Gestão de riscos em TI

Os processos envolvidos na gestão de riscos em TI possuem alguns propósitos que orientam seu funcionamento, tais como:

• mitigação de problemas e sinistros;
• prevenção de roubos de informações e ataques virtuais;
• backup e restauração de dados importantes e críticos para a empresa;
• adaptações na infraestrutura de TI e na estrutura organizacional visando acomodar os demais processos de gestão de riscos em TI;
• inclusão de medidas e análises de riscos no Plano Diretor de TI tornando as práticas desse tema recorrentes e contínuas no departamento e na empresa;
• adoção de indicadores e métricas que permitam avaliar os riscos (de parada, perda de informação, furto de dados etc.) envolvendo procedimentos e rotinas suportadas pela TI, além da eficiência e robustez das ferramentas e soluções usadas;
• garantia de funcionamento dos sistemas e atividades ligadas a eles etc.

A aplicabilidade dos processos de gestão de riscos de TI varia de empresa para empresa conforme suas necessidades, exigências e recursos disponíveis (tempo, pessoal e financeiro).

Por exemplo, investir em infraestrutura de TI para garantir a continuidade das operações por meio de backups, cópias de dados e outros recursos pode requerer um valor elevado. Nesse caso, a solução pode ser contratar um terceiro e alugar sua infraestrutura para isso, embora muitas empresas ofereçam serviços de backup e restauração.

Durante o planejamento das medidas e processos necessários para a prevenção e mitigação de riscos, existem algumas ações que podem ser colocadas em prática, tais como:

• estabelecer níveis de acesso aos conteúdos da empresa conforme criticidade, importância, relevância e outros critérios;
• restringir/proibir o acesso à internet ou a sites e páginas específicas;
• exigir certificação ou validação de acesso aos sistemas da empresa por meio de login e senha;
• realizar palestras e apresentações com as melhores práticas para acessar os equipamentos de TI da empresa, bem como ao abrir sites, blogs, redes sociais etc. Nesse caso, é possível instruir os colaboradores da organização sobre riscos, cuidados ao ver e-mails, entre outras orientações;
• adotar soluções de proteção contra ataques virtuais externos ou conteúdos indesejados e potencialmente prejudiciais. Entre os softwares mais comuns que fazem isso, temos antivírus, antimalware, antispyware, antiphishing, antispam, antiadware, antikeylogger, antipopup e firewall;
• contratar uma empresa de segurança em TI que ajude em determinados processos, como no monitoramento de riscos, na implementação de sistemas de controle e nos já mencionados serviços de backup e restauração.
• planejar e padronizar relatórios e controles que permitam avaliar os níveis de sucesso dos processos de gestão de riscos em TI empregados.

A equipe de TI geralmente é a responsável por colocar em prática os processos que visem assegurar o funcionamento dos equipamentos e sistemas de TI da empresa, embora durante o planejamento os demais setores possam ser acionados para colaborar. Isso porque é importante a atuação em conjunto para se mapear os procedimentos suportados por tecnologia mais críticos e importantes de cada área, os quais necessitarão de mais cuidados e investimentos em segurança e proteção.

Além desses agentes, empresas terceirizadas que atuam em segurança de TI podem ser contratadas para executarem procedimentos que ampliem a segurança da organização.

Também há as equipes de atendimento das organizações que comercializam soluções de segurança de TI, as quais podem ser acionadas para colaborarem na implantação dessas ferramentas. Além disso, as equipes podem fornecer orientação, apoio e suporte no caso de defeitos, panes ou mal funcionamento nas soluções de segurança adotadas