Gestão de riscos em TI

Prévia do material em texto

GESTÃO DE RISCOS EM TI 
W
BA
04
53
_v
1.
0 
 
 
 
 
Proposta de Resolução 
Autoria: Márcio dos Santos 
Leitura crítica: Cecilia Sosa Arias Peixoto 
 
Como os passos estão bem definidos, eles precisam ser executados seguindo 
certa ordem. 
• Os itens “a” e “b” precisam ser os primeiros, pois eles embasarão os 
demais;. 
• Os itens “c”, “d” e “e” deverão vir em sequência, não necessariamente 
nesta ordem. 
• Por fim, os itens “f” e “g” deverão fechar o pacote de ações, nesta 
ordem. 
POSSIBILIDADE: como os objetivos estão pré-definidos, a abordagem mais 
assertiva está descrita a seguir. Ela pode se ramificar em subopções e 
subações, mas essas devem ficar dentro dos padrões pregados pela 
bibliografia do segmento. 
Para se atingir o objetivo “a”, será necessário realizar uma reunião com o alto 
escalão da XYZ Cosméticos. Como se trata de governança de TI (GTI), se o 
alto escalão não der o apoio necessário, todos os passos seguintes estarão 
fadados ao fracasso. Nesta reunião, a real visão da GTI deve ser apresentada, 
elucidando o papel de cada membro que a compõe e exprimindo a importância 
de sua atuação efetiva para o sucesso da organização como um todo. 
Esta cultura deve ser passada a todos os membros da governança de TI e 
estes, por sua vez, devem disseminar o mesmo pensamento e compromisso 
dentro de seus respectivos departamentos. Entende-se que este é um 
processo de quebra de paradigmas e que talvez precise de mudanças, 
adaptações e melhorias (compreenda que faz parte de seu trabalho prover uma 
melhoria contínua dos processos, adaptando situações para se atingir a 
excelência). 
Com o objetivo “a” em atividade e começando a caminhar dentro das métricas 
necessárias, ou seja, com a organização tendo uma visão correta quanto à 
governança de TI, é hora de iniciar uma reestruturação da gestão de riscos em 
TI. Neste ponto, deve-se considerar uma análise de cada departamento da 
XYZ Cosméticos, fazendo uma análise de contexto setorial e conhecendo as 
brechas, os gargalos e a rotina departamental. Esta base de conhecimento 
contribuirá para descoberta das ameaças e dos ativos da organização. 
 
 
 
Cada setor, departamento e subsetor deverá gerar um relatório sobre os 
processos que são executados, elencando em detalhes cada ação, bem como 
as possíveis ameaças existentes. Para cada ameaça descoberta, deve ser 
estabelecido um plano de tratamento, com estipulação de prazos e perdas. Um 
apontamento do ponto de origem da ameaça também é importante para que 
seja possível realizar o tratamento necessário. 
Com os objetivos “a” e “b” encaminhados, cabe agora uma tratativa no ponto 
que mais é carente dentro da organização: a recuperação de desastres e a 
continuidade dos negócios. 
Você deverá utilizar como referência as informações passadas na análise de 
contexto e descoberta de ameaças e, com base em uma análise estatística, 
analisar qual a probabilidade de ocorrência de determinada ameaça e quais as 
chances de ela – a ameaça – se concretizar. Neste ínterim, você deverá atribuir 
prioridades no tratamento dos riscos, bem como estimar a média de tempo 
necessário para correção de erros e falhas (recomenda-se o uso das métricas 
ITIL para isso). Alguns riscos não precisam ser tratados, caso o esforço ou 
emprego financeiro seja mais alto que os benefícios de seu tratamento. 
O estabelecimento do plano de continuidade dos negócios e plano de 
recuperação de desastres terá como norte as informações advindas da etapa 
anterior e deve especificar em detalhes os passos que serão tomados para se 
manterem as atividades em funcionamento – ainda que em ritmo reduzido –, 
além de apontar a forma como as atividades seriam normalizadas em caso de 
desastre de origens diversas. 
Adentrando já nos critérios preventivos, no objetivo “f”, você deverá guiar o time 
de governança de TI no estabelecimento de controles, visando a segurança da 
informação. Estes controles podem incluir: 
• Restrição de acesso físico. 
• Restrição de acesso virtual (usuário e senha em sistemas). 
• Boas práticas no tráfego de informações. 
• Redução no tráfego de informações por meio físico (papel) e priorização 
de tráfego digital e criptografado utilizando chaves assimétricas. 
• Estabelecimento de segurança em redes por meio de IPS, IDS e DMZ. 
• E outros critérios que você julgar como necessários. 
Todos esses objetivos citados culminarão em resultados que também deverão 
ser analisados para mensurar a evolução. Para isso, você poderá estabelecer 
um quadro comparativo com alguns campos (apenas modelo): 
 
 
 
 
Quadro 1 – Modelo de comparativo de riscos por período 
RISCO ANTES (jan./2019-
jun./2019) 
DEPOIS (jan./2020-
jun./2020) 
Quebra de 
segurança no 
tráfego de 
informações por 
meio físico 
Número de ocorrências Número atual de 
ocorrências 
Vazamento de 
informações por 
meio de ativos 
internos 
(intencional) 
Número de ocorrências Número atual de 
ocorrências 
Dano ou perda 
de dados por 
ocorrência de 
malware 
Número de ocorrências Número atual de 
ocorrências 
Fonte: elaborado pelo autor. 
Este quadro é apenas uma forma de ilustrar a maneira como esta mensuração 
pode ser realizada. É importante que este quadro seja o mais completo 
possível e consiga cobrir todas as ameaças e riscos elencados durante o 
processo de gestão de riscos, pois ele servirá de base para o próximo estágio, 
“g”, que é o estabelecimento de melhoria contínua dos processos. Nesta etapa, 
espera-se que você consiga enxergar possíveis pontos de mudança 
necessários e realizar adaptações continuamente dentro de todo o processo. 
CONCLUSÃO 
Como o processo de gestão de riscos em TI é algo sequencial e os objetivos já 
foram previamente estabelecidos com base nas bibliografias que regem o 
tema, existe basicamente um caminho lógico a ser seguido, ainda que dentro 
deste caminho seja possível escolher opções diversas para realizar uma ação. 
Desta forma, após conscientizar toda a organização a respeito da adoção de 
uma cultura de governança de TI, faz parte de seu trabalho estruturar todos os 
critérios de gestão de riscos, ouvindo os departamentos para estabelecer 
contextos de ameaças, elaborar planos de recuperação de desastres e 
continuidade de negócios, implantar controles, visando a segurança da 
informação, realizar testes para validar as escolhas e mudanças feitas e, por 
fim, realizar a melhoria contínua de todos os processos. 
 
 
 
 
	GESTÃO DE RISCOS EM TI
	Proposta de Resolução
	Autoria: Márcio dos Santos
	Leitura crítica: Cecilia Sosa Arias Peixoto