Consultório Portal GSTI #36 – As duas faces dos riscos de software
Para enviar as suas questões, dúvidas ou comentários para o "Consultório PortalGSTI" deverá utilizar o email: consultorio@portalgsti.com.br riscos do software
Caros leitores, muitas das vezes quando me perguntam o que faço respondo que “apoio as Organizações a conhecerem, entenderem e gerirem os
riscos relacionados com as Tecnologias de Informação ”. De entre todas estas palavras, “
Risco ” é sem dúvida aquela que mais se destaca levando a que maior parte das vezes a minha função seja associada a um “Arauto da desgraça”. Ameaças, vulnerabilidades, ataques, bloqueios, ou não-conformidades são algumas das palavras que surgem quando se começa a falar de Riscos de TI, motivo pelo qual tenho sempre de lançar sempre a "palavra-joker" no início de qualquer conversa: oportunidade! A definição de risco deve sempre ter em consideração um equilíbrio entre as ameaças e as oportunidades para que a gestão de risco possa contribuir de forma equilibrada para a proteção dos ativos e para a
criação de valor . Recentemente a
ISACA lançou o guia profissional “
COBIT 5 for Risk ”, tendo identificado alguns exemplos de cenários de riscos relacionados com as tecnologias de informação que poderão ser utilizados por profissionais de todo o mundo nas suas tarefas relacionadas com o
sistema de informação . Uma das principais novidades foi precisamente a identificação de exemplos de cenários risco escritos pela positiva e pela negativa, sendo possível em qualquer dos casos identificar uma probabilidade de ocorrência e um impacto para suportar uma adequada
gestão de risco . Aqui ficam os exemplos de cenários de risco para a categoria de Software:
| # | Exemplo de cenário pela negativa | Exemplo de cenário pela positiva |
| 1 | Incapacidade do software entregar os resultados desejados (desalinhamento com o modelo de negócio exigido ou mudanças organizacionais ). | O software utilizado estimula o geração de novas ideias. |
| 2 | Imaturidade do software (“early adopters”, erros, etc). |
| 3 | O software errado é escolhido para implementação ( custo , desempenho, recursos, compatibilidade, etc). | São realizadas análises e desenhados “ business case s ” para garantir a seleção adequada de software. |
| 4 | Existem falhas operacionais quando um novo software é operacionalizado . | Existe formação dos usuários e são realizados testes antes da decisão da passagem a produção para garantir uma transição suave do novo software e a continuidade do negócio . |
| 5 | Os usuários não conseguem usar e explorar as novas funcionalidades do software. |
| 6 | As modificações intencionais no software levam a dados errados ou ações fraudulentas. | O princípio dos “4 olhos” é utilizado em situações concretas de introdução/modificação de dados para assegurar a avaliação pelos pares e diminuir o estímulo para ações fraudulentas ou simplesmente a ocorrência de resultados inesperados. |
| 7 | As modificações não-intencionais no software levam a resultados inesperados. |
| 8 | Ocorrência de erros relacionados com o gerenciamento de configurações ou alterações. | O gerenciamento de configuração diminui o tempo de resolução de incidentes e o gerenciamento de problemas . |
| 9 | Mal funcionamento de software aplicativo crítico. | São realizados testes antes da decisão de “go-live” para garantir a disponibilidade e bom funcionamento do software. |
| 10 | Problemas recorrentes em software de sistema. |
| 11 | O software aplicativo é obsoleto (ex. tecnologia antiga , má documentação , manutenção dispendiosa , escalabilidade reduzida, pouca interoperabilidade) | As tecnologias de informação são um fator de inovação , garantindo uma interação entre as áreas de negócio e TI. |
| 12 | Incapacidade de regressar a versões anteriores em caso de problemas operacionais com as novas versões. | São definidas cópias de segurança e pontos de restauro de acordo com a importância do software para o negócio para garantir procedimentos de reversão. |
Num mundo em que a mudança é cada vez mais a palavra de ordem, ter a capacidade de gerir adequadamente os riscos de uma
Organizaçã o é um dos principais fatores críticos de sucesso para a criação de valor. Neste sentido, importa que criar as condições favoráveis para que as funções de risco sejam vistas como parceiras dos negócios, tendo sempre em mente que a cada probabilidade de ocorrência de um evento de perda existe uma probabilidade inversa de evento de ganho. Espero ter ajudado!
Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP® "The more you know, the less you no!"
Para enviar as suas questões, dúvidas ou comentários para o "Consultório PortalGSTI" deverá utilizar o email: consultorio@portalgsti.com.br Referências:
"COBIT 5 for Risk" Continue estudando gestão de riscos no Portal GSTI: