Gestão de riscos de TI: como identificar e mitigar ameaças?

Riscos sempre vão existir quando se trata de ações de negócio. Por isso, não devem ser evitados, mas identificados, planejados e gerenciados.

Antecipar problemas sempre é melhor: pensar em tomadas de decisões, saber quais são as consequências positivas ou negativas e como determinadas ações podem levar a situações arriscadas. 

Por isso, para realizar a gestão de riscos de TI, foque nos mais prováveis e perigosos, deixando os outros de impactos menores com prioridade menor.

Cuidado, porque decisões de negócios, projetos ou operações ocorrem em fases. Assim, a probabilidade do risco muda em diferentes pontos ao longo do caminho. 

Ser ponderado é sempre interessante, assumir a possibilidade mais provável, independente se são piores ou melhores cenários. Pensar em maneiras para mitigar o risco é outra abordagem que colabora para o  gerenciamento de riscos em projetos. 

Busque observar a ocorrência de possíveis riscos secundários junto com cada esforço para mitigar os  primários. Quanto mais tempo você planejar e se preparar, melhor será sua gestão de riscos de TI. 

Ao analisar  determinado cenário pela ótica dos métodos ágeis, os riscos possuem uma maneira peculiar de serem planejados e gerenciados: são encarados como oportunidades. 

Por sua vez, ameaças podem ser analisadas de forma proativa e contínua durante o projeto. Assim, é possível identificar, avaliar, definir curso de ações e atuar.

Se você quer entender melhor o que é gerenciamento de risco, qual o papel da governança de TI nesse processo e conhecer exemplos de riscos de TI, continue a leitura deste artigo. Vamos explicar tudo isso a você!

O que é gestão de risco de TI?

O gerenciamento de riscos de TI, ou “gestão de riscos de segurança da informação”, consiste em políticas, procedimentos e tecnologias que uma empresa usa para mitigar ameaças de agentes mal-intencionados e reduzir vulnerabilidades que afetam negativamente a confidencialidade, integridade e disponibilidade dos dados.

< Sugestão de leitura: Qual a diferença entre TI e SI? Conheça as áreas />

Qual o papel da governança de TI na gestão de riscos?

A governança de TI é um elemento da governança corporativa destinado a melhorar o gerenciamento geral de TI e obter maior valor do investimento em informação e tecnologia.

Segundo o IT Governance Institute, braço da ISACA (uma associação profissional internacional focada em governança de TI), a gestão de riscos é um dos cinco domínios da governança em tecnologia da informação. Os outros quatro são: 

  1. entrega de valor;
  2. alinhamento estratégico;
  3. gestão de desempenho; 
  4. gestão de recursos. 

Assim, as estruturas de governança de TI permitem que as organizações gerenciem seus riscos na área de forma eficaz e garantam que as atividades associadas às informações e à tecnologia estejam alinhadas com seus objetivos gerais de negócios.

Exemplos de riscos de TI

Os riscos de TI incluem falhas de hardware e software, erro humano, spam, vírus e ataques maliciosos, bem como desastres naturais, como incêndios ou inundações. 

Confira abaixo uma lista com os riscos de segurança de tecnologia mais comuns:

1. Phishing

Phishing é o uso de e-mails ou telefonemas fraudulentos para obter informações confidenciais, como números de contas bancárias, informações de cartão de crédito ou senhas.

2. Malware


Software malicioso (ou “malware”) é qualquer software que tenha uma intenção prejudicial. Ele pode roubar ou corromper suas informações, fazer com que os sistemas falhem ou gravar secretamente sua atividade no computador. 

O malware normalmente infecta um computador após um ataque de phishing ou um funcionário baixando acidentalmente arquivos infectados.

3. Wi-Fi e trabalho remoto

Um sistema wifi mal protegido pode deixar sua empresa vulnerável a um hacker dentro do alcance de sua rede. Ele pode obter informações confidenciais, danificar seus sistemas ou instalar ransomware (software que bloqueia o acesso a computadores ou arquivos até que um resgate em dinheiro seja pago).

4. Senhas fracas

Senhas de funcionários mal escolhidas – por exemplo, uma sequência lógica de números, como 1234 – podem aumentar a exposição da sua empresa a riscos de segurança. Muitos problemas ocorrem quando os funcionários escolhem senhas que são facilmente deduzidas por pessoas não autorizadas.

5. Descarte inadequado de equipamento antigo

O descarte inadequado de dispositivos antigos pode entregar a outra pessoa todas as suas informações comerciais. Se as informações forem muito confidenciais, excluir dados ou formatar o disco rígido pode não ser suficiente. Talvez seja necessário destruir fisicamente o computador ou contratar um especialista para fazê-lo.

< Leia também: O que é defesa cibernética e como iniciar uma carreira na área? />

Gestão de riscos de TI: como fazer?

Você pode realizar o gerenciamento de riscos em projetos concluindo uma avaliação de risco de negócios. Ter um plano de continuidade de negócios pode ajudar sua empresa a se recuperar de um incidente de TI. Quando um risco é identificado, é importante entender as causas possíveis, a área de incerteza e os potenciais efeitos. 

Os procedimentos para gerenciar riscos em métodos ágeis passa pela:

  • compreensão de várias técnicas para identificar riscos;
  • avaliação e estimativa dos riscos identificados; 
  • priorização dos riscos;
  • mitigação para desenvolvimento de estratégia apropriada para lidar com o risco;
  • comunicação dos resultados para os stakeholders apropriados; 
  • determinação da sua percepção em relação a eventos de incerteza.

Perspectiva inovadora para a gestão de riscos em TI

Veja abaixo os cinco passos para gerenciar riscos em projetos de tecnologia da informação adotando métodos ágeis. 

1. Identificação

  • Revisar lições aprendidas;
  • Checklist de riscos;
  • Lista de riscos;
  • Brainstorming e/ou Delphi;
  • Estrutura analítica de riscos.

2. Avaliação

  • Reunião de riscos;
  • Árvore de decisões;
  • Análises Pareto;
  • Matriz de probabilidade X impacto;
  • Valor monetário esperado

3. Priorização

  • Priorizar riscos para obter um repositório com o que deve ser feito;
  • Criar um processo de priorização de riscos

4. Estratégia

  • Desenvolver estratégia apropriada para lidar com o risco;
  • A resposta vai depender da probabilidade e impacto;
  • Deve ser uma resposta proativa

5. Comunicação

  • Comunicar os resultados para os stakeholders apropriados;
  • Determinar a percepção dos stakeholders em relação a eventos de incerteza

Além disso, mesmo depois de aplicada a gestão de riscos de TI, é importante monitorar por tempo indeterminado o processo. Afinal, conforme a tecnologia avança, os riscos também mudam, o que requer uma cultura organizacional focada na melhoria contínua dentro da organização. 

Agora que você já sabe o que é gestão de riscos de TI, leve seu conhecimento para o próximo nível! Faça um MBA em Gestão de TI e atue como gestor na área, realizando o planejamento estratégico de TI, definindo seus indicadores de gestão, gerenciando equipes e processos de governança. Matricule-se já!

spot_img

Continue Aprendendo

spot_img