Gestão de Riscos
1860 SeguidoresO que é Gestão de Riscos?
Em toda e qualquer atividade realizada no dia a dia, seja em contexto empresarial ou pessoal, existem riscos envolvidos, que nascem da incerteza a respeito do resultado que será obtido através de sua execução. Assim, temos a definição de risco: efeito da incerteza nos objetivos.
A Gestão de Riscos pode ser entendida como a administração da incerteza, de forma a minimizá-la a um nível aceitável*. No contexto empresarial envolve identificar, avaliar, analisar, tratar, comunicar e controlar adequadamente os riscos de forma a proteger o valor dos ativos organizacionais.
* Por aceitável entende-se: o grau de risco que a organização está disposta a correr no momento de planejar e executar suas atividades.
Além de estar presente como área de conhecimento em Gestão de Projetos e fazer parte dos processos de Governança de TI segundo o COBIT, dentro da área de Tecnologia da Informação, o tema merece destaque no contexto de Segurança da Informação, existindo inclusive uma norma específica denominada NBR ISO/IEC 27005: Técnicas de segurança – Gestão de riscos de segurança da informação.
A ISO 27005 é o conjunto de práticas mais referenciado quando se trata de riscos em Tecnologia da Informação. A norma descreve processo necessário para a gestão de riscos de segurança da informação e as atividades necessárias para a perfeita execução do sistema de Gestão voltado a esta finalidade.
O risco em segurança da informação é muitas vezes expresso em termos de uma combinação de consequências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade associada de ocorrência. Segundo a Norma ISO 2005, o processo de gestão de riscos para TI contribui para:
Convém que a gestão de riscos de segurança da informação deve envolver:
- Estabelecimento do contexto: definição de características empresariais que irão direcionar todo o processo.
- Identificação de riscos: quando riscos devem ser listados.
- Análise dos riscos: através da qual os riscos de TI devem ser qualificados em termos quantitativos e/ou qualitativos.
- Avaliação de Riscos: quando são decididas opções de tratamento / aceitação de riscos.
- Tratamento de riscos: executa as ações planejadas na atividade anterior.
- Comunicação riscos: necessária para que todas partes interessadas estejam atualizadas a respeito das ações tomadas ao longo de todo o processo.
- Monitoramento e Análise Crítica: para que riscos sejam controlados e ajustados sempre que necessário.