O que é a gestão de riscos em TI?
Autor: Telium Networks
Publicação: 14/09/2018 às 11:59
A gestão de riscos em TI tem ganhado destaque no cotidiano das empresas, indo além das preocupações da equipe de TI e atingindo os demais setores. Isso porque os processos e rotinas organizacionais estão cada vez mais dependentes de recursos e ferramentas tecnológicas na proporção em que se expandem, evoluem e se tornam mais presentes na vida das pessoas.
Frequentemente, CIOs têm sido cobrados para adotar práticas que garantam o funcionamento e continuidade das operações corporativas suportadas por soluções de TI. Isso porque a lista de riscos que podem causar danos a eles tem aumentado, variando de simples problemas em equipamentos até ataques cibernéticos constantes.
A importância da Tecnologia da Informação nas empresas só tem crescido, e a tendência é aumentar conforme os mercados vão se tornando mais interconectados e mais atividades envolvendo clientes passam a ser feitas via internet. Por isso, cabe ao gestor da área e sua equipe adotarem processos que minimizem, combatam e previnam riscos que possam afetar a TI da empresa.
Ficou interessado? Então continue a leitura para saber mais sobre o assunto!
Como funcionam os processos de gestão de riscos em TI?
Os processos envolvidos na gestão de riscos em TI possuem alguns propósitos que orientam seu funcionamento, tais como:
-
mitigação de problemas e sinistros;
-
prevenção de roubos de informações e ataques virtuais;
-
backup e restauração de dados importantes e críticos para a empresa;
-
adaptações na infraestrutura de TI e na estrutura organizacional visando acomodar os demais processos de gestão de riscos em TI;
-
inclusão de medidas e análises de riscos no Plano Diretor de TI tornando as práticas desse tema recorrentes e contínuas no departamento e na empresa;
-
adoção de indicadores e métricas que permitam avaliar os riscos (de parada, perda de informação, furto de dados etc.) envolvendo procedimentos e rotinas suportadas pela TI, além da eficiência e robustez das ferramentas e soluções usadas;
-
garantia de funcionamento dos sistemas e atividades ligadas a eles etc.
Como eles são feitos ou colocados em prática?
A aplicabilidade dos processos de gestão de riscos de TI varia de empresa para empresa conforme suas necessidades, exigências e recursos disponíveis (tempo, pessoal e financeiro).
Por exemplo, investir em infraestrutura de TI para garantir a continuidade das operações por meio de backups, cópias de dados e outros recursos pode requerer um valor elevado. Nesse caso, a solução pode ser contratar um terceiro e alugar sua infraestrutura para isso, embora muitas empresas ofereçam serviços de backup e restauração.
Durante o planejamento das medidas e processos necessários para a prevenção e mitigação de riscos, existem algumas ações que podem ser colocadas em prática, tais como:
-
estabelecer níveis de acesso aos conteúdos da empresa conforme criticidade, importância, relevância e outros critérios;
-
restringir/proibir o acesso à internet ou a sites e páginas específicas;
-
exigir certificação ou validação de acesso aos sistemas da empresa por meio de login e senha;
-
realizar palestras e apresentações com as melhores práticas para acessar os equipamentos de TI da empresa, bem como ao abrir sites, blogs, redes sociais etc. Nesse caso, é possível instruir os colaboradores da organização sobre riscos, cuidados ao ver e-mails, entre outras orientações;
-
adotar soluções de proteção contra ataques virtuais externos ou conteúdos indesejados e potencialmente prejudiciais. Entre os softwares mais comuns que fazem isso, temos antivírus, antimalware, antispyware, antiphishing, antispam, antiadware, antikeylogger, antipopup e firewall;
-
contratar uma empresa de segurança em TI que ajude em determinados processos, como no monitoramento de riscos, na implementação de sistemas de controle e nos já mencionados serviços de backup e restauração.
-
planejar e padronizar relatórios e controles que permitam avaliar os níveis de sucesso dos processos de gestão de riscos em TI empregados.
Por quem é feito?
A equipe de TI geralmente é a responsável por colocar em prática os processos que visem assegurar o funcionamento dos equipamentos e sistemas de TI da empresa, embora durante o planejamento os demais setores possam ser acionados para colaborar. Isso porque é importante a atuação em conjunto para se mapear os procedimentos suportados por tecnologia mais críticos e importantes de cada área, os quais necessitarão de mais cuidados e investimentos em segurança e proteção.
Além desses agentes, empresas terceirizadas que atuam em segurança de TI podem ser contratadas para executarem procedimentos que ampliem a segurança da organização.
Também há as equipes de atendimento das organizações que comercializam soluções de segurança de TI, as quais podem ser acionadas para colaborarem na implantação dessas ferramentas. Além disso, as equipes podem fornecer orientação, apoio e suporte no caso de defeitos, panes ou mal funcionamento nas soluções de segurança adotadas.
Quais as vantagens desse tipo de gestão para o segmento de TI?
Antes de apontar as vantagens da gestão de riscos em TI, é importante entender que ela integra a própria Governança de TI, que reúne procedimentos, práticas, padronizações e relações envolvendo os colaboradores não só da equipe de TI, como de toda a empresa e até de terceiros. Seu propósito é minimizar riscos, melhorar a performance organizacional, assegurar controles eficazes e eficientes, elevar os processos de proteção e segurança, além de diminuir custos e alinhar corretamente a TI com as operações e negócios do empreendimento.
Portanto, a adoção de uma gestão de riscos em TI beneficia alguns pontos da Governança de TI. Além disso, ela colabora na redução dos custos das operações de TI na empresa, pois maximiza a segurança e os problemas decorrentes de panes e perda de informações. Isso evita que os demais setores façam inúmeras chamadas, pedidos de restauração de dados, solicitação de serviços e reparos etc.
Quanto melhor a segurança das soluções tecnológicas informacionais, gerenciais e de comunicação, menos problemas ocorrem, o que permite que a equipe de TI possa se preocupar com ações que agreguem maior valor à organização, tragam inovações e melhorias de desempenho.
Quais os benefícios para a empresa de modo geral?
A empresa se beneficia de uma boa gestão de riscos em TI com:
-
menos paradas e interrupções em atividades devido a panes, perdas/furtos de dados ou instabilidades na rede decorrentes de ataques cibernéticos, o que ajuda a aumentar a eficiência e evita o retrabalho por conta do sumiço de arquivos;
-
proteção contra vazamento de informações sigilosas ou conteúdos digitais que podem provocar prejuízos, como ocorreu com a Sony em 2014;
-
prevenção de perda de dados importantes de clientes e funcionários, especialmente aqueles de contato ou documentação que podem até gerar problemas judiciais;
-
proteção das informações contra acidentes e desastres naturais (inundações, tempestades, desmoronamentos etc.) ou criminosos (incêndios, destruição de equipamento etc.), desde que implementadas ações de backup em dispositivos armazenados em outras localidades ou na nuvem (cloud storage);
-
garantia de que só pessoas autorizadas tenham acesso a determinados dados, protegendo-os de espionagem de concorrentes ou de cair em mãos erradas.
Os benefícios de uma gestão de riscos em TI são amplos, pois, além da diminuição de ameaças e vulnerabilidades, é possível implantar uma cultura que vise proteger os ativos de TI da empresa.
Além disso, a tendência é que sua importância cresça na proporção em que um novo comportamento ganha destaque no mercado: Bring Your Own Device (BYOD), em português “traga seu próprio aparelho”.
O BYOD se refere ao ato de levar dispositivos pessoais para o ambiente de trabalho (smartphone, notebook, pendrive etc.) seja para fins pessoais ou para realizar atividades profissionais. Isso aumenta a possibilidade de vazamentos, difusão de vírus e arquivos maliciosos na rede, entre outros riscos. Ou seja, esse cenário exigirá maiores cuidados e uma gestão de riscos em TI mais efetiva.
Portanto, a tendência é que o departamento de TI precise cada vez mais se especializar em práticas e processos que diminuam ameaças internas e externas à TI organizacional.
Gostou do nosso conteúdo sobre gestão de riscos em TI? Sim? Então compartilhe-o nas suas redes sociais para que seus contatos também possam se inteirar dos benefícios e vantagens dessa prática!