conhecimento em tecnologia da informação os riscos de ti e ... · procedimentos e práticas de...
TRANSCRIPT
2015©Bridge Consulting All rights reserved
Conhecimento em Tecnologia da Informação
Os riscos de TI e seus impactos
no negócio
Como gerenciar os riscos de TI usando o ITIL.
2015©Bridge Consulting All rights reserved
As empresas hoje atuam em um ambiente caracterizado por mudanças de contexto
constantes e elevada competitividade. Essas alterações no ambiente externo afetam direta e
significativamente a maneira como tais empresas se organizam internamente e se preparam
para enfrentar os novos desafios e aproveitar as oportunidades.
A sobrevivência das organizações está não somente em sua capacidade de eliminar os
problemas, mas também na habilidade de se adaptar a eles de modo que seja possível
sustentar os seus valores e alcançar os seus objetivos. Nesse sentido, boas práticas de gestão
ganham destaque, uma vez que são necessárias para que as organizações consigam planejar,
executar e monitorar as suas ações de forma efetiva.
Uma das preocupações que envolve o mundo empresarial hoje é a gestão de riscos. Ela
apresenta como mecanismo básico a identificação, a avaliação, o tratamento e o
monitoramento dos riscos presentes em projetos, áreas, departamentos e organizações como
um todo. Essa prática é capaz de potencializar a probabilidade de sucesso e de dar
continuidade aos negócios de uma empresa, mesmo diante das adversidades.
Sobre essa temática surgiram normas e práticas de mercado visando dar suporte às
organizações no tocante à implantação do processo de gestão de riscos. Dentre os documentos
desenvolvidos nos últimos anos estão a norma Standards Australia and Standards New Zeland
4360 (AS/NZS), o modelo do Committee of Sponsoring Organizations of the Treadway
Commission (COSO), o capítulo de gerenciamento de riscos do projeto do guia Project
Management Body of Knowledge (PMBoK) publicado pelo Project Management Institute (PMI)
e a norma ISO 31000 publicada pela International Organization of Standardization (ISO) e
traduzida para o português pela Associação Brasileira de Normas Técnicas (ABNT).
Esses documentos abordam a gestão de riscos de forma mais ampla, podendo ser
aplicados em diferentes tipos de empresa. O Information Technology Infrastructure Library
(ITIL), por sua vez, traz um capítulo específico de riscos de TI em sua edição Service Strategy.
Nela é proposta uma estrutura de gestão de riscos de TI que pode ser usada por todas as
organizações que utilizam ou ofertam serviços dessa natureza.
Gestão de riscos: mais um processo ou uma necessidade?
2015©Bridge Consulting All rights reserved
Em pesquisa realizada pela Tech Supply durante o Integrity Forum 2014, constatou-se
que o principal desafio enfrentado pelas empresas brasileiras para a gestão dos negócios é
hoje a gestão de riscos (35,6%). Além disso, 44,3% das empresas respondentes afirmaram não
ter uma solução de gestão de riscos ou algum projeto em andamento nessa área. Nesse sentido,
percebe-se que as empresas enxergam a gestão de riscos como algo crucial para sua
sobrevivência, no entanto encontram muitos obstáculos para implementar esse processo.
A gestão de riscos é encarada hoje como um desafio e fica a frente até mesmo de
questões como redução de custos e geração de indicadores, de acordo com a pesquisa. Desse
modo, a sua implantação não deve ser considerada um custo, mas sim um investimento.
Considerando o elevado investimento que as empresas realizam em processos e
sistemas de tecnologia da informação, serão discutidos os impactos que a falta de gestão de
riscos de TI pode acarretar nas organizações e como evitar que uma situação caótica seja
deflagrada.
2015©Bridge Consulting All rights reserved
Hoje em dia, as organizações utilizam recursos de TI nas suas operações, independente
do seu tamanho, setor de atuação, localização geográfica ou qualquer outra característica. Por
isso, assim como os riscos ambientais, legais, sociais e econômicos, por exemplo, os riscos
relacionados à TI não podem ser negligenciados.
As empresas utilizam diversos serviços de TI, os quais podem ser oferecidos por uma
área interna ou por outra empresa especializada nesses serviços. Administração de correio
eletrônico e de rede local, centro de dados, certificação digital e rede de comunicação são
alguns dos serviços prestados pelas organizações de TI.
Quando o nível do serviço prestado deixa a desejar, uma pequena falha pode ocasionar
impactos de grandes dimensões nos negócios. Para evitar a ocorrência de eventos indesejáveis
ou para estar preparado para lidar com esses eventos caso eles ocorram, deve-se estar atento
aos riscos envolvidos.
Podem ser considerados exemplos de efeitos indesejados oriundos de riscos de TI: a
paralização nas operações de uma planta industrial, algumas horas sem venda numa rede de
varejo, o vazamento de informações confidenciais de usuários e a divulgação de informações
equivocadas em sites e redes sociais. Alguns casos recentes podem dar a dimensão do impacto
que um risco de TI é capaz de representar para a organização.
Em setembro de 2014, cerca de cinco milhões de nomes de usuários do Gmail foram
publicados em um fórum russo. De acordo com o Google, o vazamento não foi resultado de
nenhum tipo de falha de segurança, mas mesmo assim a empresa incluiu uma nova seção de
segurança na página de configurações da conta do usuário denominada “Proteger sua conta”,
permitindo atualizar as definições de forma mais rápida.
Outro caso decorrente de falha de TI ocorreu em dezembro de 2014. A KLM, companhia
aérea que pertence ao grupo AIR FRANCE KLM desde 2004, disponibilizou em seu site
passagens do Brasil para diversos destinos da Europa por menos de R$ 500,00, ou seja, as
passagens vendidas durante a falha no site saíram por um valor até 85% mais baixo do que o
convencional. Essas informações carregadas acidentalmente no sistema de e-commerce
Como os riscos de TI impactam o negócio
2015©Bridge Consulting All rights reserved
geraram prejuízo para empresa que precisou honrar as compras dos clientes brasileiros que
chegaram a ter as suas passagens emitidas.
No início de 2015, uma rede de varejo enfrentou problemas de TI que afetaram
diretamente suas vendas em diversas lojas. Durante três dias, partes do sistema ficaram sem
funcionar devido a um erro de atualização. Em algumas lojas a máquina de cartão e o terminal
PDV ficaram inutilizáveis. Uma grande dificuldade foi identificar quais partes do sistema não
estavam funcionando em cada uma das lojas e, como não havia um plano de contingência, foi
criada uma força tarefa com toda a equipe de TI e de operações para entrar em contato com
cada loja e, assim, tentar solucionar os problemas. Nesse período, houve uma queda nas
vendas das lojas que apresentaram problemas, colaboradores deixaram de atuar em seus
projetos para atuar na operação e houve um estresse grande da equipe de TI que ficou se
revezando durante 72 horas seguidas para solucionar o problema e emitir relatórios em tempo
real.
Essa experiência relatada se traduz em um dos principais riscos enfrentados pelas
organizações de TI. A tendência de subdividir serviços em processos discretos gerenciados por
diferentes grupos detentores de conhecimento especializado aumenta a necessidade de
coordenação entre os componentes. Com a ausência de um responsável pelo processo de
atualização do sistema na rede de varejo, cada uma das áreas realizava as mudanças conforme
critérios próprios. Em casos como esse, se há uma coordenação no funcionamento das partes
desses serviços, isso se torna uma excelente estratégia para diminuição do tempo de execução
do serviço e otimização do uso de recursos.
Como visto nos relatos acima, a ausência de um levantamento de riscos de TI e da sua
adequada gestão pode resultar em uma desordem nas operações de uma empresa e uma
perda considerável nas vendas, além de consequências como insatisfação dos stakeholders
externos e internos, visão negativa da imagem da empresa frente aos consumidores e
vulnerabilidade do sistema.
2015©Bridge Consulting All rights reserved
Gerenciar riscos diz respeito a reconhecer que não existe uma proteção perfeita. Por
isso, a organização precisa tomar decisões conscientes do que ela irá fazer e do que ela não irá
fazer para se proteger. Nesse sentido, uma abordagem que contemple alguns controles de
riscos sempre será mais eficaz do que a tentativa de solucionar todos os problemas.
De acordo a McKinsey, cada vez mais CEOs e líderes empresariais buscam assumir uma
postura mais proativa a fim de desenvolver capacidades de gestão de riscos, sempre
considerando suas prioridades estratégicas e econômicas. Essas capacidades tornam-se
vantagens competitivas, uma vez que melhoram as decisões de negócios e aumentam o valor
da empresa de forma consciente considerando os riscos envolvidos.
O primeiro passo para obter as vantagens provenientes da gestão de riscos é definir o
seu processo e implantá-lo em todos os níveis – operacional, tático e estratégico – de forma
integrada. Modelos de referência internacionais como o ITIL, COSO e ISO auxiliam nessa
definição.
A norma ISO 31000, um guia de princípios e diretrizes publicado em 2009, define gestão
de riscos como um conjunto de atividades coordenadas para dirigir e controlar uma
organização no que se refere a riscos. Esse processo inclui a aplicação sistemática de políticas,
procedimentos e práticas de gestão para as atividades de comunicação e consulta,
estabelecimento do contexto, identificação, análise, avaliação, tratamento, monitoramento e
análise crítica dos riscos.
As atividades que compõem o processo de gestão de riscos no nível corporativo são
influenciadas por diversos tipos de pressão como compliance e mudanças regulatórias. Essas
atividades variam de modelo para modelo, sendo assim é preciso conhecê-los a fim de utilizar
o mais adequado para cada realidade corporativa. Quando falamos em TI, o ITIL propõe um
modelo que será visto no detalhe a seguir.
Gerenciando os riscos do negócio
2015©Bridge Consulting All rights reserved
Como visto até aqui, a gestão de riscos de TI é uma tarefa imprescindível para se evitar
perdas em diversos âmbitos das organizações e para identificar oportunidades de inovação e
transformação digital. O ITIL relata que esse processo visa realizar uma avaliação (assessment)
acurada dos riscos em dada situação, além de analisar os benefícios potenciais. Assim, os riscos
positivos e negativos apresentados por cada curso de ação devem ser definidos para que sejam
identificadas as respostas/reações apropriadas.
Nesse ínterim, o objetivo do processo que vem sendo discutido é assegurar que a
organização utilize uma estrutura (framework) de risco com uma série de passos bem
definidos. Essa estrutura, então, suportaria as tomadas de decisão através do bom
entendimento dos riscos e dos seus possíveis impactos.
No modelo proposto pelo ITIL podem ser identificadas duas fases da gestão de riscos:
Análise de Riscos e Gestão de Riscos propriamente dita. A figura 1 apresenta esse modelo.
Figura 1 – Estrutura genérica de gestão de riscos adaptada do ITIL (2004)
Proposta do ITIL quanto à gestão de riscos
2015©Bridge Consulting All rights reserved
Na estrutura proposta pelo ITIL, a parte de análise de riscos preocupa-se com a coleta
de informações sobre a exposição ao risco para que a organização possa tomar decisões
apropriadas e consiga gerenciar os riscos de forma adequada.
Inicialmente é feito o levantamento dos riscos envolvidos nos serviços de TI. Essa etapa
precisa ser realizada de maneira minuciosa, pois um risco relevante esquecido não será
avaliado posteriormente.
Outro ponto é a identificação dos proprietários dos riscos (risk owners). Como visto no
caso da loja de varejo citado anteriormente, na falta de um responsável por uma tarefa ou
processo não há de quem cobrar sua realização e nem rastrear o que foi executado.
Seguindo o fluxo do processo, os riscos devem ser avaliados, o que normalmente é feito
a partir da definição da probabilidade e do impacto de cada risco para o negócio. Então é
possível priorizar os riscos e compará-los com os níveis de propensão/aversão ao risco
aceitáveis pela organização.
Tendo selecionado os principais riscos, são estudadas as maneiras mais adequadas para
lidar com eles. Essas respostas aceitáveis correspondem aos tratamentos, os quais podem ser:
transferir o risco, minimizar sua probabilidade de ocorrência, criar redundâncias ou tratar os
seus efeitos caso seja inviável evitar sua concretização.
Integrado em um mesmo ciclo, a gestão de riscos envolve implementar os tratamentos
definidos e obter garantias sobre a eficácia desses tratamentos, o que envolve monitorar os
riscos. Ademais, informações confiáveis devem ser acessadas e atualizadas para que o ciclo
seja continuamente realizado.
A gestão dos riscos de TI deve ser feita sob a ótica de quem demanda os serviços de TI
e avalia como esses riscos impactam o seu negócio. Além disso, o lado de quem oferta esses
serviços deve ser considerado.
Ao oferecer os seus serviços, as organizações de TI reduzem as ameaças referentes ao
negócio do cliente, o qual transfere parte deles para esses provedores. Portanto, provedores
de serviços devem possuir controles adequados para proteger os seus interesses no longo
prazo, enquanto continuam a dar apoio aos seus clientes de forma flexível através de uma
grande variação de cenários.
2015©Bridge Consulting All rights reserved
Assim, a análise e a gestão de riscos que compõem a estrutura proposta pelo ITIL
deveriam ser aplicadas aos serviços de TI para identificar, controlar e tratar os riscos ao longo
do seu ciclo de vida.
Percebe-se que a gestão de riscos possui um papel crucial na gestão dos serviços e do
negócio, o que é ilustrado na figura 2.
Figura 2 – Interface entre a gestão de riscos e a gestão dos serviços adaptada do ITIL (2004)
2015©Bridge Consulting All rights reserved
O guia ITIL provê uma visão geral dos aspectos de gestão de riscos e, por isso, algumas
atividades não estão incluídas em seu modelo. Assim, as organizações precisam considerar
outros elementos de modo a aprimorar o processo a ser implantado.
Pensando numa definição de ordem mais prática para o dia a dia das empresas, a norma
ISO 31000 consegue propor um processo também genérico, mas com uma riqueza maior de
detalhes. Sua característica de generalidade significa que a sua proposta pode ser aplicada em
qualquer organização, dos mais variados tamanhos e áreas de atuação, salvas as adaptações
necessárias para atender as particularidades de cada uma.
Alguns termos como identificar, analisar, definir respostas e avaliar estão presentes na
maioria dos modelos propostos. No entanto, a ordem das atividades e os seus significados são
muitas vezes divergentes.
O interessante é compreender a essência do processo e, assim, ser capaz de incluir as
atividades necessárias para que a gestão de riscos atinja o seu objetivo, ou seja, minimize os
efeitos negativos e maximize os positivos.
Partindo de uma visão mais ampla, a ISO 31000 considera as atividades de comunicação
e consulta, estabelecimento do contexto e monitoramento e análise crítica que são
inexploradas pelo ITIL. A figura 3 mostra o processo proposto pela norma em questão.
Analisando o processo de gestão de riscos do ITIL
2015©Bridge Consulting All rights reserved
Figura 3 – Processo de gestão de riscos (ISO 31000, 2009)
Essa diferença pode ter origem no fato de essas serem atividades auxiliares àquelas
consideradas o cerne da gestão de riscos. No entanto, elas contribuem para o sucesso desse
processo.
Ao estabelecer o contexto no qual o processo de gestão de riscos será aplicado,
consegue-se estabelecer o limite no qual os riscos devem ser identificados, quem são as partes
interessadas, que Política de Risco irá reger esse processo, entre outros pontos. Com isso, os
recursos conseguem ser alocados com menos desperdícios e menos escassez. Caso haja
mudança no contexto previamente definido, deve-se repensar todo o processo. Entende-se
mudança no contexto por alterações tanto no ambiente interno quanto no ambiente externo.
Vale lembrar que uma boa política não irá resultar automaticamente em um programa
eficaz de segurança, mas uma política ruim ou inexistente frequentemente leva a um nível
imaturo e medíocre de gestão de riscos.
Já a atividade de comunicar e consultar os stakeholders quanto aos riscos inerentes ao
processo, ao projeto ou à organização, por exemplo, evita que surpresas desagradáveis sejam
enfrentadas. Numa situação como essa, stakeholders importantes podem perder o interesse,
a confiança e diminuir o seu apoio. É importante lembrar que a transparência é um fator
importante para manutenção de relações corporativas sólidas e duradouras.
2015©Bridge Consulting All rights reserved
A atividade “Monitoramento e análise crítica” pode ser considerada como a junção das
atividades “Conseguir garantias sobre a eficácia” e “Incorporar e revisar” presentes no modelo
do ITIL. Porém, a sua execução não deve estar limitada a ocorrer apenas após o tratamento
dos riscos, o que no ITIL seria “Implementar respostas”. Na verdade, elas devem ocorrer
durante todo o processo, de forma contínua e cíclica, como pode ser observado na figura 3.
Considerando agora a fase de análise de riscos proposta pelo ITIL, esta engloba as
atividades presentes no processo de avaliação (assessment) de riscos da ISO 31000. Ambos os
modelos tratam da identificação dos riscos e esse é um dos pontos básicos e essenciais do
processo, pois, como dito anteriormente, riscos inicialmente esquecidos não serão
considerados nas etapas posteriores.
Em seguida, o ITIL propõe a definição dos risk owners. Já a ISO 31000 sugere que eles
só sejam definidos após a priorização dos tratamentos dos riscos, o que parece mais sensato,
pois é importante que se tenha ciência das competências necessárias para, em seguida, alocar
o proprietário mais adequado para cada risco.
Os termos análise e avaliação se confundem nos dois modelos. O importante, nesse
caso, é compreender que a sequência deve ser definir a probabilidade e o impacto de cada um
dos riscos identificados, bem como suas causas e consequências, para assim priorizar os riscos
mais críticos em função desses aspectos.
A definição dos níveis aceitáveis de risco no ITIL estaria presente na etapa de avaliação
(evaluation) dos riscos da ISO 31000. O importante é que as sequências dos dois modelos nesse
ponto são compatíveis. Parte dessa confusão de termos se deve à tradução do inglês para o
português e, por isso, é tão importante entender a lógica do processo ao invés de ficar preso
aos temos e nomenclaturas.
As divergências aqui levantadas também seriam identificadas se fossem feitas
comparações com os outros documentos já citados anteriormente e, por isso, mais uma vez é
válido ressaltar que todos os modelos seguem uma mesma lógica. Foi visando uniformizar os
conceitos pré-existentes e estabelecer um padrão consistente capaz de ser aplicado a todas as
formas de riscos que a norma ISO 31000 foi desenvolvida e, por isso, pode ser considerada
mais completa e de entendimento mais simples.
2015©Bridge Consulting All rights reserved
Diversos são os tipos de riscos que podem impactar os negócios de uma empresa e
entre eles se encontram os de TI. Esses riscos ganharam relevância, pois muitos são os serviços
de tecnologia da informação utilizados por empresas em todos os setores da economia. Sendo
assim, fica evidente a necessidade de implantação do processo de gestão de riscos nas
organizações.
A concretização de certos eventos pode acarretar em desvios ao longo do caminho
percorrido pelas organizações para alcançar os seus objetivos. Vale lembrar que os possíveis
efeitos causados nos negócios quando um risco passa do patamar de incerteza para realizado
podem ser tanto negativos quanto positivos. Assim, o fato de um objetivo inicialmente definido
não ser atingido pode significar o alcance de uma situação ainda melhor que não havia sido
prevista. Nesse sentido, se a empresa está preparada para lidar com os riscos, ela pode
alavancar os seus resultados ao aproveitar novas oportunidades. Por outro lado, muitas são as
ameaças existentes no ambiente corporativo e, nesse caso, maior ainda é a necessidade de
implantar a gestão de riscos. Essas ameaças podem inibir a continuidade do negócio e, por
vezes, ameaçar até a sua sobrevivência.
Com o intuito de auxiliar as empresas a tirar proveito das oportunidades e resistir às
adversidades, modelos de gestão de riscos foram desenvolvidos e publicados por instituições
internacionais. Esses modelos podem ser aplicados nas mais diversas empresas, sempre
considerando as particularidades de cada uma.
O modelo de gestão de riscos de TI proposto pelo ITIL contempla as principais etapas
que devem compor o processo de gestão de riscos e pode ser utilizado por empresas tanto
que fornecem quanto que demandam serviços desse tipo. No entanto, é preciso considerar as
atividades de suporte não integradas nesse modelo, que são: estabelecimento do contexto,
comunicação e consulta, e monitoramento e análise crítica.
Apesar das diferenças existentes entre os principais modelos publicados, o importante é
compreender a lógica do processo e adequá-lo à realidade da empresa que está sendo
considerada. Além disso, deve-se promover a disseminação da cultura da gestão de riscos na
empresa a fim de que todos participem colaborativamente.
Conclusão
2015©Bridge Consulting All rights reserved
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 31000:2009 - Gestão de
riscos - Princípios e diretrizes. Rio de Janeiro, 2009.
CIO. Gestão de riscos desafia empresas. Disponível em: <http://cio.com.br/noticias/2014/09/01/gestao-de-riscos-desafia-empresas/>. Acesso em: 15 jul. 2015.
GARTNER. Planning Information Security and Risk Management Policy. 6 jun. 2012.
INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY. ITIL Service Strategy. TSO, 2011.
Referências Bibliográficas