5 fatores frequentemente esquecidos em avaliação de risco

Uma avaliação de risco feita corretamente pela equipe de TI pode ser de grande valia para empresas durante a tomada de decisão tecnológica e de negócios. Infelizmente, segundo, Scott Laliberte, diretor da Priviti, muitos empresários não desempenham a avaliação de riscos de forma alguma. E entre os que passam pelo processo, muitos falham em voltar e atualizar, caso seu ambiente de ameaça ou modelo de negócio sofra mudanças.

Assine a Newsletter do IT Web

Siga o IT Web no Twitter

Curta, no Facebook, a Fan Page do IT Web

“Neste caso, a avaliação de risco deixa de cobrir problemas essenciais”. Então, a primeira coisa a lembrar sobre avaliação de riscos é fazê-la. A segunda é atualizá-la. Mas há coisas ainda mais importantes. Mesmo as empresas que realizam consultorias na área cometem erros e esquecem de levar em conta importantes elementos. Aqui estão os cinco que podem ser esquecidos e o que fazer para evitá-los:

1. Riscos inerentes vs riscos residuais

Segundo Laliberte, muitas empresas que realizam a avaliação falham ao calcular o perigo antes  de o controle ser aplicado (chamado risco inerente), contra o risco depois de os controles terem sido aplicados (risco residual). “Geralmente as empresas vão direto ao risco residual. Ao comparar os dois tipos, é possível ver controles essenciais que precisam ser monitorados e reforçados para garantir que o ambiente continue seguro”.

2. Interdependências e fluxo de dados

Antes de uma companhia realizar uma avaliação, é preciso um entendimento adequado dos ativos para os quais os riscos estão sendo medidos, afirma Joe Beal, diretor de serviços de segurança e Ciso da CCSi. Muitas vezes, as empresas não conseguem examinar seus sistemas para encontrar imprevistos de serviços ou sistemas, tanto dentro quanto fora do firewall.

“Por exemplo, é preciso entender desde a perspectiva da rede até interconexões, fluxos de dados e comportamento de seu sistema num estado normal de operação. Mais importante ainda é ter uma compreensão do tipo, tamanho e classificação dos conjuntos de dados e qual o papel deles para poder determinar e identificar o verdadeiro perigo de segurança para seu sistema”.

Como ele observou, entender o sistema e as várias entradas e saídas de seus componentes permitirá que a empresa meça a verdadeira eficácia dos resultados da avaliação de risco.

3. O risco depende do negócio

Um dos maiores erros  é falhar em envolver a linha de negócios no processo de descoberta de como a TI afeta o processo.

“Uma avaliação deve observar a essência do negócio e os ativos de TI e considerar a probabilidade de impacto de ameaças e vulnerabilidades no ambiente. Se os resultados não articularem o risco no que concerne ao impacto no negócio, o projeto não tem suporte adequado”.

Segundo Torsten George, vice-presidente da Agiliance, as empresas precisam ir além. Não apenas os gerentes têm que se envolver, mas o vocabulário de riscos precisa ter uma norma para que todos entendam. “Muitas empresas permitem que diferentes grupos estabeleçam suas próprias nomenclaturas e definições de ameaças. Isso cria um desafio significativo na aplicação de avaliação de riscos dentro da empresa”.

Ele sugere o uso de um registro centralizado que tenha sido desenvolvido com a ajuda de todas as unidades para que haja uma melhor colaboração a longo termo. “Usando uma única nomenclatura, há a possibilidade de coletar os riscos de dados de diferentes grupos, o que possibilita a agregação dessa informação”.

4. E inventaram a roda

Muitas empresas tendem a reinventar a roda quando criam um registro do tipo e estão coletando informações relevantes para a avaliação, afirmou George. “Use registro de riscos estabelecidos. Aplique padrões da indústria como o ISO, Nist e Cobit, e depois os ajuste para as necessidades da sua empresa”. Da mesma forma, não colete e manipule dados manualmente se é possível automatizar o processo.

“A equipe de gerenciamento de riscos deve funcionar como estrategistas e não como coletores de números. As empresas devem oferecer software que automatize a coleta, agregação, fluxo e relatório de dados”. Ao fazer isso, os gerentes da área podem focar na análise mais profunda.

5. O excesso pode lhe matar

O excesso de avaliação existe, segundo Laliberte. Num esforço para cobrir tudo, alguns gerentes ampliam sua abordagem e tentam avaliar todo risco e toda ameaça para o negócio. O problema com isso é que há uma abundância de informação e a avaliação nunca acaba.

“As empresas devem agrupar os ativos para ter valores de negócios similares que enfrentam as mesmas ameaças e então avaliar os perigos de acordo com os grupos. Isso torna a avaliação mais eficiente e com maiores chances de sucesso”.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini