A Matriz de Riscos de TI como elemento estratégico de Gestão

MatrizRiscoTI

 

As questões ligadas à gestão de riscos associados à Governança Corporativa, em especial aos relacionamentos desta com a Governança de TI já são uma realidade no cenário empresarial brasileiro.  

Procurando-se na etimologia de palavra "Riscos" percebe-se que é frequentemente associada a algo negativo, é produto da incerteza de eventos futuros, fazendo parte das atividades executadas, assim de certo modo Empreender é gerir riscos, sendo que isto não é novo, assim como a etimologia da palavra "Segurança" tem origem no latim e significa "sem preocupações". Na definição mais comum "Segurança é uma mal a evitar". Portanto quando se analisa todos os aspectos ligados a Segurança em Geral e a Segurança da Informação em particular é imprescindível abordar a Gestão dos Riscos e com o crescimento das operações de negócios em direção aos sistemas de informação baseados em tecnologia fez com que os números de ameaças e de vulnerabilidades sobre as redes de computadores e comunicações aumentassem exponencialmente. Deste modo a avaliação dos "Riscos de TI" passam a ser estratégicos para a Gestão da Segurança e continuidade dos negócios.

 

 "Riscos de TI" é o risco associado ao uso, gerenciamento, operação, suporte, inovação, influência ou adoção de TI para dar suporte aos negócios da organização. Através da gestão de riscos com foco em TI torna-se possível controlar e identificar   os rumos tomados e aferir se as diretrizes estabelecidas estão de acordo com os objetivos da instituição. A gestão de riscos em TI atua, também, na garantia da confiabilidade dos indicadores de governança, possibilitando uma governança de TI comprometida com os objetivos estratégicos a serem alcançados, tornando o alinhamento de TI e negócio mais eficiente e eficaz, na medida que o resultante é uma organização mais estável através da continuidade de seus negócios.

 

Portanto, toda a organização, para cumprir a sua missão, necessita de um suporte efetivo de sistemas de informação e de serviços de tecnologia da informação correlatos. Neste contexto, o gerenciamento de riscos de TI tem um papel crítico na proteção dos ativos de informação da organização.

 

Vários são os desafios de estruturação e implementação de uma área de gestão de riscos dentro das empresas. A segurança da informação, vista frequentemente como um assunto ligado a tecnologia, passa a ser entendida cada vez mais como um processo de negócio, e consequentemente, uma grande vantagem competitiva para o mundo empresarial e neste sentido a MATRIZ DE RISCOS DE TI  é o caminho natural a ser adotado em qualquer planejamento que tem por meta a Analise de Impacto de cada ameaça.

 

A MATRIZ DE RISCO, considerando o processo de gerenciamento de risco, seja ele baseado no COSO ou na ISO 31.000, é um dos seus elementos mais importantes, pois permite determinar a partir de uma avaliação qualitativa do risco, a magnitude dos riscos identificados.

 

A MATRIZ DE RISCOS torna- se assim, o principal elemento para a determinação das estratégias de riscos e das respectivas respostas aos riscos.

 

A análise inicial parte do conhecimento das necessidades específicas que são demandas pelos negócios da empresa e os serviços de TI, sendo que neste caso a existência de um Catálogo de Serviços formal ajuda muito. O Catálogo de Serviços, conforme definido pelo ITIL, é um subconjunto do Portfólio de Serviços da Organização, que consiste de todos os serviços ativos e aprovados que podem ser oferecidos aos atuais e futuros clientes da TI na organização. É, inclusive, uma projeção da eventual capacidade do provedor de serviços de TI para entregar valor aos seus clientes (Office of Government Commerce, 2007).

 

Outro aspecto fundamental é saber exatamente quais são os Ativos/Recursos de TI. O mapeamento dos ativos de TI que atendem o Negócio é essencial à Governança de TI e geralmente, há uma relação "muitos para muitos" entre as funções de negócio e a infraestrutura de TI. Por exemplo, em um  determinado servidor é possível armazenar ambos, dados de negócios e sistemas automatizados de processamento de dados,  o qual pode suportar muitas funções de negócios. Por outro lado, ao contrário, uma única função de negócios pode invocar vários servidores. Sugerimos o uso de ferramentas automatizadas que possam gerar para os sistemas automatizados o relacionamento dos processos de negócio com os sistemas de TI.

 

Antes de tudo é necessário definir o perfil profissional dos envolvidos neste processo de avaliação dos riscos, sendo que podemos destacar as principais qualificações necessárias:

 

Principais Conhecimentos:

 

  • Conhecer quais são os riscos de TI e saber mensurá-los;
  • Saber determinar as formas de prevenção;
  • Saber monitorar o desempenho dos equipamentos.

 

Principais Habilidades

 

  • Ter capacidade de coordenação;
  • Saber analisar os riscos;
  • Saber tratar e criar estratégias de resolução de problemas.

 

O próximo passo importante é conhecer os Indicadores de Governança e avaliar seus desempenhos relacionados aos Riscos de TI. Por exemplo, se elegermos o indicador "Quantidade de Equipamentos de TI em uso", primeiro deve-se saber se é um Tipo de Indicador relacionado com o Desempenho ou com o Resultado, depois o que ele demonstra, sendo que pode ser uma Eficiência, uma Perda ou simplesmente o número de Computadores/ funcionário; Servidores/ funcionário; Impressoras/ funcionário, portanto a análise do contexto estratégico de cada um é fundamental, daí a necessidade de um profissional com conhecimentos, habilidade e competências para tal, conforme citamos anteriormente.

 

 

A seguir é importante definir a meta de cada indicador. Por exemplo, o indicador "Quantidade de Equipamentos de TI em uso dentro/fora da garantia" tem como meta "Garantir a disponibilidade e continuidade do serviço", sendo que esta meta deve estar dentro de um período definido, uma "Data de Revisão da Meta" e um critério para a "Avaliação Atual do Cumprimento da Meta".

 

Finalmente, quando temos os Riscos de TI identificados, podemos perceber, por exemplo:

 

  • Carência de uma melhoria contínua;
  • Inexistência de um Comitê para identificar, avaliar, prevenir e solucionar os Riscos de TI apresentados;
  • A atenção e cooperação dos envolvidos que devem prover informações e implantar os controles determinados;
  • Ausência de metas claras quanto à segurança das informações;
  • Falta de uma cultura de segurança;
  • Ausência de checklists;
  • Impossibilidade de quantificar e mensurar o impacto dos riscos.

 

 

Caso você queira saber como criar e implementar a MATRIZ DE RISCOS PARA TI para a sua organização participe de nosso Curso online elaboração de Matriz de Riscos de TI

 

 

 

Escrito por Administrator, postado segunda-feira, 9 de fevereiro de 2015. Link permanente. Siga com o RSS feed para este artigo. Você pode postar comentários.

Recomende

Comente

Contato
+11 4063-0077
+11 97344-2533
atendimento@grupotreinar.com.br
RSS
Sobre
Pesquisar por Curso ou Mentoria Minha Conta Entrevistas Crie Cursos Online Publique Conteúdos Contato Fórum Exclusivo
Cursos em destaque
Curso ISO 27000 Gestão de Projetos Curso fmea Forense Computacional Curso ITIL V3 Governança de TI Curso COBIT
MENTORIAS EM DESTAQUE
Mentoria sobre Governança Corporativa
Mentoria sobre Vendas Consultivas
Mentoria Gestão de Branding com Técnicas Teatrais
Mentoria para Empreendedores
Mentoria para Gestores de Equipes de Software
Copyright © 2020 GrupoTreinar
Confira também o FastSalas