Contato
Quem Somos
Quero Patrocinar

Gerindo seu risco ou costurando

Trazendo a realidade das eleições para o mundo corporativo, nunca foi tão importante para o responsável de SI discernir os princípios de ERM (Enterprise Risk Management) e aplicar em situações relevantes para auxiliar e aconselhar seus executivos de negócios

Compartilhar:

Nunca na história deste País passamos por um momento decisório por meio de uma tão importante escolha em que o povo brasileiro deverá tomar perante do futuro da nação. Na prática, fazendo uma leitura do mindset da real situação que estamos passando a resposta é óbvia: o povo perece por falta de conhecimento sobre as aspectos pertinentes a política. Francamente, não adianta ter dois ou mais candidatos se não soubermos fazer uma boa análise de risco fundamentada em valores, princípios, crenças, segurança, educação, saúde, situação econômica, visão, missão, etc., que trará melhores benefícios à nação e que seja mais sensato em seu entendimento.

 

Trazendo esta realidade para o mundo corporativo, nunca foi tão importante para o responsável ou equipe de segurança da informação discernir os princípios de ERM (Enterprise Risk Management) e aplicar em situações relevantes que requer auxiliar e aconselhar seus executivos de negócios.

 

Melhor dizendo, como um profissional de SI no mundo corporativo, perante uma análise de risco, seu papel e ofício é identificar e mapear os possíveis riscos apoiando e encorajando seus executivos na melhor decisão a ser tomada. Uma outra premissa é definir estrategicamente, alinhando com os objetivos de negócios e principalmente assegurando a proteção dos ativos de valor da empresa.

 

Enquanto estiver nesta posição, é necessário antes, acima de tudo, saber ouvir e se envolver ao negócio com extrema profundidade a fim de canalizar a fundo as principais ameaças, vulnerabilidades e riscos que podem por sua vez impactar e paralisar o negócio. Da mesma forma que é necessário avaliar as propostas de um candidato, seja a reputação do mesmo quanto à ficha limpa, corrupção, histórico de projetos, liderança, caráter e integridade. Deste modo, uma boa visão da real situação do estado de risco da organização VS cyber risk appetite nivelado com o nível de aceitação de risco que se adequa a empresa.

 

Literalmente que numa avaliação de impacto de negócio (BIA) para determinar os processos críticos e assim aferir a melhor estratégia de implementação de um BCP e  um DRP, nestas circunstâncias não existe meio termo ou voto em branco. Como representante de segurança da informação terá que auxiliar o executivo a escolher a melhor estratégia para proteger a vitalidade do negócio, pois o futuro pode estar em jogo. Consequentemente no mundo corporativo o voto nulo ou em branco pode representar a falta de compromisso em expor a sua organização ao real risco.

 

Logo no mundo corporativo você não pode ser omisso, em vez disso é preciso influenciar com argumentos convincentes os executivos. Por exemplo; numa situação de escolha entre um fornecedor de serviços de cloud A ou B é dever da segurança da informação auxiliar e indicar o fornecedor mais aderente em termos de maturidade de segurança com as melhores práticas, além de outros fatores. Da mesma forma, você precisa ser articulado e capaz de persuadir os executivos que sairá mais barato investir em um recurso para gerir o BCP e DRP e vez de deixar seu ERP corporativo sem um plano definido e vigente.

 

A paralisação tecnológica da Gestão da Cadeia de Suplimentos (SCM) ou Sistema de Pagamentos Brasileiro (SPB) pode gerar por exemplo uma perda de milhões de dólares e riscos de reputação no mercado. Se comparar com o custo do recurso em ter um profissional dedicado gerindo o plano será mais barato e sustentável. Em resumo, a gestão de risco e governança é essencial para sobrevivência.

 

Embora meu objetivo neste artigo não seja induzir em quem você deve votar, mas orientar o uso correto e a aplicabilidade da gestão de risco em situações na sua empresa que dependerá do seu posicionamento, opinião e avaliação para o tomador de decisão estar seguro, o executivo.

 

Sendo assim é importante ressaltar o uso de uma metodologia de risco, vide um exemplo abaixo e uma fórmula padrão: risco = vulnerabilidades x ameaças x impactos / medidas de segurança. Cybersecurity frameworks como NIST e FAIR são ótimos modelos de frameworks que podem ajudar a criar e implementar uma matriz e a metodologia de gestão risco. Logo se aplicar o conceito acima é evidente que será uma ferramenta rica e essencial nestas situações.

 

A questão aqui é, ou você decide entre escolher a metodologia adequada à sua empresa para aplicação e uso da análise de risco integrada com as necessidades de negócio ou decidirá em continuar costurando os riscos em sua organização. A brecha será o alto gasto de investimentos em soluções e ações que não vão resolver a raiz do problema efetivamente e o resultado poderá ser o desastre que atenua até a demissão. O pior será o estrago para a organização se não tiver uma visão do todo durante a estratégia e levantamento, por isso, é imprevisível ter uma foto antes de qualquer projeto ser implementado para não pagar um preço mais caro.

 

A gestão de risco como sabemos podemos; mitigar, transferir, rejeitar ou aceitar o risco com base na análise de custo benefícios em exemplos citados acima, entre outros. Precisamos ser uma guardião destes conceitos e implacável nesta atividade. Vejamos exemplos de gigantes como a Equifax, que expôs 143 milhões de dados de clientes porque não atualizou um software, além do Facebook que também sofreu vazamento de dados de seus clientes e tem pago muito caro em reputação e integridade de seus negócios, ainda mais agora com a GDPR e a chegada da Lei Geral de Proteção de Dados (LGPD) em nosso território nacional.

 

Talvez se o povo brasileiro que é indiscutivelmente sofrido e amado pelo mundo afora, se tivesse a sabedoria necessária e aplicado estes métodos de gestão de risco e não somente tomar uma decisão no escuro sem basear em teses e estudos a nossa nação não estaria em uma situação de risco tão surreal e esgotamento (burnout). Literalmente como o sábio diz; quando o governo é justo e honesto o país tem segurança e a nação se torna saudável enquanto que ao contrário cobrando impostos demais pode levar a desgraça. Sendo assim, é evidente que o profissional de segurança sendo capaz de executar e aplicar este conceito sendo firme e absoluto mesmo diante das dificuldades e barreiras, o futuro da organização será a sobrevivência. Let me know your thoughts…

 

*Rangel Rodrigues é trusted advisor em Segurança da Informação, CISSP e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP

 

Destaques

Soft skills são próximos passos na evolução da confiança em Cyber, avaliam CISOs

42% dos consumidores tiveram contato com ciberataques em mobile

Nova parceria mira acesso das PMEs a recursos estratégicos em Cyber Security

Espada de dois gumes: Como usar a IA para manter os defensores à frente dos hackers?

Insegurança cibernética e IA são destaques do Security Leaders em BH

Polícia Civil do DF prende suspeitos de roubar 76 milhões de senhas pessoais e governamentais

Colunas & Blogs

Avatar photo
Urgência na Proatividade: Uma Análise dos Principais Motivadores para Investimentos em SI na visão dos CISOs
Alex Amorim
Avatar photo
Minha organização foi invadida. E agora?
Fabio Correa Xavier
Avatar photo
Caminhada (Não tão) solitária rumo à Segurança Digital
Rodrigo Jorge
Avatar photo
Práticas recomendadas para proteger cargas de trabalho na nuvem
Luiz Firmino
Avatar photo
A caminho de uma Guerra Cibernética Mundial
Rangel Rodrigues
Avatar photo
Piloto Automático: por que o ser humano é o elo mais fraco em Cybersecurity?
Rui Borges
Avatar photo
5 desafios da liderança preditiva para atenção dos CISOs
Fabiana Tanaka

Conteúdos Relacionados

Security Report | Colunas & Blogs

Caminhada (Não tão) solitária rumo à Segurança Digital

Apesar de toda a importância devidamente oferecida aos processos e tecnologias da Segurança Cibernética corporativa, um dos grandes desafios é...
Leia Mais
  • Rodrigo Jorge
  • abril 10, 2024
Security Report | Colunas & Blogs

Práticas recomendadas para proteger cargas de trabalho na nuvem

Em um cenário cada vez mais deflagrado de ataques cibernéticos contra serviços de cloud, é necessário pensar em estratégias e...
Leia Mais
  • Luiz Firmino
  • abril 3, 2024
Security Report | Colunas & Blogs

Minha organização foi invadida. E agora?

Diante de um cenário em que um ataque cibernético sem precedentes possa atingir a qualquer momento os players de mercado,...
Leia Mais
  • Fabio Correa Xavier
  • março 26, 2024
Security Report | Colunas & Blogs

Urgência na Proatividade: Uma Análise dos Principais Motivadores para Investimentos em SI na visão dos CISOs

Diversos estudos mercadológicos a respeito das atividades de Segurança e sua relação com as corporações demonstram que a cultura empresarial...
Leia Mais
  • Alex Amorim
  • março 26, 2024

Maior portal de Segurança da Informação e Cibernética do Brasil

Linkedin-in Instagram Facebook-f Flickr

Sua marca no único portal de Segurança da Informação e Cyber Security do País

Seja um patrocinador

Inscreva-se na nossa Newsletter

Security Leaders
Próximos Eventos
Eventos realizados
Security Report
TVSecurity
Executive Report
Decision Report
Quem somos
Política de Privacidade
Quero patrocinar
Contato
Home
© 2024 Security Leader. Todos os Direitos Reservados. Agência Unit