Baixe o app para aproveitar ainda mais
Prévia do material em texto
Autor: Prof. Ricardo Sewaybriker Colaboradores: Prof. Mauro Kiehn Profa. Christiane Mazur Doi Gestão e Análise de Riscos Professor conteudista: Ricardo Sewaybriker Pós-graduado em Gestão da Segurança da Informação pelo Instituto de Pesquisas Energéticas e Nucleares (Ipen-USP). Administrador profissional formado em Administração de Empresas pelas Faculdades Integradas Campos Salles (FICS). Professor da UNIP desde 2007. Profissional de segurança da informação, atuando em instituição financeira há 30 anos. © Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem permissão escrita da Universidade Paulista. Dados Internacionais de Catalogação na Publicação (CIP) S514g Sewaybriker, Ricardo. Gestão e Análise de Riscos / Ricardo Sewaybriker. – São Paulo: Editora Sol, 2021. 192 p., il. Nota: este volume está publicado nos Cadernos de Estudos e Pesquisas da UNIP, Série Didática, ISSN 1517-9230. 1. Riscos. 2. Governança. 3. Mapa. I. Título. CDU 658.012.2 U511.30 – 21 Prof. Dr. João Carlos Di Genio Reitor Prof. Fábio Romeu de Carvalho Vice-Reitor de Planejamento, Administração e Finanças Profa. Melânia Dalla Torre Vice-Reitora de Unidades Universitárias Profa. Dra. Marília Ancona-Lopez Vice-Reitora de Pós-Graduação e Pesquisa Profa. Dra. Marília Ancona-Lopez Vice-Reitora de Graduação Unip Interativa – EaD Profa. Elisabete Brihy Prof. Marcello Vannini Prof. Dr. Luiz Felipe Scabar Prof. Ivan Daliberto Frugoli Material Didático – EaD Comissão editorial: Dra. Angélica L. Carlini (UNIP) Dr. Ivan Dias da Motta (CESUMAR) Dra. Kátia Mosorov Alonso (UFMT) Apoio: Profa. Cláudia Regina Baptista – EaD Profa. Deise Alcantara Carreiro – Comissão de Qualificação e Avaliação de Cursos Projeto gráfico: Prof. Alexandre Ponzetto Revisão: Aline Ricciardi Ricardo Duarte Elaine Pires Sumário Gestão e Análise de Riscos APRESENTAÇÃO ......................................................................................................................................................7 INTRODUÇÃO ...........................................................................................................................................................7 Unidade I 1 INTRODUÇÃO A RISCOS ..................................................................................................................................9 1.1 Risco: o efeito da incerteza .................................................................................................................9 1.2 Princípios da gestão de riscos ......................................................................................................... 12 1.3 Estrutura da gestão de riscos .......................................................................................................... 14 1.4 Processo da gestão de riscos ........................................................................................................... 20 2 CONCEITUAÇÃO DE RISCOS E GOVERNANÇA ..................................................................................... 30 2.1 Medindo o risco .................................................................................................................................... 30 2.2 Governança, riscos e conformidade ............................................................................................. 37 2.3 Riscos e a segurança da informação: ABNT NBR ISO 27001 .............................................. 38 2.4 Equação do risco e a segurança da informação: visão executiva .................................... 40 Unidade II 3 INTRODUÇÃO À GESTÃO DO RISCO À SEGURANÇA DA INFORMAÇÃO .................................... 52 3.1 Terminologia de análise de risco à segurança da informação ........................................... 52 3.2 Estabelecendo a metodologia de análise e avaliação de risco .......................................... 60 3.3 Tratamento dos riscos à segurança da informação ............................................................... 65 3.3.1 Critérios de aceitação de risco .......................................................................................................... 67 4 FERRAMENTAS DE ESTUDO DO RISCO ................................................................................................... 68 4.1 Mapa de riscos: ferramenta de identificação ........................................................................... 76 4.2 Matriz de relevância ............................................................................................................................ 77 4.3 Análise preliminar de riscos (ARP) ................................................................................................. 78 Unidade III 5 GOVERNANÇA DOS RISCOS À SEGURANÇA DA INFORMAÇÃO ................................................... 91 5.1 Planejando o sistema de governança de riscos de segurança da informação ............ 91 5.2 Princípios da gestão de riscos ......................................................................................................... 96 5.3 Definindo os critérios para tratamento do risco de segurança da informação ........118 6 CONFORMIDADE E RISCO ..........................................................................................................................122 6.1 A conformidade e a segurança da informação ......................................................................123 6.2 O risco da conformidade .................................................................................................................130 Unidade IV 7 PROJETO DE IMPLANTAÇÃO DA GESTÃO DE RISCOS ......................................................................141 7.1 Definindo o projeto de implantação ..........................................................................................141 7.2 Estrutura para projetos ....................................................................................................................155 7.3 Desenvolvendo a metodologia de análise de riscos de segurança da informação ............. 160 8 RISCOS DE AUDITORIA ................................................................................................................................170 8.1 Identificando o risco na auditoria ...............................................................................................170 8.2 Analisando o risco de auditoria ....................................................................................................172 8.3 Elementos do risco de auditoria ..................................................................................................173 7 APRESENTAÇÃO Caros alunos, A gestão e análise de riscos tem como objetivo estabelecer o amplo entendimento de um assunto de grande relevância não apenas para a segurança das informações, mas para todas as áreas da corporação. Realizar análise de risco é algo corriqueiro, está presente no dia a dia de cada um e principalmente das corporações. O difícil nesse processo é estabelecer a melhor gestão para a tomada de decisão diante dos variados cenários de riscos devidamente mapeados por meio das análises de riscos que foram realizadas. Sendo assim, nosso objeto de estudo nos levará à compreensão da origem do risco em sua essência, passando pela aprendizagem, identificação e gestão dos riscos nas mais diversas áreas e, principalmente, para a segurança da informação. A nossa viagem do conhecimento inicia-se com as definições de risco, os agentes envolvidos que levam à mensuração do risco, os formatos de tratamento, as métricas utilizadas, a implantação de modelo internacionalmente reconhecido de análise e gestão de riscos, a estruturação da biblioteca de riscos e a consideração de como o risco de segurança da informação entra no processocorporativo de gestão de riscos. Dessa forma, ao término de nosso estudo, vamos descobrir que analisar o risco de segurança da informação é fascinante, pois possibilita a ponderação estratégica entre correr ou não o risco. Veremos que, quanto mais organizadas e estruturadas estiverem as informações sobre os riscos de segurança, melhor serão direcionados os investimentos e melhor será a performance do negócio, equalizando segurança e negócio, encontrando o equilíbrio necessário para aumentar os lucros sem perder o foco na segurança da informação. INTRODUÇÃO “Risco”: quando essa palavra é mencionada, a primeira impressão é que algo negativo ou perigoso está sendo dito, não nos damos conta de que o risco está presente no cotidiano, não apenas dos seres humanos, mas de todos os seres vivos de maneira geral. Não seria insanidade mencionar que o contato e a reação diante de uma situação de risco são quase que instintivos, o que leva à pergunta: será que os animais irracionais possuem a percepção de uma situação de risco, no seu extremo, o risco de morrer? A resposta a essa pergunta pode causar muitas controvérsias, mas a verdade é a seguinte: com o aprendizado e com a experiência de vida, até os animais irracionais reconhecem essas situações e tomam determinadas atitudes para lidar com elas. Se os animais irracionais aprendem com o risco, por que com o homem racional seria diferente? Os seres humanos desenvolvem estratégias para tratar essas situações de risco desde os primórdios da humanidade, e quanto mais informações sobre a forma e possibilidade de esses riscos ocorrerem, maiores serão as possibilidades de êxito no processo de gestão dos riscos. 8 Outro dado importante é que o risco evolui conjuntamente com a própria transformação tecnológica e social. Quem viveu no Brasil há quarenta anos lembra que o uso do cinto de segurança nos veículos era facultativo; mesmo seu uso seria pouco efetivo, uma vez que era composto por duas pontas que fixavam apenas a cintura do ocupante ao banco do veículo, deixando todo o seu tronco livre para a ação do risco de colisão. Aceitar esse risco nos dias atuais pode ser considerado uma loucura e passível de multa de trânsito, mas quando analisamos o momento histórico da sociedade daquela época, podemos perceber que a tecnologia da época e até mesmo o conhecimento tinham limitações. O aperfeiçoamento da tecnologia automotiva fez os carros andarem cada vez mais rápido, o que elevou o risco de morte dos ocupantes, obrigando o estudo da probabilidade de o risco se concretizar e dos impactos que ele poderia causar aos ocupantes nas mais variadas velocidades, surgindo, assim, o aprendizado sobre as probabilidades de risco de morte em colisões de trânsito. Esse fato e o maior controle de qualidade na produção fizeram a indústria da segurança automotiva evoluir, e todo o seu trabalho foi amparado na avaliação e gestão de riscos. Para a segurança da informação, não é diferente. Os riscos que enfrentávamos há quarenta anos são simplórios quando comparados aos riscos atuais e, provavelmente, os enfrentados hoje serão simplórios daqui a alguns anos. Dessa forma, devemos aprender a realizar a análise e gestão de riscos de maneira sistemática, considerando o processo, e não os riscos identificados, pois sabemos que os riscos se transformam, surgem ou desaparecem rapidamente. Cabe ressaltar que o risco pode ser negativo ou positivo, por exemplo, um apostador corre o risco de vencer, todavia, quando estudamos segurança da informação, a análise e gestão é focada no risco, no seu lado negativo. Quando o assunto é segurança da informação, a análise e a avaliação de riscos representam o início de tudo, a base para o estabelecimento dos controles tecnológicos, para o desenvolvimento das políticas, das normas e dos procedimentos corporativos de proteção que levam aos programas para conscientizar e educar sobre a segurança da informação, proporcionando a robustez necessária aos pilares da segurança da informação: a integridade, a disponibilidade e a confidencialidade das informações. 9 GESTÃO E ANÁLISE DE RISCOS Unidade I 1 INTRODUÇÃO A RISCOS 1.1 Risco: o efeito da incerteza Compreender o risco na sua essência não é algo complexo, uma vez que lidamos com ele desde sempre. Segundo a ABNT NBR ISO 31000 (2018), o risco é o efeito da incerteza, sendo que o efeito é entendido como um desvio em relação ao esperado. Para Galante (2015), estudar o risco é entender as suas origens, determinando as causas, os efeitos e os potenciais danos nas mais diversas atividades, estruturas, projetos e processos a fim de conseguir de forma profissional controlar e/ou mitigar seus efeitos sobre o aspecto abordado. É importante compreender que no final do processo de avaliação e análise de riscos, em qualquer que seja o contexto e com o uso de diversas ferramentas, os objetivos centrais almejados (figura a seguir) devem ser concluídos. Identificar antecipadamente os perigos em instalações, processos, produtos e serviços Quantificar os riscos associados para o homem, o meio ambiente e a propriedade Verificar os danos eventuais (consequências, severidade) e a frequência (probabilidade) de ocorrência Propor medidas para o seu controle Objetivos do estudo dos riscos Figura 1 – Objetivos de estudo dos riscos Basicamente, a busca pela melhor compreensão, tratamento e gestão de riscos está inserida em um processo, que, de forma bem resumida, pode ser definido em três etapas que serão aprofundadas no decorrer dos nossos estudos. 10 Unidade I Identificar ameaças e vulnerabilidades Estimar o risco de cada vulnerabilidade ser explorada (probabilidade e gravidade do dano) Decidir sobre a melhor forma de tratar o risco Figura 2 – Etapas do processo de gestão de riscos É importante verificar a origem dos riscos e a necessidade de seguir as melhores práticas nas análises de riscos. É essencial considerar alguns aspectos como a cultura da empresa e sua predisposição ao risco, ressaltando que existem ramos de atividade que possuem regulamentações e leis rígidas a serem cumpridas, o que pode alterar a predisposição a correr riscos; geralmente, são áreas que influenciam diretamente a economia nacional e remetem a ela, a exemplo do sistema financeiro nacional. Quando o assunto é segurança da informação, as decisões sobre a criação da política, das normas, e a adoção de controles tecnológicos de segurança são alicerçadas e ocorrem após uma análise de riscos eficaz, mas não seria absurdo afirmar que tudo é amparado em uma prévia análise de riscos. Podemos enumerar diversos exemplos, desde atravessar uma rua dentro ou fora da faixa de pedestres até a decisão sobre a implantação de uma nova plataforma de petróleo. Sim! Tomamos decisões o tempo todo amparados nas análises de riscos. As organizações de sucesso possuem análises de riscos sistematizadas e devidamente profissionalizadas. A isso se dá o nome de “gerenciamento de riscos”. Para a ABNT NBR ISO 31000 (2018), as mais variadas organizações, de todos os tipos e tamanhos, são influenciadas por fatores externos e internos que tornam a tarefa administrativa incerta em relação aos objetivos desejados. Lembrando que gerenciar riscos é um processo interativo e que acaba ajudando as empresas no desenvolvimento da definição das estratégias para o alcance dos objetivos e na tomada de decisões importantes. Dessa forma, a gerência de riscos participa da governança e liderança, e é parte crucial na maneira como a organização é gerenciada em todas as esferas administrativas, levando à melhora do processo de gestão. 11 GESTÃO E ANÁLISE DE RISCOS O gerenciamento dos riscos deve estar ligado a todas as atividades de uma organização, e isso inclui a interação com as partes interessadas, devendo considerar os cenários externos e internos da organização, incluindo o comportamento humano e os fatores culturais. Observação Identificar os riscos e desenvolver medidaspara evitar suas consequências é tão antigo quanto a própria origem do homem. Podemos dizer que, se chegamos até aqui, foi porque nossos ancestrais mais remotos entenderam rapidamente essa necessidade. Não seria incorreto afirmar que a gestão de riscos é amparada em princípios, estruturas e processos, conforme as recomendações das melhores práticas definidas na ABNT NBR ISO 31000 (2018) e suas correlatas. Evidentemente, a maioria das organizações já exerce atuação total ou parcial nesses componentes, todavia, como a gestão de riscos é dinâmica, necessita estar em constante melhoria para a eficácia do processo. Com o intuito de facilitar o entendimento e padronizar as palavras e definições utilizadas para a análise de riscos, a ABNT NBR ISO 31000 (2018) propõe o que se mostra no quadro a seguir. Quadro 1 – Termos e definições Terminologia Descrição Risco ou efeito da incerteza Nota 1 de entrada: um efeito é um desvio em relação ao esperado. Pode ser positivo, negativo ou ambos, e pode abordar, criar ou resultar em oportunidades e ameaças Nota 2 de entrada: os objetivos podem apresentar diferentes aspectos e categorias e podem ser aplicados em diferentes níveis Nota 3 de entrada: o risco é normalmente expresso em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades Gestão de riscos Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos Parte interessada Pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada por uma decisão ou atividade Nota 1 de entrada: o termo “parte interessada” pode ser utilizado como alternativa a stakeholder Fonte de risco Elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco Evento Ocorrência ou mudança em um conjunto específico de circunstâncias Nota 1 de entrada: um evento pode consistir em uma ou mais ocorrências e pode ter várias causas e várias consequências Nota 2 de entrada: um evento pode também ser algo que é esperado, mas não acontece, ou algo que não é esperado, mas acontece Nota 3 de entrada: um evento pode ser uma fonte de risco 12 Unidade I Terminologia Descrição Consequência Resultado de um evento que afeta os objetivos Nota 1 de entrada: uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos, diretos ou indiretos, nos objetivos Nota 2 de entrada: as consequências podem ser expressas qualitativa ou quantitativamente Nota 3 de entrada: qualquer consequência pode escalar por meio de efeitos cascata e cumulativos Probabilidade Chance de algo acontecer Nota 1 de entrada: na terminologia de gestão de riscos, a palavra “probabilidade” é utilizada para se referir à chance de algo acontecer, não importando se definida, medida ou determinada, ainda que objetiva ou subjetivamente, qualitativa ou quantitativamente, e se descrita utilizando-se termos gerais ou matemáticos (como probabilidade ou frequência durante um determinado período de tempo) Controle Medida que mantém e/ou modifica o risco Nota 1 de entrada: controles incluem mas não estão limitados a qualquer processo, política, dispositivo, prática, ou outras condições e/ou ações que mantêm e/ou modificam o risco Nota 2 de entrada: controles podem nem sempre exercer o efeito modificador pretendido ou presumido Adaptado de: ABNT NBR ISO 31000 (2018). As terminologias apresentadas pela ABNT NBR ISO 31000 (2018) são referências aceitas por qualquer instituição ao redor do mundo e dessa maneira representam uma linguagem única e internacionalmente conhecida para a concepção, identificação, análise, gestão e tratamento dos riscos nas mais variadas formas e nos mais diversificados ramos de atividade. Lembrete É importante conhecer as terminologias de riscos utilizadas para identificar os agentes e as definições usadas pelo mercado. Isso ocorre para manter o padrão conhecido para a integração com as demais áreas, parceiros, reguladores e auditorias. 1.2 Princípios da gestão de riscos O importante em estabelecer a gestão dos riscos não é impedir as ações ou simplesmente adotar a política do terror; ao contrário, a intenção da gestão de riscos é a criação e a proteção de valor, conforme a ABNT NBR ISO 31000 (2018). Na figura a seguir, alguns princípios que levam à gestão eficaz dos riscos. 13 GESTÃO E ANÁLISE DE RISCOS Criação e proteção de valor Voltada para a melhoria contínua Estruturada e abrangente Atenta aos fatores humanos e culturais Personalizada Baseada na melhor informação disponível Inclusiva Integrada Dinâmica Figura 3 – Princípios da gestão de riscos Segundo a ABNT NBR ISO 31000 (2018), esses princípios são essenciais para gerenciar os riscos e devem ser respeitados antes do estabelecimento da estrutura e dos processos que vão suportar a gestão corporativa dos riscos. A implantação desses princípios possibilita a melhor compreensão e administração dos efeitos da incerteza que os riscos podem trazer. Quando analisamos esses princípios, é possível verificar que a visão deles pode ser: • Integrada: a visão dos riscos e sua gestão deve ser parte de todas as áreas da organização. • Estruturada e abrangente: o alcance dos resultados na gestão de riscos depende de uma abordagem estruturada e abrangente, que vai estabelecer modelos consistentes e comparáveis. • Personalizada: a estrutura e o processo de gestão de riscos devem refletir os cenários externos e internos da organização, bem como suas ambições particulares de resultados. • Inclusiva: todas as áreas interessadas devem ser envolvidas oportunamente. Isso traz a possibilidade de utilizar seus conhecimentos e suas percepções agregando e aprimorando a conscientização e a gestão estabelecidas de riscos. • Dinâmica: como anteriormente mencionado, os riscos são altamente voláteis, podem surgir e desaparecer conforme o avanço tecnológico ou as alterações nos contextos externos e internos das organizações. A gestão de riscos deve detectar e antecipar as mudanças e eventos, podendo assim gerir o risco, auxiliando a tomada de decisões. 14 Unidade I • Baseada na melhor informação disponível: manter sempre atualizadas as informações históricas, que são a principal base da gestão de riscos, pois possibilitam conhecer o passado. Isso, aliado às expectativas futuras, leva a gestão de riscos a considerar as limitações e incertezas ligadas a essas expectativas. Dessa forma, as informações devem ser claras e disponíveis para as áreas envolvidas direta e indiretamente. • Atenta aos fatores humanos e culturais: o comportamento e a cultura interferem diretamente nos aspectos da gestão de riscos em cada nível e estágio. • Voltada para a melhoria contínua: a gestão de riscos deve ser aprimorada continuamente por meio de aprendizado e experiências. 1.3 Estrutura da gestão de riscos É necessário implantar uma estrutura para suportar a gestão de riscos de forma profissional. A ABNT NBR ISO 31000 (2018) descreve como propósito da estrutura de gestão de riscos o de apoiar a organização na integralização da gestão de riscos em atividades relevantes e atribuições. Sendo assim, o sucesso da gestão de riscos depende da completa integração com a governança em todas as áreas da organização, inclusive compondo o processo corporativo de tomada de decisão, o que vai obrigatoriamente requerer apoio das partes interessadas e principalmente da alta direção. Segundo a ABNT NBR ISO 31000 (2018), o desenvolvimento de uma estrutura de gestão de riscos deve ser definido pela integração, concepção, implementação, avaliação e melhoria da gestão de riscos por meio dos mecanismos disponíveis na organização. Na figura a seguir, estão dispostos os componentes necessários que requerem o comprometimento da liderança, destacando a necessidade de que a organização avalie suas práticas e processos implantados para a gestão de riscos e encontre as brechas de atendimento, elaborando um plano de ação para complementarou alterar o rumo das suas ações voltadas à estrutura de análise de riscos. Integração Liderança e comprometimento ConcepçãoMelhoria Avaliação Implementação Figura 4 – Estrutura da gestão de riscos 15 GESTÃO E ANÁLISE DE RISCOS A ABNT NBR ISO 31000 (2018) salienta a necessidade de que os componentes da estrutura trabalhem em conjunto e sejam customizados para as necessidades de cada organização, destacando a liderança e o comprometimento. A alta direção e a área de conformidade, onde for aplicável, devem garantir que a gestão de riscos esteja integrada às demais atividades corporativas e que demonstre os comprometimentos descritos no quadro a seguir. Quadro 2 – Comprometimento da alta direção Comprometimento Descrição Personalizar e implantar todos os componentes da estrutura Emitir declaração ou política que estabeleça uma abordagem, um plano ou curso de ação da gestão de riscos Assegurar a alocação de recursos Assegurar que os recursos necessários sejam alocados para gerenciar riscos Atribuir autoridades e responsabilidades Atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados dentro da organização Lembrete O comprometimento da alta direção é crucial para o sucesso da implantação e manutenção da gestão e análise de riscos à segurança da informação de forma eficaz. A declaração formalizada da alta direção com a gestão de riscos auxilia a organização a: • alinhar a gestão de riscos com seus objetivos, sua estratégia e sua cultura; • reconhecer e abordar todas as obrigações, bem como os compromissos voluntários; • estabelecer a quantidade e o tipo do risco que pode ou não ser assumido para orientar o desenvolvimento de critérios, assegurando que sejam comunicados à organização e às suas partes interessadas; • comunicar o valor da gestão de riscos para a organização e suas partes interessadas; • promover o monitoramento sistemático de riscos; • assegurar que a estrutura de gestão de riscos permaneça apropriada ao contexto da organização. A alta direção é responsável por gerenciar riscos, enquanto os órgãos de conformidade têm a responsabilidade de supervisionar a gestão de riscos. Sendo assim, é necessária a aferição periódica dos processos de gestão de riscos para averiguar se estão em aderência com o estabelecido nos objetivos estratégicos da organização. Dessa forma, é necessário que esses órgãos: 16 Unidade I • assegurem que os riscos sejam adequadamente considerados no estabelecimento dos objetivos da organização; • compreendam os riscos aos quais a organização está exposta na busca de seus objetivos; • assegurem que os sistemas para gerenciar riscos estejam implementados e operem eficazmente; • assegurem que os riscos sejam apropriados no contexto dos objetivos da organização; • assegurem que a informação sobre esses riscos e sua gestão seja apropriadamente comunicada. Integração da gestão de riscos Tem como base o entendimento das estruturas e do contexto organizacional. As estruturas são diferenciadas conforme o seu propósito, suas metas e a complexidade da organização, todavia o risco deve ser gerenciado em todas as áreas da estrutura corporativa e, nesse sentido, todos devem gerenciá-lo. A governança deve orientar o foco da organização, suas relações externas e internas, as regras, os processos e as práticas necessárias para atingir seus objetivos. Nesse sentido, segundo a ABNT NBR ISO 31000 (2018), as estruturas de gestão refletem a direção da governança para a estratégia e os objetivos associados exigidos para atingir níveis desejados de desempenho sustentável e viabilidade em longo prazo. Implantar a responsabilização pela gestão dos riscos e os papéis de conformidade para a organização faz parte das atribuições da governança. Integrar de forma ampla a gestão de riscos é um processo dinâmico e interativo no qual convém que sejam adaptadas as peculiaridades e a cultura de cada corporação. Sendo assim, a ABNT NBR ISO 31000 (2018) orienta que a gestão de riscos seja uma parte do todo, e não separada do propósito organizacional, da governança, da liderança, do comprometimento estratégico, dos objetivos e das operações, fazendo assim parte do processo decisório em todas as esferas corporativas. Entendendo a organização e seu contexto Ao definir a estrutura de gerenciamento de riscos, as organizações devem examinar e compreender os contextos externos e internos. Na análise dos contextos externos, as corporações devem examinar diversos itens e alguns cenários. Essa análise não é definitiva, devendo considerar cada tipo de corporação. Entre os itens examinados, encontram-se: • fatores sociais, culturais, políticos, jurídicos, regulatórios, financeiros, tecnológicos, econômicos e ambientais, em âmbito internacional, nacional, regional ou local; 17 GESTÃO E ANÁLISE DE RISCOS • direcionadores prioritários e tendências que afetem os objetivos da organização; • relacionamentos, percepções, valores, necessidades e expectativas das partes interessadas externas; • relações e compromissos contratuais; • complexidade das redes de relacionamento e dependências. O exame do contexto interno da corporação também não está limitado aos preceitos elencados e, com certeza, deve considerar o ambiente e porte de cada organização. Nesse caso, abordam-se os seguintes itens: • a visão, a missão e os valores; • a governança, a estrutura organizacional, os papéis e as responsabilizações; • a estratégia, os objetivos e as políticas; • a cultura da organização; • as normas, as diretrizes e os modelos adotados pela organização; • as capacidades entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, propriedade intelectual, processos, sistemas e tecnologias); • os dados, os sistemas de informação e os fluxos de informação; • os relacionamentos com partes interessadas internas, considerando suas percepções e valores; • as relações contratuais e os compromissos; • as interdependências e as interconexões. Articulando o comprometimento com a gestão de riscos A alta direção e os órgãos de conformidade, quando aplicáveis, devem demonstrar e articular o seu comprometimento contínuo com a gestão de riscos por meio de uma política, uma declaração ou alguma outra forma que deixe claro o compromisso e que transmita a importância que o assunto tem para a alta direção e sua devida e contínua preocupação com a gestão de riscos, em que fiquem expostos estes exemplos de comprometimento: • propósito da organização para gerenciar riscos e vínculos com seus objetivos e outras políticas; • reforço da necessidade de integrar a gestão de riscos na cultura global da organização; 18 Unidade I • liderança da integração da gestão de riscos nas atividades principais do negócio e na tomada de decisão; • definição das autoridades, responsabilidades e responsabilizações; • disponibilidade dos recursos necessários; • maneira pela qual os objetivos conflitantes são tratados; • medição e relato no âmbito dos indicadores de desempenho da organização; • análise crítica e melhoria. É esperado que o comprometimento com a gestão de riscos seja amplamente comunicado às partes interessadas na organização por meio de um plano de comunicação e treinamento completo, que pode incluir e-mail marketing, vídeos, treinamentos e palestras. Atribuindo papéis organizacionais, autoridades, responsabilidades e responsabilizações A alta direção e o órgão de conformidade, quando necessário, devem assegurar que as autoridades, responsabilidades e responsabilizações para os papéis relacionados à gestão de riscos sejam atribuídas e devidamente comunicadas a todas as áreas da organização, sendo, assim, prudente: • enfatizar que a gestão de riscos é uma responsabilidade principal; • identificar os indivíduos que possuam responsabilização e tenham autoridade para gerenciar riscos, os chamados “proprietários dos riscos”. Alocando recursos A alta direção e o órgão de conformidade, quando necessário,devem assegurar a alocação de recursos apropriados focada na gestão de riscos, que deve incluir, entre outros: • pessoas, habilidades, experiência e competência; • processos, métodos e ferramentas da organização a serem usados na gestão de riscos; • processos e procedimentos documentados; • sistemas de gestão da informação e do conhecimento; • treinamento e desenvolvimento profissional. 19 GESTÃO E ANÁLISE DE RISCOS Nesse sentido, é importante que a organização considere as capacidades e restrições dos recursos existentes. Estabelecendo comunicação e consulta É necessário que se estabeleça um plano de comunicação e consulta devidamente aprovado que apoie a estrutura e viabilize a aplicação eficaz da gestão de riscos. A comunicação deve compartilhar as informações com públicos-alvo. Já a consulta envolve o fornecimento de retorno pelos participantes com o intuito de contribuir para as decisões, seu subsídio ou outras atividades. Os métodos e os conteúdos das comunicações e consultas devem expor de forma clara as expectativas das partes interessadas quando for necessário. A ABNT NBR ISO 31000 (2018) indica que a comunicação e a consulta devem ser devidamente oportunas, assegurando que as informações pertinentes sejam coletadas, consolidadas, sintetizadas e compartilhadas com o apropriado retorno e que esse retorno seja fornecido juntamente com as melhorias a serem implementadas. Implementação A organização deve implantar a estrutura de gestão de riscos pensando em: • desenvolver um plano apropriado, incluindo prazos e recursos; • identificar onde, quando e como os diferentes tipos de decisões são tomados pela organização, e por quem; • modificar os processos de tomada de decisão aplicáveis, quando necessário; • garantir que os arranjos da organização para gerenciar riscos sejam claramente compreendidos e praticados. Para poder ser considerada uma implementação de sucesso de estrutura, serão necessários o comprometimento e a conscientização das partes interessadas, possibilitando, assim, que as organizações mapeiem explicitamente a incerteza da tomada de decisão, ao mesmo tempo que asseguram que qualquer incerteza nova ou posterior possa ser identificada assim que ocorra. Quando concebida e implantada de forma competente, a estrutura de gestão de riscos assegurará que o processo de gestão de riscos seja parte integrante de todas as atividades da organização, isso inclui a tomada de decisão e as mudanças nos contextos externos e internos que serão devidamente capturados e tratados. 20 Unidade I Avaliação A estrutura de gestão de riscos deve ser devidamente avaliada após sua implantação e, para isso, a organização cria mecanismos para avaliar a eficácia da estrutura definida: • mensuração periódica do desempenho da estrutura de gestão de riscos em relação ao seu propósito, planos de implementação, indicadores e comportamento esperado; • determinação de permanecer adequada para apoiar o alcance dos objetivos da organização. Melhorias É primordial que a organização monitore e se adapte de forma contínua à estrutura de gestão de riscos focada nas alterações externas e internas. Quando esse objetivo é atingido, a organização agrega valor ao negócio. Pelo processo de melhoria contínua, a organização deve melhorar de forma sistematizada e contínua a adequação, suficiência e eficácia da estrutura de gestão de riscos e a forma como o processo de gestão de riscos é integrado às demais áreas da organização. Assim que as diferenças e as oportunidades são identificadas, é necessário que a organização estabeleça planos de ação com tarefas definidas e considere os envolvidos responsáveis pela implantação. A ABNT NBR ISO 31000 (2018) afirma que, assim que as melhorias são implantadas, elas contribuem para o aprimoramento da gestão de riscos. A implantação da estrutura de gestão de riscos deve ser tratada como projeto pela corporação e, após a sua finalização, devem ser iniciadas as tratativas acopladas aos processos, utilizando alguma metodologia de ciclo de melhoria contínua, a exemplo do PDCA. Observação PDCA, do inglês plan – do – check – act ou adjust, é um método interativo de gestão de quatro passos. É uma ferramenta baseada na repetição, aplicada sucessivamente nos processos, buscando a melhoria de forma continuada para garantir o alcance das metas necessárias à sobrevivência de uma organização. 1.4 Processo da gestão de riscos A implantação dos processos de gestão de riscos requer aplicação sistemática de políticas, normas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecendo contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos. 21 GESTÃO E ANÁLISE DE RISCOS A figura a seguir demonstra a sequência lógica dos processos dentro da estrutura da gestão de riscos. Identificação de riscos Análise de riscos Avaliação de riscosCo m un ic aç ão e c on su lta Escopo, contexto e critério Tratamento de riscos Processo de avaliação de riscos Processo de gestão de riscos Registro e relato M onitoram ento e análise crítica Figura 5 – Processos de gestão de riscos Segundo a ABNT NBR ISO 31000 (2018), é importante que o processo de gestão de riscos faça parte, ou melhor, seja integrante da tomada de decisão e, dessa forma, esteja alinhado à estrutura, às operações e aos processos da organização, sendo, assim, aplicado aos níveis estratégicos, operacionais, de programas e de projetos. Existem diversas aplicações para o processo de gestão de riscos dentro de uma organização, que coexistem de forma personalizada com a missão de atingir os objetivos e se adequar aos contextos externos e internos nos quais são realizados. Verdadeiramente, a natureza dinâmica e variável do comportamento humano e cultural deve ser considerada ao longo do processo de gestão de riscos. Muitas vezes, o processo de gestão de riscos é apresentado como sequencial, quando, na verdade, na prática, é interativo. Comunicação e consulta O objetivo da comunicação é auxiliar as partes interessadas a compreender o risco, a base sobre a qual as decisões são tomadas e as razões pelas quais ações específicas são identificadas e exigidas. 22 Unidade I Dessa forma, a comunicação busca promover a conscientização e o entendimento do risco, enquanto a consulta expõe o retorno e a informação para ajudar na tomada de decisões. A ABNT NBR ISO 31000 (2018) recomenda que uma coordenação trabalhe de forma única entre as duas para facilitar a troca de informações factuais, oportunas, pertinentes, precisas e compreensivas, trazendo confidencialidade e integridade da informação, preservando o direito de privacidade dos indivíduos. Recomenda-se que ocorram comunicação e consulta às partes interessadas apropriadas externas e internas em cada etapa e ao longo de todo o processo de gestão de riscos. A comunicação deve se preocupar em: • reunir diferentes áreas de especialização para cada etapa do processo de gestão de riscos; • assegurar que pontos de vista diferentes sejam considerados apropriadamente ao se definirem critérios de risco e ao se avaliarem riscos; • fornecer informações suficientes para facilitar a supervisão dos riscos e a tomada de decisão; • construir um senso de inclusão e propriedade entre os afetados pelo risco. Escopo, contexto e critérios As definições de escopo, contexto e critérios tem como objetivo central personalizar o processo de gestão de riscos, possibilitando estabelecer uma avaliação de riscos eficaz e um tratamento de riscos apropriado ao escopo, contexto e critérios, o que envolve a própria definição de escopo do processo, levando à compreensão dos contextos externos e internos. A organização deve definir necessariamente um escopo de atuação para a gestão de riscos, uma vez que esse escopo vai nortear as ações e os processos. O processo de gestão de riscos deve ser aplicado em todos os níveis: estratégico, tático, operacional, emprogramas, em projetos e nas demais atividades, sendo muito transparente sobre o escopo considerado, os objetivos relacionados e seu devido alinhamento à estratégia organizacional. Ao ser planejada a abordagem, as considerações devem incluir: • objetivos e decisões que precisam ser tomadas; • resultados esperados das etapas a serem realizadas no processo; • tempo, localização, inclusões e exclusões específicas; 23 GESTÃO E ANÁLISE DE RISCOS • ferramentas e técnicas apropriadas para o processo de avaliação de riscos; • recursos requeridos, responsabilidades e registros a serem mantidos; • relacionamentos com outros projetos, processos e atividades. Contextos externo e interno Refere-se ao ambiente onde a organização estabelece as diretrizes para atingir seus objetivos. Nesse caso, é necessário, dentro do contexto do processo de gestão do risco, definir, a partir do entendimento dos ambientes externos e internos em que a organização opera, onde se torna importante uma ampla análise que reflita o ambiente específico da atividade em que o processo de gestão de risco está sendo aplicado. Isso é importante porque: • a gestão de riscos deve ocorrer no contexto dos objetivos e das atividades da organização; • fatores organizacionais podem ser uma fonte de risco; • propósitos e escopos do processo de gestão de riscos podem estar inter-relacionados com os objetivos da organização como um todo. A ABNT NBR ISO 31000 (2018) recomenda que a organização defina os contextos externo e interno relativos ao processo de riscos, considerando os fatores mencionados no item “Entendendo a organização e seu contexto”. Definindo critérios de riscos É necessário que a organização especifique a quantidade e o tipo de risco que pode ou não assumir em relação aos objetivos estratégicos, lembrando que esse critério pode variar de corporação para corporação. Algumas são mais e outras menos propensas a correr riscos, levando em conta as obrigações legais, regulatórias, culturais e dos próprios acionistas, se for o caso. A organização deve estabelecer os critérios para avaliar a significância do risco. Isso vai apoiar os processos de tomada de decisão. Os critérios de risco devem estar alinhados à estrutura de gestão de riscos e devem ser personalizados para o objetivo específico para o escopo da atividade em consideração. A ABNT NBR ISO 31000 (2018) recomenda que os critérios de riscos estejam alinhados aos valores, objetivos e recursos da organização e sejam consistentes com as políticas e declarações sobre a gestão de riscos. Os critérios de risco devem ser estabelecidos considerando as obrigações da organização e os pontos de vista das partes interessadas conforme apresentado. 24 Unidade I Seguindo recomendações, convém que os critérios de risco sejam definidos no início do processo de avaliação de riscos, pois eles são dinâmicos e é importante que sejam continuamente analisados criticamente e alterados sempre que necessário. Algumas recomendações para estabelecer os critérios de risco mencionam: • a natureza e o tipo de incertezas que podem afetar resultados e objetivos (tanto tangíveis quanto intangíveis); • como as consequências (tanto positivas quanto negativas) e as probabilidades serão definidas e medidas; • fatores relacionados ao tempo; • consistência no uso de medidas; • como o nível de risco será determinado; • como as combinações e sequências de múltiplos riscos serão consideradas; • a capacidade da organização. Processo de avaliação de riscos É o processo institucional que atende de forma geral toda a corporação, atuando na identificação de riscos, análise de riscos e avaliação de riscos. Segundo a ABNT NBR ISO 31000 (2018), é recomendado que o processo de avaliação de riscos seja operacionalizado de forma sistemática, iterativa e colaborativa, considerando os pontos de vista das partes interessadas. Outra situação que deve ser considerada é que se use a melhor informação disponível, complementada por uma investigação adicional caso necessário. Identificação de riscos Tem como objetivo encontrar, reconhecer e descrever os riscos que possam ajudar ou impedir que uma organização atinja seus objetivos, definindo as informações pertinentes, apropriadas e atualizadas no que se refere à identificação de riscos. Para atender à necessidade, existem várias técnicas para identificar as incertezas que podem afetar um ou mais objetivos. A ABNT NBR ISO 31000 (2018) recomenda alguns fatores e que no relacionamento entre esses fatores sejam considerados: • as fontes tangíveis e intangíveis de risco; • as causas e os eventos; 25 GESTÃO E ANÁLISE DE RISCOS • as ameaças e oportunidades; • as vulnerabilidades e capacidades; • as mudanças nos contextos externo e interno; • os indicadores de riscos emergentes; • a natureza e valor dos ativos e recursos; • as consequências e seus impactos nos objetivos; • as limitações de conhecimento e de confiabilidade da informação; • os fatores temporais; • os vieses, as hipóteses e as crenças dos envolvidos. É prudente que a organização identifique os riscos, independentemente de suas fontes estarem ou não sob controle, pois é completamente aceitável que possa haver mais de um resultado, o que pode possibilitar uma variedade de consequências tangíveis e intangíveis. Análise de riscos O objetivo da análise de riscos é compreender a natureza do risco e suas características, incluindo o nível de risco, quando apropriado. Ressaltando que a análise de riscos deve considerar o detalhamento das incertezas, as fontes de riscos, as consequências, as probabilidades, os eventos, os cenários, os controles e sua eficácia. Tendo em mente que um evento pode ter inúmeras causas e pode afetar múltiplos objetivos simultaneamente. Dessa forma, a análise de risco deve ser realizada em diversos níveis de detalhamento e complexidade, isso dependendo do propósito da análise da disponibilidade e da confiabilidade da informação e dos recursos disponíveis. As corporações devem definir as técnicas que serão utilizadas para a análise de riscos, podendo ser quantitativas ou qualitativas ou até mesmo uma junção de ambas, dependendo da ocasião e do uso pretendido. A ABNT NBR ISO 31000 (2018) recomenda que as análises de riscos considerem fatores como: • a probabilidade de eventos e consequências; • a natureza e magnitude das consequências; • a complexidade e conectividade; 26 Unidade I • os fatores temporais e a volatilidade; • a eficácia dos controles existentes; • a sensibilidade e os níveis de confiança. A análise de risco pode ser influenciada por quaisquer divergências de opiniões, vieses de percepções dos riscos e julgamentos. Deve ser amparada, sim, pela qualidade das informações utilizadas, pelas hipóteses e exclusões realizadas e quaisquer limitações das técnicas utilizadas e como elas são executadas. Deve-se garantir que seja considerada, documentada e devidamente comunicada aos tomadores de decisão. Existem eventos altamente incertos que são difíceis de quantificar. Isso pode levar a um problema ao analisar eventos com consequências severas. Para esses casos, deve-se utilizar uma combinação de técnicas que fornecerá melhor compreensão. A análise de risco é capaz de fornecer uma entrada para a avaliação de riscos a fim de decidir sobre o risco que necessita ser tratado, como o será, sobre a melhor estratégia para tratá-lo, bem como os métodos mais apropriados para o tratamento dos riscos. Os resultados geram a obtenção do discernimento para a tomada de decisões. As escolhas devem ser realizadas entre as distintas opções que envolvam diferentes tipos de riscos. Avaliação de riscos O objetivo da avaliação de riscos é suportar as decisões, o que envolve a comparação dos resultados da análise de riscos com os critérios de risco previamente estabelecidos para determinar quando é necessária uma ação adicional, e isso pode levar à decisão sobre: • não fazer mais nada; • considerar as opções de tratamentode riscos; • realizar análises adicionais para melhor compreender o risco; • manter os controles existentes; • reconsiderar os objetivos. A ABNT NBR ISO 31000 (2018) recomenda que as decisões considerem o contexto mais amplo e as consequências reais percebidas para as partes interessadas externas e internas. A norma também afirma que o resultado da avaliação de riscos deve ser registrado, comunicado e então validado nos mais variados níveis hierárquicos definidos pela organização. 27 GESTÃO E ANÁLISE DE RISCOS Tratamento de riscos O principal objetivo é selecionar e implementar as opções para abordar riscos. Dessa maneira, o tratamento do risco envolve sempre processos interativos de: • formular e selecionar opções para tratamento do risco; • planejar e implementar o tratamento do risco; • avaliar a eficácia desse tratamento; • decidir se o risco remanescente é aceitável; • e, se não for aceitável, realizar tratamento adicional. Seleção de opções de tratamento de riscos Selecionar a(s) opção(ões) mais apropriada(s) de tratamento do risco envolverá o balanceamento entre benefícios potenciais derivados em relação ao alcance dos objetos, face aos custos, ao esforço ou às desvantagens da implantação. Segundo a ABNT NBR ISO 31000 (2018), as opções para tratamento do risco são necessária e mutuamente exclusivas se apropriadas em qualquer ocasião. As diversas opções para tratar o risco podem envolver um ou mais dos seguintes itens: • evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco; • assumir ou aumentar o risco de maneira a perseguir uma oportunidade; • remover a fonte de risco; • mudar a probabilidade; • mudar as consequências; • compartilhar o risco (por exemplo, por meio de contratos, compra de seguros); • reter o risco por decisão fundamentada. É evidente que a justificativa para o tratamento do risco é mais ampla do que apenas as considerações econômicas. Devem-se considerar todas as obrigações da organização – por exemplo, com compromissos voluntários e pontos de vista das partes interessadas. 28 Unidade I A ABNT NBR ISO 31000 (2018) estabelece que a seleção entre as opções para tratamento do risco seja feita de acordo com a estratégia da organização, com os critérios de risco e os recursos disponíveis. Ao escolher as opções de tratamento de riscos, as organizações devem considerar os valores, as percepções, o potencial envolvimento das partes interessadas e as formas mais apropriadas para que elas se comuniquem e consultem o processo. Cabe ressaltar que esse envolvimento pode ser mais aceito para algumas partes interessadas e menos por outras. Mesmo quando é cuidadosamente concebido e implantado, o tratamento do risco pode não produzir os resultados planejados e pode até resultar em consequências não esperadas. Por isso o monitoramento constante e a análise crítica têm de ser partes integrantes da implementação e do tratamento de riscos, visando assegurar que as diferentes formas de tratamento se tornem ou permaneçam eficazes. O tratamento de riscos deve introduzir os novos riscos que necessitam ser gerenciados, e caso houver opções de tratamento disponíveis ou se as opções de tratamento não alteram suficientemente o risco, é necessário que ele seja registrado e mantido sob análise crítica contínua. A ABNT NBR ISO 31000 (2018) estabelece que os tomadores de decisão e as demais partes interessadas devem estar conscientes da natureza e extensão do risco remanescente, aquele que persiste mesmo após o tratamento de riscos. Nesse aspecto, é importante que o risco remanescente seja devidamente documentado, submetido e monitorado, considerando a análise crítica e, quando apropriado, tratamento adicional. Preparando e implementando planos de tratamento de riscos O objetivo do plano de tratamento de risco é especificar as opções de tratamento selecionadas e como essas opções serão implementadas de maneira que os arranjos sejam compreendidos pelos envolvidos, assim como indicar a sua evolução em relação ao plano para que este possa ser devidamente monitorado. Necessariamente, o plano de tratamento deve identificar e deixar clara a ordem em que o tratamento de riscos será implementado. Evidentemente, o plano de tratamento deve ser devidamente integrado aos planos e processos estratégicos e de gestão da organização em consulta às partes interessadas. Segundo a ABNT NBR ISO 31000 (2018), as informações fornecidas no plano de tratamento devem incluir: • a justificativa para a seleção das opções de tratamento, incluindo os benefícios esperados; • aqueles que são responsabilizáveis e responsáveis por aprovar e implementar o plano; • as ações propostas; 29 GESTÃO E ANÁLISE DE RISCOS • os recursos requeridos, incluindo contingências; • as medidas de desempenho; • as restrições; • os relatos e o monitoramento requeridos; • quando se espera que ações sejam tomadas e concluídas. Monitoramento e análise crítica O objetivo do monitoramento e da análise crítica é assegurar e melhorar a qualidade e eficácia da estruturação e implantação e os resultados do processo. Para isso, é necessário que o monitoramento seja contínuo e a análise crítica seja periódica, tratada em fases no processo de gestão de riscos, e seus resultados façam parte do planejamento do processo de gestão de risco, com papéis e responsabilidades claramente estabelecidos. A ABNT NBR ISO 31000 (2018) recomenda que o monitoramento e a análise crítica aconteçam em todas as fases do processo. Dessa forma, o monitoramento e a análise crítica incluem planejamento, coleta, análise das informações, registro de resultados e fornecimento de retorno. Estabelecer um processo de tratamento dos resultados do monitoramento e da análise crítica que se incorpore em todas as atividades da gestão de desempenho, medição e relatos da organização é necessário. Registro e relato É fundamental que o processo de gestão de riscos e seus resultados estejam devidamente documentados por meio de mecanismos apropriados. O registro e o relato têm como objetivo: • comunicar atividades e resultados de gestão de riscos em toda a organização; • fornecer informações para a tomada de decisão; • melhorar as atividades de gestão de riscos; • auxiliar a interação com as partes interessadas, incluindo aquelas com responsabilidade e com responsabilização por atividades de gestão de riscos. As decisões relacionadas à elaboração, à retenção e ao manuseio de informação documentada devem considerar, entre outros aspectos, o seu uso, a sensibilidade da informação, os contextos internos e externos. Ressaltando que o relato deve ser parte integrante da governança da organização e melhorar 30 Unidade I a qualidade do relacionamento entre as partes interessadas, subsidiando a alta direção e os órgãos de conformidade a exercerem suas responsabilidades. Um bom relato deve considerar, entre outros fatores: • as diferentes partes interessadas e suas necessidades específicas de informação e requisitos; • o custo, a frequência e a pontualidade do relato; • o método de relato; • a pertinência da informação para os objetivos organizacionais e para a tomada de decisão. 2 CONCEITUAÇÃO DE RISCOS E GOVERNANÇA Retomando um pouco, vimos como é importante estruturar de forma profissional e como lidamos com o risco, mas também devemos recordar que o risco está presente no dia a dia de todos. Galante (2015) afirma que o progresso da humanidade e as mudanças provocadas por esse avanço elevaram os riscos existentes, o que acabou levando os seres humanos à obrigação de tratar questões exponencialmente mais graves e arriscadas. 2.1 Medindo o risco Conforme vimos anteriormente, o risco é o efeito da incerteza sobre determinados objetivos. Um exemplo prático disso está no simples fato de atravessar uma avenida movimentada. Todos concordamos que, nesse processo, existe o risco iminente de ocorrer um acidente – no caso, um atropelamento. Para esse caso, a pessoa,quando vai atravessar a avenida, obrigatoriamente, exerce uma análise de risco que leva alguns segundos, mas que pode ter um impacto devastador, pode custar a vida. Certamente, no mundo em que vivemos, tudo é incerto, tudo tem uma medida de incerteza. Logo, tudo tem uma medida de risco, que pode ser positiva ou negativa, lembrando que a segurança da informação, quando realiza uma análise de risco, considera apenas os aspectos negativos do risco, como possíveis ataques a sistemas, engenharia social, entre outras fontes de risco. Vimos anteriormente como a ABNT NBR ISO 31000 (2018) define riscos. Galante (2015) nos traz outras definições que podemos usar para reforçar ou contrapor a definição da ABNT NBR ISO 31000. A OHSAS 18001 da BSI (2007) define risco como sendo a combinação da probabilidade de uma ocorrência de um evento perigoso expor algum ativo. Nesse sentido, o ativo são as pessoas, pois a norma tem esse foco. 31 GESTÃO E ANÁLISE DE RISCOS Saiba mais A norma OHSAS 18001 da BSI de 2007 trata sobre gestão de saúde e segurança ocupacional. Foi desenvolvida e é mantida pela BSI-British Standards do Reino Unido. Tem como principal objetivo definir requisitos de boas práticas em gestão de saúde e segurança ocupacional para organizações de qualquer tamanho. BSI. OHSAS 18001: occupational health and safety management system – requirements. OHSAS Project Group; British Standards Institution, 2007. Ainda segundo Galante (2015), a combinação da probabilidade de uma ocorrência de um evento que vai expor qualquer ativo a um dano (impacto) define o risco. O autor complementa afirmando que o risco é determinado pela combinação da probabilidade ou frequência da ocorrência de um dano e sua gravidade, o que nos leva obrigatoriamente a uma análise do risco para definir se podemos aceitá-lo ou não. Os autores Rausand e Utne (2009) e Rausand e Hoyland (2011) afirmam que é possível determinar o critério de aceitação do risco por meio dos seguintes aspectos: • Princípio de ALAPR: (“as low as reasonably practicable” ou “tão baixo quanto possível”) partindo do pressuposto de que um risco apenas é aceitável se todas as medidas de prevenção, mitigação ou, se for o caso, de transferência estiverem devidamente mapeadas e implantadas. • The precautionary principle: ou “princípio da precaução”, todos os riscos devem ser devidamente analisados e mapeados para assim poderem subsidiar as decisões sobre a aceitação ou não deles. Saiba mais Os autores Rausand e Utne e Rausand e Hoyland são especialistas em analisar o risco mais fundamental: o risco de morte. Suas obras auxiliam na prevenção de acidentes de trabalho em locais de alto risco: RAUSAND, M.; UTNE, I. B. Product safety: principles and practices in a life cycle perspective. Safety Science, v. 47, n. 7, p. 939-947, 2009. Disponível em: http://linkinghub.elsevier.com/retrieve/pii/S0925753508001677. Acesso em: 6 abr. 2021. RAUSAND, M.; HOYLAND, A. System reliability theory; models, statistical methods and applications. 2nd ed. New York: John Wiley & Sons, 2011. 32 Unidade I Quando analisamos o risco mais importante aos seres humanos, o risco de morte, conseguimos sintetizar a relevância da análise de risco incorporada no cotidiano da segurança da informação, mas, nesse ramo, não existe o risco de morte, será? Os mísseis nucleares estadunidenses são controlados por sistemas informatizados, assim como o sistema de trens, o fornecimento de energia elétrica e nuclear, as plataformas de extração de petróleo e outros tantos que podem ser invadidos e descontrolados, levando à morte vários seres humanos. Dessa forma, é importante definirmos a diferença conceitual e sutil entre perigo e risco, pois essa diferença deve ser bem abalizada para uma análise de risco eficaz. O risco está sendo debatido desde o início dessa obra e, para nossos estudos, pode ser representado pelo potencial de ocorrência e pela consequência descontrolada decorrente da ação de um agente. Já o perigo, segundo Galante (2015), é a propriedade ou condição inerente a uma exposição ou atividade capaz de causar danos aos ativos. O perigo pode ser compreendido como um adjetivo, pois se refere a algo a ser observado; já o risco pode ser compreendido como um verbo, pois se refere à existência dependente da interação com o perigo. Podemos exemplificar a interação entre risco e perigo à segurança da informação quando analisamos os perigos da internet. Todos sabem dos perigos de perda de dados e informações, invasões, entre outros. O risco em si está vinculado à forma como conduzimos nosso acesso na grande rede. Não seria incorreto afirmar que o perigo é inerte, e o risco é ativo. Sendo assim, se a internet nunca for acessada, não haverá exposição ao perigo. Um funcionário de uma empresa de tecnologia está mais exposto a essas situações de perigo, pois leva a vida nesse ambiente e deverá conviver com os riscos ali inseridos. Outros exemplos que podem facilitar a compreensão sobre perigo e risco são demonstrados por Galante (2015). Entendemos que uma estrada movimentada é perigosa, todavia o risco é inerente à ação de trafegar nessa estrada; ou, então, um composto químico pode ser classificado como perigoso, contudo o risco é inerente ao seu manuseio. Evidentemente, quanto mais conhecimento as pessoas têm sobre os perigos, mais fácil entender e evitar os riscos. Sendo assim, é possível compreender que o risco é a entidade a ser administrada, uma vez que decorre da interação humana com o perigo, sendo que o perigo tem uma relação binária: ou existe ou não existe. Perigo é a bebida Risco é como a bebida é consumida Análise de riscos Figura 6 – Relação entre perigo, risco e análise de riscos 33 GESTÃO E ANÁLISE DE RISCOS Estabelecer o conceito de gestão de risco leva à compreensão de que, para um mesmo perigo, o risco pode decrescer conforme se estabelecem medidas de segurança. Para compreender de forma mais simples a análise de risco, podemos representá-la pela seguinte equação: Bebida em excesso Medidas de segurança Perigo Táxi Risco = Figura 7 – Equação da análise de riscos Evidentemente, essa equação é simplificada, é matematicamente impossível de ser realizada. O perigo pode ter a característica de substância conforme o exemplo mencionado, e não pode ser mensurável, pois se comporta exclusivamente de forma binária (ou existe ou não), ou seja, ou a substância é perigosa ou não. A isso soma-se o fato de que medir e avaliar o risco de forma numérica diante das medidas de prevenção é uma tarefa quase que desumana. Deve ser lembrado que as medidas de segurança não acabam com os perigos e não eliminam os riscos; servem para tentar reduzir a ação dos perigos ao mínimo possível e aceitável. Segundo Vincoli (2006), a segurança é um aspecto relativo, pois não existe nenhuma condição ou procedimento que seja 100% seguro em todas as circunstâncias e em todas as condições. Partindo dessa premissa de Vincoli, podemos entender o risco como a “entidade” desenvolvida quando se opta em interagir com um determinado perigo. Dessa maneira, o risco é o que pode e deve ser administrado, gerido, devidamente tratado e, por fim, reduzido a níveis aceitáveis. Esse último, por sua vez, vai variar de organização para organização, de pessoa a pessoa e de ramo de atividade a outros ramos de atividade. O resultado de tudo isso está na definição dos critérios de priorização dos riscos que passam necessariamente pelo estabelecimento de um ranking de prioridades. Esse ranking deve respeitar a complexidade do risco, o entendimento desse risco passando pela sua decomposição em componentes menores e menos complexos. Uma forma de estabelecer um modelo de priorização é utilizar a equação de frequência, severidade e cenários: Risco = f (frequência, severidade, cenários) Segundo Galante (2015), o componente denominado de cenários se encontra contemplado no estabelecimento ou na adaptação das categorias de frequência e severidade aoevento avaliado. 34 Unidade I Essa definição está amparada na ABNT NBR ISO 31000 (2018) e na OHSAS 18001 (2007), em que o risco está diretamente relacionado a algumas variáveis fundamentais: frequência, probabilidade e severidade/consequência, o que na ABNT NBR ISO 31000 é chamado de “impacto”. Com esses princípios bem definidos, é possível descrever o risco com uma função de frequência e de severidade (consequência) ou impacto. Nesse estudo, é possível relacionar a proporcionalidade entre as variáveis e, a partir daí, abordar de forma prioritária aqueles riscos que possuem maior frequência relacionada a maior severidade ou impacto. Ressaltando que é necessário estabelecer categorias de risco e identificar quais os cenários de perigo nesses riscos inerentes que podem levar a severidades e impactos distintos e em esferas diferenciadas, que vão desde danos morais, de imagem e financeiros até o mais grave: a perda de vidas. Severidade Impacto Frequência Figura 8 – Frequência x severidade/impacto Quando analisada a figura anterior, pode-se perceber que o risco é mínimo na origem (frequência e severidade/impacto simultaneamente nulas) e vai aumentando no sentido da bissetriz (sentido da seta), compondo duas regiões de riscos, demonstradas na próxima figura. Claramente, essas regiões podem ser caracterizadas como de riscos mínimo e máximo. A região de risco mínimo se encontra na proximidade da origem das coordenadas, e as de risco máximo estão se afastando da origem com aumento da frequência e da severidade/impacto simultaneamente. 35 GESTÃO E ANÁLISE DE RISCOS Severidade Impacto Frequência Riscos mínimos Riscos máximos Figura 9 – Regiões de risco baixo e alto Na “divisa” situada entre as regiões de risco mínimo (baixo) e de risco máximo (alto), demonstrada na figura anterior, surge um limite de tolerância. Já na próxima figura, é percebido esse limite de forma clara. A curva representa o nível de tolerância. O nível de risco representa o máximo adotado ou permitido. Sendo assim, todos os pontos dessa curva representam a constância do risco. Ressaltando que esse nível representa o risco máximo adotado ou permitido por uma organização e define o grau de qualidade do gerenciamento dos riscos na corporação. Severidade Impacto FrequênciaRiscos Risco = f (frequência, severidade/impacto) Figura 10 – Limite de tolerância para os riscos Quando comparadas a frequência e a severidade/impacto, serão apresentados vários valores. O gráfico demonstra que o risco está em uma zona de conforto. Quando os valores estão acima dessa marca, o risco deverá ser acompanhado por um plano de ação que terá a missão de trazer os valores 36 Unidade I aos níveis da zona de conforto. Assim sendo, é possível afirmar que o nível de tolerância define o grau de qualidade do gerenciamento de riscos de uma organização: quanto mais afastada a linha de risco do eixo, maior é o risco dessa empresa. Ao definir medidas de mitigação de riscos, pensa-se em prevenir, ou seja, na redução da frequência de ocorrência. No caso, redução da frequência de ocorrência quanto à proteção, ou seja, minimização da frequência de ocorrência. Para redução da frequência, são implantadas medidas que visam evitar que incidentes aconteçam, como criar normas específicas para determinados assuntos – por exemplo, o uso do e-mail corporativo –, mas principalmente estabelecer um programa perene de educação e conscientização em segurança da informação que ensinará o funcionário a utilizar a ferramenta com segurança. Isso vai minimizar a frequência e, com certeza, as consequências, caso ocorram. Isso leva à importância da categorização dos riscos identificados em famílias, desenvolvendo uma escala de frequência versus severidade/impacto. O uso de cores para demonstrar as zonas dessa escala é uma forma visual de identificar o que necessita de plano imediato de mitigação, ressaltando que esse mapa, que alguns autores chamam de “mapa de calor de riscos”, varia conforme o tempo, o ramo de atividade e, principalmente, conforme os cenários externos e internos apresentados. Dessa forma, o mapeamento dos riscos deve ser periódico ou assim que ocorrer algum fato relevante. Alto Moderado Baixo Risco = f (frequência, severidade/impacto) Riscos mapeados Figura 11 – Mapa de calor dos riscos Um bom exemplo da utilização e da volatilidade dos mapas de calor de risco está relacionado à pandemia de covid-19, que, no final de 2019, simplesmente alterou completamente o mapa de calor dos riscos à segurança da informação. O risco do acesso remoto externo concedido pelas empresas aos seus funcionários vigorava na cor verde, ou seja, estava em níveis aceitáveis de controle de frequência e de severidade/impacto devido ao uso limitado e restrito apenas a alguns funcionários devidamente identificados e treinados nos aspectos de segurança desse ambiente. Quando o isolamento social entrou em vigor, algumas corporações tiveram pouco tempo para enviar grande parte da sua força de trabalho para o regime de home office, ou seja, sem treinamento prévio dos requisitos mínimos de segurança nesse ambiente. A consequência 37 GESTÃO E ANÁLISE DE RISCOS foi imediata: o risco à segurança da informação para acesso remoto foi da zona verde para a vermelha, requerendo plano de ação imediato. 2.2 Governança, riscos e conformidade A importância da estruturação de uma governança de risco e conformidade devidamente alinhada à governança corporativa e à estratégia da organização é um dos princípios para o sucesso da gestão de riscos corporativos. Segundo Sêmola (2014), a sigla GRC (governança, riscos e conformidade) surgiu na primeira década deste século e se refere à gestão de um desses itens na organização, o que remete diretamente à segurança da informação por causa de suas características de controle e garantia, com o intuito de que a organização não seja tachada negativamente por uma gestão inadequada, o que levaria, consequentemente, a danos de imagem e à perda de investidores. Dessa forma tornou-se comum identificar o GRC como a própria evolução da segurança da informação, remetendo a esferas mais abrangentes e, por esse motivo, mais extensas e críticas. Ainda segundo Sêmola (2014), a governança é um conjunto de pessoas, processos e políticas que orientam a forma como a organização deve ser dirigida. Quando olhamos a definição da CVM (Comissão de Valores Mobiliários, autarquia vinculada ao Ministério da Fazenda), podemos ver que a governança engloba as práticas que têm por finalidade otimizar o desempenho de uma corporação e proteger todas as partes interessadas, como investidores, empregados, credores e parceiros de negócio, assim como o sistema econômico em que a empresa está inserida. Quando estudada pela ótica do IBGC (Instituto Brasileiro de Governança Corporativa), nota-se que a finalidade da governança é aumentar o valor da empresa, contribuindo para a sua longevidade. Dos três pontos de vista (governança, risco e conformidade), com certeza, a governança é o que mais se distancia da segurança da informação, em função dos seus aspectos processuais, por estar focada em níveis mais elevados da própria gestão organizacional, envolvendo conselho de administração, acionistas, assembleia e, no nível de diretoria, geralmente CEO, que faz parte do conselho de administração, e, algumas vezes, o CFO, que tem a responsabilidade do controle operacional. Algumas literaturas sugerem que o Segurity Officer deveria se ocupar da governança de TI, mas, segundo Sêmola (2014), devido à natural dissenção entre as áreas de TI e segurança da informação, isso não seria uma boa ideia, pelo motivo de haver uma tensão entre as áreas que só pode ser explicada pela simples diferença de foco: as áreas de TI estão preocupadas em viabilizar as iniciativas que delas dependem, mesmo que os aspectos de segurança não estejam garantidos plenamente, algo totalmente inviável na visão da segurança da informação. Esse fato aproximaas áreas de segurança da informação às áreas de auditoria, geralmente associadas a iniciativas coercitivas e não muito populares. Evidentemente, tudo isso vai arrebentar na gestão de riscos e na conformidade, que também estão propensas a não compactuar com vulnerabilidades de segurança. Conforme vão amadurecendo as áreas de TI e SI, devidamente suportadas por uma governança e gestão eficiente dos riscos, tendem a se equilibrar os contrapontos. Atualmente os gestores de TI e SI possuem uma visão amplificada de suas obrigações corporativas e da necessidade de foco naquilo que é mais importante para o negócio, deixando de lado os anseios individuais, buscando esse equilíbrio. 38 Unidade I Na visão de Sêmola (2014), a gestão de riscos não tem esse problema, pois é uma extensão natural das responsabilidades da gestão da segurança da informação nas organizações como parte integrante do processo de governança corporativa, assim como a área de TI. Fechando a tríplice, temos a conformidade, também conhecida como compliance, que trabalha visando garantir o cumprimento das obrigações organizacionais, que vão desde o compromisso assumido com os stakeholders (investidores, empregados, credores, agências reguladoras etc.) até os aspectos legais e regulatórios relacionados à administração das empresas. A legalidade é também um dos aspectos de preocupação da segurança da informação e das análises de risco. A conformidade tem um escopo ainda mais abrangente que as análises de risco e de segurança, pois amplia as fronteiras da legalidade a ponto de merecer um local especial na segurança da informação. Isso se justifica quando relacionamos os inúmeros escândalos de gestão fraudulenta ocorridos no final do século XX que levaram à criação de leis mais duras, principalmente nos Estados Unidos da América, a exemplo do FCPA (Foreign Corrupt Practices Act) e da SOx (Lei Sarbanes-Oxley), entre outras. No mercado de tecnologia da informação atual, um dos setores que mais cresce é o de ferramentas e aplicações, a fim de suportar e automatizar a gestão da governança, dos riscos e da conformidade. Isso auxilia o trabalho dos gestores de segurança da informação nas organizações. Lembrete A SOx foi uma lei desenvolvida para combater as fraudes financeiras, muito comuns antes da sua criação em 2002, o que abriu definitivamente a era dos controles internos nas organizações, os quais, por sua vez, dependem das análises de riscos como peça primordial nesse processo. 2.3 Riscos e a segurança da informação: ABNT NBR ISO 27001 A gestão de riscos e a segurança da informação são praticamente complementares. A gestão de riscos pode ser considerada a base para todas as ações de segurança da informação, pois coloca as ações de proteção a ativos de informação alinhadas aos riscos emergentes e à estratégia corporativa de análise, gestão e tratamento dos riscos. A ABNT NBR ISO 27001 (2018) auxilia na compreensão da importância das ações para contemplar o risco e as oportunidades no planejamento da segurança da informação, ressaltando que se devem considerar as questões relacionadas a: • assegurar que o sistema de gestão da segurança da informação alcance os resultados pretendidos; • prevenir ou reduzir os efeitos indesejados; • alcançar a melhoria contínua. 39 GESTÃO E ANÁLISE DE RISCOS Sendo assim, a organização deve planejar devidamente: • as ações para considerar esses riscos e oportunidades; • como integrar e implementar essas ações dentro dos processos do seu sistema de gestão da segurança da informação, além de avaliar a eficácia dessas ações. No que tange às avaliações de riscos de segurança da informação, a ABNT NBR ISO 27001 (2018) recomenda que a organização defina e aplique um processo de avaliação de riscos de segurança da informação que: • estabeleça e mantenha critérios de riscos de segurança da informação que incluam os critérios de aceitação do risco e os critérios para o desempenho das avaliações dos riscos de segurança da informação; • assegure que as contínuas avaliações de riscos de segurança da informação produzam resultados comparáveis, válidos e consistentes; • identifique os riscos de segurança da informação aplicando o processo de avaliação do risco de segurança da informação para definir os riscos associados com a perda de confidencialidade, integridade e disponibilidade da informação dentro do escopo do sistema de gestão da segurança da informação, identificando os responsáveis pelos riscos; • analise os riscos de segurança da informação avaliando as consequências potenciais que podem resultar se os riscos identificados forem materializados e avaliando a probabilidade realística da ocorrência dos riscos identificados, determinando os níveis de risco; • avalie os riscos de segurança da informação, comparando os resultados da análise dos riscos com os critérios de riscos estabelecidos, priorizando os riscos analisados para o tratamento do risco; • mantenha devidamente documentado todo o processo de avaliação de risco de segurança da informação. No que se refere ao tratamento dos riscos, a ABNT NBR ISO 27001 (2018) recomenda que a organização defina e aplique um processo de tratamento de riscos à segurança da informação para: • selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, considerando os resultados da avaliação do risco; • determinar todos os controles necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação, sendo que as organizações podem projetar os controles, conforme requerido, ou identificá-los de qualquer outra fonte; 40 Unidade I • comparar os controles determinados com aqueles identificados nos modelos existentes no mercado e definidos na ABNT NBR ISO 27001 (2018) para verificar se algum controle necessário foi omitido. Cabe ressaltar que a ABNT NBR ISO 27001 (2018) contém uma lista detalhada dos controles e dos objetivos de controle recomendados para garantir que nenhum controle necessário seja omitido, sendo que os objetivos de controle estão implicitamente incluídos nos controles escolhidos. Os objetivos de controle e os controles listados na ABNT NBR ISO 27001 (2018) não são exaustivos, e controles e objetivos de controles adicionais podem ser necessários conforme o avanço tecnológico ou modelos de mercado; • elaborar uma declaração de aplicabilidade que contenha os controles necessários e justificar as inclusões, sejam eles implementados ou não, bem como justificar a exclusão de algum dos controles listados na ABNT NBR ISO 27001 (2018); • preparar um plano para tratamento dos riscos de segurança da informação; • obter aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da informação e aceitação dos riscos residuais de segurança da informação. A organização deve manter devidamente documentado todo o processo relativo ao tratamento dos riscos à segurança da informação. É importante salientar que todas as recomendações constantes no processo de tratamento e avaliação dos riscos de segurança da informação recomendadas na ABNT NBR ISO 27001 (2018) estão alinhadas com os princípios e as diretrizes gerais definidos na ABNT NBR ISO 31000 (2018). 2.4 Equação do risco e a segurança da informação: visão executiva Segundo Sêmola (2014), assim que aprofundado o aspecto da gestão dos riscos focado na segurança da informação, é razoável que cada negócio, independentemente de seu segmento de mercado e ramo de atuação, apresente dezenas ou centenas de variáveis que se relacionam direta e indiretamente com a definição de seu nível de risco. Considerada a definição de risco da ABNT NBR ISO 31000, a qual diz que o risco é o efeito da incerteza, os riscos à segurança da informação nos objetivos, podendo de forma lógica ser positivos ou negativos, identificam as variáveis que passam a ser a primeira etapa do desafio de implementação de um processo efetivo de gestão de riscos. Segundo Sêmola
Compartilhar