Riscos sempre vão existir quando se trata de ações de negócio. Por isso, não devem ser evitados, mas identificados, planejados e gerenciados.
Antecipar problemas sempre é melhor: pensar em tomadas de decisões, saber quais são as consequências positivas ou negativas e como determinadas ações podem levar a situações arriscadas.
Por isso, para realizar a gestão de riscos de TI, foque nos mais prováveis e perigosos, deixando os outros de impactos menores com prioridade menor.
Cuidado, porque decisões de negócios, projetos ou operações ocorrem em fases. Assim, a probabilidade do risco muda em diferentes pontos ao longo do caminho.
Ser ponderado é sempre interessante, assumir a possibilidade mais provável, independente se são piores ou melhores cenários. Pensar em maneiras para mitigar o risco é outra abordagem que colabora para o gerenciamento de riscos em projetos.
Busque observar a ocorrência de possíveis riscos secundários junto com cada esforço para mitigar os primários. Quanto mais tempo você planejar e se preparar, melhor será sua gestão de riscos de TI.
Ao analisar determinado cenário pela ótica dos métodos ágeis, os riscos possuem uma maneira peculiar de serem planejados e gerenciados: são encarados como oportunidades.
Por sua vez, ameaças podem ser analisadas de forma proativa e contínua durante o projeto. Assim, é possível identificar, avaliar, definir curso de ações e atuar.
Se você quer entender melhor o que é gerenciamento de risco, qual o papel da governança de TI nesse processo e conhecer exemplos de riscos de TI, continue a leitura deste artigo. Vamos explicar tudo isso a você!
O que é gestão de risco de TI?
O gerenciamento de riscos de TI, ou “gestão de riscos de segurança da informação”, consiste em políticas, procedimentos e tecnologias que uma empresa usa para mitigar ameaças de agentes mal-intencionados e reduzir vulnerabilidades que afetam negativamente a confidencialidade, integridade e disponibilidade dos dados.
< Sugestão de leitura: Qual a diferença entre TI e SI? Conheça as áreas />
Qual o papel da governança de TI na gestão de riscos?
A governança de TI é um elemento da governança corporativa destinado a melhorar o gerenciamento geral de TI e obter maior valor do investimento em informação e tecnologia.
Segundo o IT Governance Institute, braço da ISACA (uma associação profissional internacional focada em governança de TI), a gestão de riscos é um dos cinco domínios da governança em tecnologia da informação. Os outros quatro são:
- entrega de valor;
- alinhamento estratégico;
- gestão de desempenho;
- gestão de recursos.
Assim, as estruturas de governança de TI permitem que as organizações gerenciem seus riscos na área de forma eficaz e garantam que as atividades associadas às informações e à tecnologia estejam alinhadas com seus objetivos gerais de negócios.
Exemplos de riscos de TI
Os riscos de TI incluem falhas de hardware e software, erro humano, spam, vírus e ataques maliciosos, bem como desastres naturais, como incêndios ou inundações.
Confira abaixo uma lista com os riscos de segurança de tecnologia mais comuns:
1. Phishing
Phishing é o uso de e-mails ou telefonemas fraudulentos para obter informações confidenciais, como números de contas bancárias, informações de cartão de crédito ou senhas.
2. Malware
Software malicioso (ou “malware”) é qualquer software que tenha uma intenção prejudicial. Ele pode roubar ou corromper suas informações, fazer com que os sistemas falhem ou gravar secretamente sua atividade no computador.
O malware normalmente infecta um computador após um ataque de phishing ou um funcionário baixando acidentalmente arquivos infectados.
3. Wi-Fi e trabalho remoto
Um sistema wifi mal protegido pode deixar sua empresa vulnerável a um hacker dentro do alcance de sua rede. Ele pode obter informações confidenciais, danificar seus sistemas ou instalar ransomware (software que bloqueia o acesso a computadores ou arquivos até que um resgate em dinheiro seja pago).
4. Senhas fracas
Senhas de funcionários mal escolhidas – por exemplo, uma sequência lógica de números, como 1234 – podem aumentar a exposição da sua empresa a riscos de segurança. Muitos problemas ocorrem quando os funcionários escolhem senhas que são facilmente deduzidas por pessoas não autorizadas.
5. Descarte inadequado de equipamento antigo
O descarte inadequado de dispositivos antigos pode entregar a outra pessoa todas as suas informações comerciais. Se as informações forem muito confidenciais, excluir dados ou formatar o disco rígido pode não ser suficiente. Talvez seja necessário destruir fisicamente o computador ou contratar um especialista para fazê-lo.
< Leia também: O que é defesa cibernética e como iniciar uma carreira na área? />
Gestão de riscos de TI: como fazer?
Você pode realizar o gerenciamento de riscos em projetos concluindo uma avaliação de risco de negócios. Ter um plano de continuidade de negócios pode ajudar sua empresa a se recuperar de um incidente de TI. Quando um risco é identificado, é importante entender as causas possíveis, a área de incerteza e os potenciais efeitos.
Os procedimentos para gerenciar riscos em métodos ágeis passa pela:
- compreensão de várias técnicas para identificar riscos;
- avaliação e estimativa dos riscos identificados;
- priorização dos riscos;
- mitigação para desenvolvimento de estratégia apropriada para lidar com o risco;
- comunicação dos resultados para os stakeholders apropriados;
- determinação da sua percepção em relação a eventos de incerteza.
Perspectiva inovadora para a gestão de riscos em TI
Veja abaixo os cinco passos para gerenciar riscos em projetos de tecnologia da informação adotando métodos ágeis.
1. Identificação
- Revisar lições aprendidas;
- Checklist de riscos;
- Lista de riscos;
- Brainstorming e/ou Delphi;
- Estrutura analítica de riscos.
2. Avaliação
- Reunião de riscos;
- Árvore de decisões;
- Análises Pareto;
- Matriz de probabilidade X impacto;
- Valor monetário esperado
3. Priorização
- Priorizar riscos para obter um repositório com o que deve ser feito;
- Criar um processo de priorização de riscos
4. Estratégia
- Desenvolver estratégia apropriada para lidar com o risco;
- A resposta vai depender da probabilidade e impacto;
- Deve ser uma resposta proativa
5. Comunicação
- Comunicar os resultados para os stakeholders apropriados;
- Determinar a percepção dos stakeholders em relação a eventos de incerteza
Além disso, mesmo depois de aplicada a gestão de riscos de TI, é importante monitorar por tempo indeterminado o processo. Afinal, conforme a tecnologia avança, os riscos também mudam, o que requer uma cultura organizacional focada na melhoria contínua dentro da organização.
Agora que você já sabe o que é gestão de riscos de TI, leve seu conhecimento para o próximo nível! Faça um MBA em Gestão de TI e atue como gestor na área, realizando o planejamento estratégico de TI, definindo seus indicadores de gestão, gerenciando equipes e processos de governança. Matricule-se já!