Faz tempo que a gestão de riscos deixou de ser uma novidade para os líderes empresariais.
Faz tempo que a gestão de riscos deixou de ser uma novidade para os líderes empresariais. Nunca se falou tanto em riscos no ambiente corporativo e já é bastante improvável encontrar um tomador de decisão que não tenha pelo menos noção dos estragos que possam ser causados à sua corporação por um tratamento inadequado de situações potencialmente perigosas, sejam de natureza financeira, operacional ou estratégica.
Aqui estão cinco pontos que você não pode deixar de considerar:
1. Coloque a casa em ordem
Você certamente identifica e planeja os eventos que podem afetar a sua capacidade de fornecer uma infra-estrutura tecnológica estável, disponível, protegida e recuperável. Mas você tem que olhar além do risco que invade diretamente a sua seara, tais como violações de rede ou violações de dados, e ver de forma mais ampla onde a tecnologia pode desempenhar um papel na proteção – ou exposição – dos ativos da organização. Muitos departamentos de TI só gerenciam os riscos de perímetro, ou perdas de violações de dados, mas ninguém está fazendo nada sobre a propriedade intelectual, por exemplo.
2. Não pense só em cumprir a sua obrigação
Sim, a conformidade com as leis setoriais e uma série de outros regulamentos é, obviamente, um pedaço do quebra-cabeça de gestão de risco. Mas não deixe que ela conduza a sua abordagem. Pergunte se você tem os profissionais necessários para fazer a tecnologia ficar à frente em seu mercado e não apenas estar “compliance”. A inteligência em riscos pressupõe estabelecer uma correlação direta entre os riscos que a organização considera aceitável assumir e os seus objetivos de negócios.
3. Gerenciamento de risco empresarial é uma oportunidade de carreira
O CIO está muito bem posicionado para dirigir uma empresa a partir de uma abordagem mais sofisticada para a gestão de risco. Especialmente em empresas que são muito dependentes de TI, o CIO geralmente tem o melhor acesso a informações precisas sobre os pontos críticos do negócio e principalmente sobre o modo como são administrados. Quanto mais o CIO entende sobre os processos de negócio e as dependências que os negócios têm de TI, mais ele pode ser um verdadeiro advogado no board da gestão de risco inteligente.
As organizações que administram seus riscos com inteligência estão percebendo que certos riscos podem ser tolerados, desde que conhecidos e monitorados. Essa abordagem pode ajudar o CIO pessoalmente e ajudar sua organização a ser mais rentável por assumir riscos onde fazem sentido.
4. Há folhas de fraude
O processo de gerenciamento de riscos deve estar suportado por ferramentas que possibilitem o estabelecimento de critérios para classificar a natureza do risco e a identificação de quais áreas da empresa ou que processos de negócios abrigam esses riscos. Tudo isso implica a necessidade de um modelo de classificação e mensuração. Existem várias estruturas e padrões que podem colocá-lo no caminho para as boas práticas de controle de acesso às informações. As mais importantes são a ISACA (o grupo é mais conhecido por COBIT) e a ISO 31000. Mas esteja consciente sobre como aplicá-las.
Frequentemente, os especialistas de uma empresa entendem diferentes domínios de uma estrutura – como segurança, privacidade, continuidade de negócios, ou conformidade – e o quadro onde será aplicada determinada metodologia, mas negligenciam a forma como o negócio realmente funciona.
5. Os bandidos realmente sabem como se alinhar com o seu negócio
Se você não estiver conectando diretamente a gestão de riscos de processos de negócios, fique ciente de que seus adversários estão. Os caras maus estão sondando vulnerabilidades, olhando para o seu comportamento operacional, pontos fracos em seus produtos e serviços. E não pense que para sua proteção uma blindagem arquitetônica seria suficiente, pois as ameaças vem de todos os lugares. Precisam descobrir como atacar você, quer através de engenharia social ou através de sua infra-estrutura. O mesmo vale para insiders: Eles têm um conhecimento de determinados processos de negócio, e eles começam a navegar através das costuras, para burlar os controles internos e alcançar seus objetivos.
FONTE: Terra