Documentos de Académico
Documentos de Profesional
Documentos de Cultura
em 4 passos
By Mdulo Security | Gesto de Riscos | 12 novembro 2013 | 2 Comments
Quando uma organizao, atravs de uma rea especfica de segurana, seja ela da
determinado grupo de ativos e produtos. Existem organizaes que possuem averso ao risco
e no aceitam a sua existncia sem o devido tratamento ou transferncia, seja por medo, por
organizao.
gerentes que no avaliam apropriadamente o valor do risco ao negcio, mas a sua rea.
Veja tambm:
ciberataques?
Entretanto, esta atuao perante o risco pode no trazer benefcios ao negcio por estar
desassociado das necessidades organizacionais e deturpar a viso dos riscos que devem ser
aceitos para evoluir, alm dos inerentes ao negcio que, se no forem corretamente
oportunidades.
valor ao negcio. O tratamento indevido de riscos pode desvalorizar uma organizao pelo
utilizados sem um correto alinhamento ao negcio, na maioria das vezes no geram retorno
apoiada por um comit (em caso de empresas de maior porte) ou dos seus diretores:
exposta. necessrio pensar em todos os tipos, sem excluir nem o mais trivial deles.
O pensamento inicial deve ser de fora da organizao para dentro. Isso porque os riscos
exgenos so, em sua maioria, inerentes ao negcio, a cultura da regio onde ocorre a
estratgica por uma tecnologia em detrimento de outra, questes polticas, conflitos internos,
Este processo necessita ser cclico pela constante variao dos riscos e pelo fato de que
alguns deles podem surgir e outros sumir. Quanto maior a variedade de produtos e servios
Um vetor que de forma recorrente considerado como risco no deveria entrar nesta lista. O
risco de perda financeira. Fao esta colocao pelo fato de que a perda financeira um dos
Risco uma questo estratgica e no apenas tcnica ou setorial; e a perda financeira ser
situao em que ele ocorre conhecida, no se trata de uma incerteza. Por isso, no um
risco, um problema interno, logo, no deve ser transferido para a carga de risco
organizacional.
Aps esta atividade e com o levantamento dos riscos aprovado internamente, inicia-se outra
impacto. Este processo visa facilitar a deciso para definir o que ser tratado, transferido ou
critrios:
Riscos especficos do negcio: Toda atividade tem riscos inerentes, estes riscos no so
So, como o nome sugere, riscos do negcio e so aplicados a todas as empresas do setor.
Algumas estaro mais ou menos expostas, mas o risco em si ser o mesmo. Alguns exemplos
associadas s escolhas, culturas e processos internos. Seus impactos podem causar desde
grandes impactos.
climticas e flutuaes cambiais so exemplos reais destes cenrios assim como grandes
energtico. Para algumas empresas, tratar alguns destes riscos internamente proibitivo pelo
custo que pode superar o valor da organizao e isso necessita ser conhecido internamente.
A forma mais comum de tratamento para estes cenrios transferncia por intermdio de
seguradoras.
diversos riscos.
Essa atividade consome um tempo considervel e sempre que for revista, alteraes de
algum tipo nos agentes sero consideradas. O processo se resume em duas etapas:
Associar os vetores (agentes) aos riscos. Nesta etapa comum surgirem sugestes para
situao e verificar se o mesmo vetor ou equivalente ser pontuado para outros riscos e aps
mitigvel, transfervel ou aceitvel. A prxima etapa estruturar uma matriz de risco para
estabelecer estes valores, sejam eles financeiros, jurdicos, mercado, produto ou de outra
3) Matriz de Risco
Esta uma etapa que pode ser concluda rapidamente ou levar vrios dias. Tudo vai depender
Podero existir situaes onde um risco aceitvel para uma rea e inaceitvel para outra.
Quando esse cenrio ocorre, pode ser por influncia de alguns critrios tais como:
Esta parte do processo essencial para o correto alinhamento sobre os critrios que, aps a
inaceitvel.
entendam seu processo de classificao e os critrios. Porm, cabe uma observao: quanto
maior for o nmero de opes, mais complicado ser para classificar cada risco identificado.
Em contra partida, uma quantidade muito reduzida de opes pode causar problemas de
definio da priorizao dos riscos. O ideal identificar o meio termo entre a granularidade e
a simplicidade.
Um exemplo de classificao pode ser este: um determinado sistema de TI, aps ser
organizao, mas que TI consegue, no pior caso, restabelec-lo em 8 horas, tem o seu
jurdico aceitvel;
TI inaceitvel;
O custo operacional de TI, para o exemplo, considerado alto e deveria ser tratado para
fornecer maior segurana operacional, porm esta no uma viso compartilhada pelas
outras reas.
um custo de CAPEX inicial que pode ser justificvel como investimento, mas ele incorre em
ambos gerando maior OPEX e por consequncia impactam na margem de lucro, sem agregar
valor real; o jurdico lida com as eventuais aes pontualmente. Para as outras reas, no
considerado um impacto significativo ento, qual o impacto para a organizao? Neste caso o
nvel de impacto de marketshare tolervel estabelecido na matriz que deve direcionar esta
resposta.
Considerando que a resposta gerada por Marketshare o tratamento do risco por meio de
aes de mitigao interna, como proceder? Existem vrias formas que variam desde a
4) Tratamento do risco
Esta uma fase crtica do processo onde todas as gerncias devem fazer uma avaliao
dos mesmos.
Existem organizaes que ainda no visualizam o processo desta forma. Este um problema
Em diversos cenrios, costuma ser mais prtico, barato e com o mesmo retorno financeiro
alterar o modus operandi das reas impactantes e reestruturar os processos internos do que
alterar a tecnologia, que muito mais caro, apesar de parecer mais fcil e com maior
exposio pelo valor de capitalizao (CAPEX). Esse pode ser um ciclo vicioso gerador de
processos e do modus operandi ser comumente considerado um custo de OPEX. Por isso, na
que mantm ativos e ambientes de mdio e grande porte para armazenar dados na planta
viva por mais de 10 anos. Na maioria dos casos, isso ocorre pela falta de processos ou
TI, que investe montantes significativos na sua infraestrutura; por sua vez aumenta o tempo
aumentando por consequncia o valor futuro para reposio aps os equipamentos atingirem
o fim de vida; por consequncia aumenta o espao fsico alocado no Data Center, onde
associado a isso aumenta o foot print secundrio de carbono do Data Center. Ou seja um
problema interno transformado em um risco operacional com efeito domin que afeta vrios
setores da organizao, inclusive alguns que podem ser estratgicos como o ISE (ndice de
Concluso
Utilizar uma viso exclusivamente financeira para definir o valor dos riscos e do seu
que considera OPEX como despesa e CAPEX como investimento na viso pura e simples de
Para elevar o potencial do tratamento do risco, vlido estruturar uma viso onde so
Referncias
Damodaran, Aswath. Strategic Risk Taking: A Framework For Risk Management. Second
ISO 31000
ITIL