Prévia do material em texto
GESTÃO DE RISCOS EM TI W BA 04 53 _v 1. 0 Proposta de Resolução Autoria: Márcio dos Santos Leitura crítica: Cecilia Sosa Arias Peixoto Como os passos estão bem definidos, eles precisam ser executados seguindo certa ordem. • Os itens “a” e “b” precisam ser os primeiros, pois eles embasarão os demais;. • Os itens “c”, “d” e “e” deverão vir em sequência, não necessariamente nesta ordem. • Por fim, os itens “f” e “g” deverão fechar o pacote de ações, nesta ordem. POSSIBILIDADE: como os objetivos estão pré-definidos, a abordagem mais assertiva está descrita a seguir. Ela pode se ramificar em subopções e subações, mas essas devem ficar dentro dos padrões pregados pela bibliografia do segmento. Para se atingir o objetivo “a”, será necessário realizar uma reunião com o alto escalão da XYZ Cosméticos. Como se trata de governança de TI (GTI), se o alto escalão não der o apoio necessário, todos os passos seguintes estarão fadados ao fracasso. Nesta reunião, a real visão da GTI deve ser apresentada, elucidando o papel de cada membro que a compõe e exprimindo a importância de sua atuação efetiva para o sucesso da organização como um todo. Esta cultura deve ser passada a todos os membros da governança de TI e estes, por sua vez, devem disseminar o mesmo pensamento e compromisso dentro de seus respectivos departamentos. Entende-se que este é um processo de quebra de paradigmas e que talvez precise de mudanças, adaptações e melhorias (compreenda que faz parte de seu trabalho prover uma melhoria contínua dos processos, adaptando situações para se atingir a excelência). Com o objetivo “a” em atividade e começando a caminhar dentro das métricas necessárias, ou seja, com a organização tendo uma visão correta quanto à governança de TI, é hora de iniciar uma reestruturação da gestão de riscos em TI. Neste ponto, deve-se considerar uma análise de cada departamento da XYZ Cosméticos, fazendo uma análise de contexto setorial e conhecendo as brechas, os gargalos e a rotina departamental. Esta base de conhecimento contribuirá para descoberta das ameaças e dos ativos da organização. Cada setor, departamento e subsetor deverá gerar um relatório sobre os processos que são executados, elencando em detalhes cada ação, bem como as possíveis ameaças existentes. Para cada ameaça descoberta, deve ser estabelecido um plano de tratamento, com estipulação de prazos e perdas. Um apontamento do ponto de origem da ameaça também é importante para que seja possível realizar o tratamento necessário. Com os objetivos “a” e “b” encaminhados, cabe agora uma tratativa no ponto que mais é carente dentro da organização: a recuperação de desastres e a continuidade dos negócios. Você deverá utilizar como referência as informações passadas na análise de contexto e descoberta de ameaças e, com base em uma análise estatística, analisar qual a probabilidade de ocorrência de determinada ameaça e quais as chances de ela – a ameaça – se concretizar. Neste ínterim, você deverá atribuir prioridades no tratamento dos riscos, bem como estimar a média de tempo necessário para correção de erros e falhas (recomenda-se o uso das métricas ITIL para isso). Alguns riscos não precisam ser tratados, caso o esforço ou emprego financeiro seja mais alto que os benefícios de seu tratamento. O estabelecimento do plano de continuidade dos negócios e plano de recuperação de desastres terá como norte as informações advindas da etapa anterior e deve especificar em detalhes os passos que serão tomados para se manterem as atividades em funcionamento – ainda que em ritmo reduzido –, além de apontar a forma como as atividades seriam normalizadas em caso de desastre de origens diversas. Adentrando já nos critérios preventivos, no objetivo “f”, você deverá guiar o time de governança de TI no estabelecimento de controles, visando a segurança da informação. Estes controles podem incluir: • Restrição de acesso físico. • Restrição de acesso virtual (usuário e senha em sistemas). • Boas práticas no tráfego de informações. • Redução no tráfego de informações por meio físico (papel) e priorização de tráfego digital e criptografado utilizando chaves assimétricas. • Estabelecimento de segurança em redes por meio de IPS, IDS e DMZ. • E outros critérios que você julgar como necessários. Todos esses objetivos citados culminarão em resultados que também deverão ser analisados para mensurar a evolução. Para isso, você poderá estabelecer um quadro comparativo com alguns campos (apenas modelo): Quadro 1 – Modelo de comparativo de riscos por período RISCO ANTES (jan./2019- jun./2019) DEPOIS (jan./2020- jun./2020) Quebra de segurança no tráfego de informações por meio físico Número de ocorrências Número atual de ocorrências Vazamento de informações por meio de ativos internos (intencional) Número de ocorrências Número atual de ocorrências Dano ou perda de dados por ocorrência de malware Número de ocorrências Número atual de ocorrências Fonte: elaborado pelo autor. Este quadro é apenas uma forma de ilustrar a maneira como esta mensuração pode ser realizada. É importante que este quadro seja o mais completo possível e consiga cobrir todas as ameaças e riscos elencados durante o processo de gestão de riscos, pois ele servirá de base para o próximo estágio, “g”, que é o estabelecimento de melhoria contínua dos processos. Nesta etapa, espera-se que você consiga enxergar possíveis pontos de mudança necessários e realizar adaptações continuamente dentro de todo o processo. CONCLUSÃO Como o processo de gestão de riscos em TI é algo sequencial e os objetivos já foram previamente estabelecidos com base nas bibliografias que regem o tema, existe basicamente um caminho lógico a ser seguido, ainda que dentro deste caminho seja possível escolher opções diversas para realizar uma ação. Desta forma, após conscientizar toda a organização a respeito da adoção de uma cultura de governança de TI, faz parte de seu trabalho estruturar todos os critérios de gestão de riscos, ouvindo os departamentos para estabelecer contextos de ameaças, elaborar planos de recuperação de desastres e continuidade de negócios, implantar controles, visando a segurança da informação, realizar testes para validar as escolhas e mudanças feitas e, por fim, realizar a melhoria contínua de todos os processos. GESTÃO DE RISCOS EM TI Proposta de Resolução Autoria: Márcio dos Santos Leitura crítica: Cecilia Sosa Arias Peixoto