresses

    Sexy Bikini Swimsuit This was a predicament I found myself in quite often when first coming out.
    In every single case for me (three to be exact) it doesn’t work out.
    In two cases, I ended up being used and manipulated
    by these crushes who liked the attention I was giving them.
    Sexy Bikini Swimsuit

    Tankini Swimwear Your BlackBerry smartphone can handle a number of
    different file types and over time you’ll probably end up with email attachments, documents,
    photographs, music and video files. It is important to have quick and
    efficient ways of transferring these files and luckily you have several
    to choose from. In this guide we take a look at some apps and different syncing methods so you can keep your
    files backed up and get them where they need to go..
    Tankini Swimwear

    beach dresses Amazon Web ServicesThis is a cloud services platform that we
    used to host our service. (Privacy Policy)CloudflareThis is a cloud CDN service that we use to efficiently deliver
    files required for our service to operate such as javascript, cascading style sheets,
    images, and videos. (Privacy Policy)FeaturesGoogle Custom SearchThis is feature allows you to search the site.

    beach dresses

    cheap bikinis Filter media or dirt. For example,
    if a filters pump is listed as 900 Gallon/h, it might actually move only 600 Gallon/h, but the actual value depends on chioce of filter media and how
    dirt/clogged it is. That said, 500 Gallon/h gross flow rate for a 75 G should work fine for fish, but if you want densely planted tank that needs well
    distributed nutrients/CO you should consider more flow..
    cheap bikinis

    Monokinis swimwear I want to be certain that you do not immediately draw the
    conclusion that I believe that the solution to current organizational problems is to promote women to the top.
    I have no doubt this strategy would significantly improve the work place, but I am not advocating it as the solution. The solution must go
    below the surface of the outer actions. Monokinis swimwear

    Women’s Swimwear This has been discussed in other threads.
    It is informative to look at the links listed in Webmaster
    Central. I have 30,000 links!!! from other HP subdomains, most generated by ‘related hubs’.
    Only know this from chess streams, but in chess it’s a professional and his
    streaming partner (I’ve seen it done with John Urschel, an ex nfl player who loves chess),
    where they play against a viewer. The professional can only
    say the name of a piece, “pawn” “knight,” etc.,
    but nothing else, and his partner has to figure out what to do.
    So if there’s two knights, he has to figure out which one is best two move, and
    then also where. Women’s Swimwear

    Tankini Swimwear A tractor beam could be used to pull
    or throw objects. The most recent version of the armor was able to use pulse bolts.
    Gyro stabilizers were used in the boot jets. 1 point submitted 2 months agoI think practice helps.

    I definitely find I can retain audiobooks much better than I ever did print.
    But I have no problems pressing the pause button going back any time
    I want to hear something again. Tankini Swimwear

    Sexy Bikini Swimsuit There are more than 20,000 kinds of nematodes that reside in soil, of which, beneficial nematodes are the friendly parasites that help
    in eradicating pests like grubs, fleas, mole crickets,
    weevils, and Japanese beetles. They usually have an unsegmented
    body and are white in color. So, let’s understand how flea
    control is managed by these worms Sexy Bikini Swimsuit.

Leave a Reply to Bruno Bê Cancel reply

Comentários recentes

Categorias

Pesquisa ITSM

A TI da sua empresa utiliza uma ferramenta para registrar as solicitações de suporte?

View Results

Loading ... Loading ...

Calendário

November 2010
M T W T F S S
« Oct   Dec »
1234567
891011121314
15161718192021
22232425262728
2930  

Parceria #GTI e TIEXAMES

Compre cursos na TIEXAMES e usando o voucher GTI você ganha 15% de desconto!

Sites Parceiros