Para tentar compreender qual é afinal, o seu conceito. Todo este vasto material revela uma disciplina que busca sempre o melhor equilíbrio entre riscos e custos e que vem sendo praticada através de décadas pelas mais variadas organizações. Ironicamente, o termo “Gestão de Riscos” somente tornou-se comummente utilizado recentemente. Tradicionalmente, costumamos associá-lo aos riscos relacionados aos activos financeiros (seguros, créditos, taxas de câmbio, empréstimos, etc). Actualmente, este enfoque modificou-se. Passou-se a discutir e avaliar também os riscos operacionais, bastante associados à Tecnologia da Informação.
À medida que os negócios e até mesmo seus clientes vêem crescer dia após dia sua dependência em relação à internet e aos sistemas de TI, os riscos de infra-estrutura tornam-se mais visíveis e significantes. Violações ou falhas em sistemas de informação causam sérias crises de negócio - danos à reputação causados por roubo de identidade, vazamento de informações confidenciais em função de falhas de sistemas e o surgimento de restrições regulatórias em função da procura por conformidade.
Recentes manchetes em publicações de áreas diversas destacaram com grande ênfase numerosos problemas relacionados aos riscos tecnológicos: roubos de mídias de backup, processos litigiosos resultantes da produção e/ou preservação imprópria de registos electrónicos, roubo de identidade e quebras de propriedades intelectuais.
Hoje é facilmente perceptível entender porque os quadros executivos das corporações mundiais buscam incansavelmente respostas para a pergunta: Como mitigar dramaticamente os riscos e melhorar o retorno sobre os investimentos em sistemas de informação?
Enquanto disciplina, a Gestão de Riscos de TI, é bastante nova. No passado, os riscos associados à TI estavam limitados a aspectos como segurança e continuidade dos negócios. Hoje, o conceito sobre riscos de TI evoluiu e tornou-se clara a visão de que os riscos de TI não são unidimensionais. Um completo programa de gestão de riscos de TI avalia os riscos relativos à segurança e disponibilidade de dados, disponibilidade integral e performance dos activos de informação e a conformidade com exigências regulatórias ou legais.
Ao considerar cada uma das seguintes categorias de riscos de TI, pode-se criar para os negócios uma estrutura mais completa de combate aos riscos apresentados.
Segurança: São os riscos relativos às ameaças internas ou externas que podem resultar em acessos não autorizados à alguma informação. Incluem-se aqui os riscos relativos ao vazamento de dados, privacidade de dados e fraudes. Inclui-se aqui também uma ampla gama de ameaças externas como ataque por vírus, bem como ataques bem objectivos à aplicações, usuários e informações específicas - ataque a sistemas que as pessoas confiam e utilizam diariamente.
Disponibilidade: Trata-se do risco de uma informação apresentar-se inacessível devido a interrupções não planejadas em sistemas. As organizações têm a responsabilidade de manter seus sistemas de negócio operacionais. Como resultado, elas precisam reduzir os riscos de perda ou corrupção de dados e de indisponibilidade de aplicações. E, no caso de uma falha, os negócios devem ser recuperados em um prazo adequado.
Performance: É o risco de uma informação apresentar-se inacessível devido a limitações de escalabilidade ou gargalos relativos à comunicação de dados. Os negócios precisam garantir os requerimentos de volume e performance - mesmo durante momentos de pico. Aspectos relativos à performance devem ser identificados proactivamente, antes que os usuários finais ou aplicações sejam impactados. E, para minimizar os custos, as organizações precisam optimizar seus recursos e evitar gastos desnecessários em hardware.
Conformidade: É o risco de violação de exigências regulatórias ou de falha no alcance de requerimentos de políticas internas. As empresas precisam apresentar conformidade a regulações dos mais diversos níveis como SOX e ISO 9000. As organizações precisam preservar informações e prover um eficiente sistema de busca e recuperação de conteúdo quando requerido (principalmente em e-mails). Em adição, os empregados devem ser responsáveis pela observação das melhores práticas e políticas internas para garantir mais eficiência à operação dos negócios
0 comentários:
Enviar um comentário