Um passo a passo de segurança baseada em riscos ao negócio e à estratégia
Ante a evidente necessidade de investir em segurança, as empresas ainda se perguntam: onde investir e por onde começar? Porém, uma boa pergunta, em lugar desta, seria: como garantir o que mais importa no negócio da empresa? Quanto é preciso investir para assegurar o objetivo estratégico?
Primeiro, deve-se focar no essencial, que são o negócio-fim e a estratégia, e evitar investir em soluções que dão a sensação de segurança, mas em nada acrescentam à operação. Na prática, deve-se seguir um ciclo que compreende cinco métodos:
O primeiro método é entender a estratégia e o próprio negócio da empresa. O único sentido que existe para um determinado investimento em uma empresa é estar alinhado com os objetivos de negócio e suas estratégias. Como exemplo, podemos citar o caso de uma empresa que tenha como estratégia levar a força de vendas para próximo do cliente e aumentar o tempo em que o vendedor passa em visitas de 10% para 70% do tempo. Esta estratégia poderá ter como conseqüências o incremento do acesso remoto ao ERP e CRM da empresa, a disponibilização aos vendedores de notebooks e outros tipos de portáteis com informações da empresa e clientes, e a disponibilização de telefonia IP para redução de custo de ligações de longa distância e para comunicação m! ais eficaz entre os vendedores remotos e os escritórios. Isto poderá desencadear uma série de riscos inerentes ao acesso remoto e à segurança de dados.
Após conhecer o caminho que a empresa escolheu, chega a hora de se analisar as ameaças que ela enfrentará.
Parte-se, então, para o segundo método que é identificar e analisar os riscos à estratégia e ao negócio. A identificação e análise de riscos aqui sugeridas são baseadas nas práticas já depuradas e amadurecidas descritas pelo PMI, o Instituto de Gerenciamento de Projetos.
Para identificar a maior quantidade de riscos possível pode-se usar várias técnicas como questionários, apresentação aberta de idéias, lições aprendidas de ciclos anteriores, entre outras. Há ainda a participação de especialistas que podem auxiliar na aceleração do processo com a equipe interna, mas sem se sobressair ao papel da equipe. A partir de uma lista de riscos, que deve incluir até mesmo opiniões “pouco prováveis” colhidas durante o processo, partimos para a avaliação e crítica dos riscos levantados.
Já o terceiro método consiste em elaborar um plano de resposta a riscos, sabendo que a principal característica é que todo risco possui um dono.
O dono é alguém responsável pelo risco, não necessariamente um especialista naquela área, porém, é a pessoa que não deixará o risco ser esquecido, acompanhará a implementação das ações planejadas e responderá perante um comitê sobre o risco.
O dono do risco possui duas características: ele pode não ser o especialista na área do risco e ele não deve ser o implementador do plano. Portanto, o gerente de RH pode ser o dono de um risco que será mitigado pela equipe de segurança patrimonial ou pela equipe de TI.
Outra característica do Plano é que um risco pode ter várias respostas ou vários riscos podem ser eliminados ou terceirizados por uma única resposta.
Uma expressiva parte dos riscos de TI pode ser “terceirizada” através de uma única ação: um contrato com um prestador de serviço baseado em níveis de SLA. Isto transferirá os riscos para um terceiro que cobrará por isto e que se responsabilizará pelas ações necessárias.
Dentre as várias ações possíveis com relação aos riscos, podemos: aceitar e não fazer ação alguma, mitigar para reduzir seu impacto, eliminar através de ações corretivas, transferir com um contrato de prestação de serviços ou um seguro.
Analisados os riscos, partimos para o quarto método que é implantar e monitorar este plano. Com isso, é possível ter informação suficiente para elaborar um orçamento embasado nos objetivos da empresa. Será possível, ainda, ter melhores argumentos durante a negociação de verbas e justificar suas ações. Alguns riscos poderão esperar o orçamento do próximo ano, sendo já sinalizados e devidamente compartilhados com os gestores.
Defina as equipes que implantarão as respostas aos riscos e esclareça a posição do Dono do Risco. Ele será um facilitador durante a implementação das respostas e o elo de comunicação entre a equipe e o gestor de segurança. Reuniões periódicas servirão para monitorar o desenrolar do plano e sanar dificuldades.
O quinto e último passo é revisar as lições aprendidas e reiniciar o ciclo. Nem todo o planejamento será implementado sem erros e periodicamente deve-se reavaliar o que poderia ter sido melhor e documentar estas revisões. Não se aprende o que não se documenta. O conhecimento não documentado tende a se dissipar e ir embora com as pessoas.
Revisar lições aprendidas exige profissionalismo dos envolvidos. Não busque culpados. A cultura do medo só vai trazer pessoas medíocres para o seu lado. Se houve falhas graves, omissões ou falta de comprometimento, tome as ações necessárias em outro momento. Deixe claro que se pode errar e aprender com o erro e irresponsabilidades não tem espaço na empresa
Esta abordagem tem o potencial de trazer transparência e colocar a segurança em um ciclo virtuoso de melhoria.
*Eder Carlos da Silva é Gerente de Serviços de TI da Telesul Sistemas.
Ante a evidente necessidade de investir em segurança, as empresas ainda se perguntam: onde investir e por onde começar? Porém, uma boa pergunta, em lugar desta, seria: como garantir o que mais importa no negócio da empresa? Quanto é preciso investir para assegurar o objetivo estratégico?
Primeiro, deve-se focar no essencial, que são o negócio-fim e a estratégia, e evitar investir em soluções que dão a sensação de segurança, mas em nada acrescentam à operação. Na prática, deve-se seguir um ciclo que compreende cinco métodos:
O primeiro método é entender a estratégia e o próprio negócio da empresa. O único sentido que existe para um determinado investimento em uma empresa é estar alinhado com os objetivos de negócio e suas estratégias. Como exemplo, podemos citar o caso de uma empresa que tenha como estratégia levar a força de vendas para próximo do cliente e aumentar o tempo em que o vendedor passa em visitas de 10% para 70% do tempo. Esta estratégia poderá ter como conseqüências o incremento do acesso remoto ao ERP e CRM da empresa, a disponibilização aos vendedores de notebooks e outros tipos de portáteis com informações da empresa e clientes, e a disponibilização de telefonia IP para redução de custo de ligações de longa distância e para comunicação m! ais eficaz entre os vendedores remotos e os escritórios. Isto poderá desencadear uma série de riscos inerentes ao acesso remoto e à segurança de dados.
Após conhecer o caminho que a empresa escolheu, chega a hora de se analisar as ameaças que ela enfrentará.
Parte-se, então, para o segundo método que é identificar e analisar os riscos à estratégia e ao negócio. A identificação e análise de riscos aqui sugeridas são baseadas nas práticas já depuradas e amadurecidas descritas pelo PMI, o Instituto de Gerenciamento de Projetos.
Para identificar a maior quantidade de riscos possível pode-se usar várias técnicas como questionários, apresentação aberta de idéias, lições aprendidas de ciclos anteriores, entre outras. Há ainda a participação de especialistas que podem auxiliar na aceleração do processo com a equipe interna, mas sem se sobressair ao papel da equipe. A partir de uma lista de riscos, que deve incluir até mesmo opiniões “pouco prováveis” colhidas durante o processo, partimos para a avaliação e crítica dos riscos levantados.
Já o terceiro método consiste em elaborar um plano de resposta a riscos, sabendo que a principal característica é que todo risco possui um dono.
O dono é alguém responsável pelo risco, não necessariamente um especialista naquela área, porém, é a pessoa que não deixará o risco ser esquecido, acompanhará a implementação das ações planejadas e responderá perante um comitê sobre o risco.
O dono do risco possui duas características: ele pode não ser o especialista na área do risco e ele não deve ser o implementador do plano. Portanto, o gerente de RH pode ser o dono de um risco que será mitigado pela equipe de segurança patrimonial ou pela equipe de TI.
Outra característica do Plano é que um risco pode ter várias respostas ou vários riscos podem ser eliminados ou terceirizados por uma única resposta.
Uma expressiva parte dos riscos de TI pode ser “terceirizada” através de uma única ação: um contrato com um prestador de serviço baseado em níveis de SLA. Isto transferirá os riscos para um terceiro que cobrará por isto e que se responsabilizará pelas ações necessárias.
Dentre as várias ações possíveis com relação aos riscos, podemos: aceitar e não fazer ação alguma, mitigar para reduzir seu impacto, eliminar através de ações corretivas, transferir com um contrato de prestação de serviços ou um seguro.
Analisados os riscos, partimos para o quarto método que é implantar e monitorar este plano. Com isso, é possível ter informação suficiente para elaborar um orçamento embasado nos objetivos da empresa. Será possível, ainda, ter melhores argumentos durante a negociação de verbas e justificar suas ações. Alguns riscos poderão esperar o orçamento do próximo ano, sendo já sinalizados e devidamente compartilhados com os gestores.
Defina as equipes que implantarão as respostas aos riscos e esclareça a posição do Dono do Risco. Ele será um facilitador durante a implementação das respostas e o elo de comunicação entre a equipe e o gestor de segurança. Reuniões periódicas servirão para monitorar o desenrolar do plano e sanar dificuldades.
O quinto e último passo é revisar as lições aprendidas e reiniciar o ciclo. Nem todo o planejamento será implementado sem erros e periodicamente deve-se reavaliar o que poderia ter sido melhor e documentar estas revisões. Não se aprende o que não se documenta. O conhecimento não documentado tende a se dissipar e ir embora com as pessoas.
Revisar lições aprendidas exige profissionalismo dos envolvidos. Não busque culpados. A cultura do medo só vai trazer pessoas medíocres para o seu lado. Se houve falhas graves, omissões ou falta de comprometimento, tome as ações necessárias em outro momento. Deixe claro que se pode errar e aprender com o erro e irresponsabilidades não tem espaço na empresa
Esta abordagem tem o potencial de trazer transparência e colocar a segurança em um ciclo virtuoso de melhoria.
*Eder Carlos da Silva é Gerente de Serviços de TI da Telesul Sistemas.