5 passos para reduzir os riscos em TI

Muitas organizações dependem de forma crítica do desenvolvimento dos seus sistemas de informação e comunicação. De forma geral, tais sistemas existem com o objetivo de ajudar no processo evolutivo da corporação, garantindo que operações automatizadas e medidas estratégicas sejam tomadas quando necessário.

Ainda assim, o fato é que mesmo tecnologias tão benéficas à organização devem ser usadas com sabedoria e cautela. A adoção desenfreada e má gestão das tecnologias já em uso pode guiar a empresa a cenários caóticos, como apontado por Ekinci, Sharma e Stone (2009).

Dessa forma, tendo em vista que a gestão de riscos em TI é um campo de estudos bastante vasto, com este artigo quero apresentar, mesmo que de forma resumida e simplificada, cinco passos para reduzir os riscos em TI em ambientes organizacionais.

O que são riscos em TI?

Os riscos em TI podem ser essencialmente visto pela fórmula Risco = vulnerabilidade* ameaça. Em outras palavras, é possível avaliar o risco de acordo com a fragilidade/vulnerabilidade do sistema em questão em relação ao nível de ameaças a ele.

Portanto, quando o número de vulnerabilidades ou o de ameaças for suficientemente pequeno (aproximando-se de 0), o risco será cada vez mais baixo e tenderá a ser menor. Traduzindo, se não existem ameaças para um sistema, então o número de vulnerabilidades não altera o risco envolvido e vice-versa.

Ainda assim, em âmbitos empresariais fala-se também em nível do risco, já que o risco, por si só, não nos mostra a necessidade de investimentos em segurança e gestão de TI. O nível do risco é obtido quando se avaliam os prejuízos envolvidos caso o risco venha a ocorrer. Para simplificar, temos a fórmula: Nível do Risco= risco * valor do ativo * consequências, onde as consequências são os pontos negativos da ocorrência do risco. Esse indicador é muito importante para que as organizações possam melhor distribuir os investimentos em segurança da informação, visto que a partir dele é possível “pesar” o risco e os prejuízos envolvidos, e assim focar em pontos de maior interesse.

Entre os riscos em TI estão a falha do software/hardware, erro humano, vírus, ataques maliciosos e causas naturais, como um incêndio, por exemplo. Além disso, o roubo de informações confidenciais pode causar prejuízos enormes, o que tem se tornado um dos maiores motivos para grandes investimentos em gestão de TI e segurança da informação. Em se tratando de riscos com o uso de TI, a ideia é minimizá-los ao máximo para que não venham a ocorrer e, ainda assim, conhecer e preparar-se para os diversos cenários.

Como reduzir os riscos em TI?

A seguir, são apresentados cinco dos sete passos citados por Blood-Rojas (2017) em seu artigo sobre a redução de riscos tecnológicos.

1. Identificar os riscos chave e avaliar a probabilidade e impacto

É comum a contratação de especialistas em TI neste processo. As empresas buscam identificar as áreas de maior preocupação, além de avaliar a probabilidade de ocorrência de um risco, bem como os seus possíveis impactos. Nesta etapa encaixam-se os riscos cujo impacto, caso venham a ocorrer, seja muito elevado e influencie de maneira crítica na sobrevivência da organização. O objetivo aqui é identificar as chances de ocorrência de um risco, minimizá-las e criar planos de ação, tanto para evitar o risco quanto para lidar com um cenário pessimista.

1. Analisar ameaças à segurança da informação

A organização deve identificar as vulnerabilidades de segurança, sejam elas relacionadas a ataques externos ou até mesmo que partam de dentro da própria empresa. Além disso, os requisitos mínimos de segurança devem ser revisados em algumas áreas, como no acesso e controle dos sistemas usados, autorização de transações e integridade de dados. Por fim, também é importante uma sequência de testes, de forma a levantar possíveis vulnerabilidades e verificar o funcionamento de sistemas de backup.

1. Analisar o risco de falha de software ou hardware

As organizações devem considerar o risco de falha de hardware e/ou software, de modo a identificar as consequências e procedimentos em casos onde a falha ocorra. De tempos em tempos é importante verificar o quão estável são os equipamentos e tecnologias utilizadas.

1. Verificar riscos de contratação de terceiros

A contratação de terceiros é um processo bastante comum nas organizações, e é importante ter muita cautela durante a contratação de empresas terceirizadas. Dessa forma, recomenda-se a avaliação da prestação de serviço, bem como dos princípios da empresa contratada, de maneira que as políticas de segurança e redução de riscos da organização não sejam comprometidos.

1. Medindo impacto

Caso sua organização tenha informações sigilosas roubadas, por exemplo, que tipo de impacto ela sofreria? O cálculo do impacto pode ser visto como o prejuízo causado pela ocorrência de um risco. Além disso, ele ajuda na decisão da implementação de políticas de gestão de TI. De acordo com os prejuízos envolvidos é possível optar por políticas de segurança e gestão de TI que mais se adequam aos seus cenários.

Concluindo

O Fusion Platform pode ser um importante aliado na gestão de TI, principalmente pelo seu módulo Analytics, que de maneira precisa pode representar tanto o risco quanto o nível de risco envolvidos em uma análise.

Dessa forma, é possível que os responsáveis tenham maior precisão na distribuição dos investimentos em segurança da informação e consigam reduzir o cenário de riscos em TI. Além disso, o Fusion também pode ser usado como uma ferramenta do gestor de TI, pois com ele será possível abrir chamados de suporte, por exemplo.

Para saber mais sobre o Fusion Platform, acesse nosso site.

Referências
Trade Ready, Springer