conhecimento em tecnologia da informação os riscos de ti e ... · procedimentos e práticas de...

2015©Bridge Consulting All rights reserved

Conhecimento em Tecnologia da Informação

Os riscos de TI e seus impactos

no negócio

Como gerenciar os riscos de TI usando o ITIL.


As empresas hoje atuam em um ambiente caracterizado por mudanças de contexto

constantes e elevada competitividade. Essas alterações no ambiente externo afetam direta e

significativamente a maneira como tais empresas se organizam internamente e se preparam

para enfrentar os novos desafios e aproveitar as oportunidades.

A sobrevivência das organizações está não somente em sua capacidade de eliminar os

problemas, mas também na habilidade de se adaptar a eles de modo que seja possível

sustentar os seus valores e alcançar os seus objetivos. Nesse sentido, boas práticas de gestão

ganham destaque, uma vez que são necessárias para que as organizações consigam planejar,

executar e monitorar as suas ações de forma efetiva.

Uma das preocupações que envolve o mundo empresarial hoje é a gestão de riscos. Ela

apresenta como mecanismo básico a identificação, a avaliação, o tratamento e o

monitoramento dos riscos presentes em projetos, áreas, departamentos e organizações como

um todo. Essa prática é capaz de potencializar a probabilidade de sucesso e de dar

continuidade aos negócios de uma empresa, mesmo diante das adversidades.

Sobre essa temática surgiram normas e práticas de mercado visando dar suporte às

organizações no tocante à implantação do processo de gestão de riscos. Dentre os documentos

desenvolvidos nos últimos anos estão a norma Standards Australia and Standards New Zeland

4360 (AS/NZS), o modelo do Committee of Sponsoring Organizations of the Treadway

Commission (COSO), o capítulo de gerenciamento de riscos do projeto do guia Project

Management Body of Knowledge (PMBoK) publicado pelo Project Management Institute (PMI)

e a norma ISO 31000 publicada pela International Organization of Standardization (ISO) e

traduzida para o português pela Associação Brasileira de Normas Técnicas (ABNT).

Esses documentos abordam a gestão de riscos de forma mais ampla, podendo ser

aplicados em diferentes tipos de empresa. O Information Technology Infrastructure Library

(ITIL), por sua vez, traz um capítulo específico de riscos de TI em sua edição Service Strategy.

Nela é proposta uma estrutura de gestão de riscos de TI que pode ser usada por todas as

organizações que utilizam ou ofertam serviços dessa natureza.

Gestão de riscos: mais um processo ou uma necessidade?


Em pesquisa realizada pela Tech Supply durante o Integrity Forum 2014, constatou-se

que o principal desafio enfrentado pelas empresas brasileiras para a gestão dos negócios é

hoje a gestão de riscos (35,6%). Além disso, 44,3% das empresas respondentes afirmaram não

ter uma solução de gestão de riscos ou algum projeto em andamento nessa área. Nesse sentido,

percebe-se que as empresas enxergam a gestão de riscos como algo crucial para sua

sobrevivência, no entanto encontram muitos obstáculos para implementar esse processo.

A gestão de riscos é encarada hoje como um desafio e fica a frente até mesmo de

questões como redução de custos e geração de indicadores, de acordo com a pesquisa. Desse

modo, a sua implantação não deve ser considerada um custo, mas sim um investimento.

Considerando o elevado investimento que as empresas realizam em processos e

sistemas de tecnologia da informação, serão discutidos os impactos que a falta de gestão de

riscos de TI pode acarretar nas organizações e como evitar que uma situação caótica seja

deflagrada.


Hoje em dia, as organizações utilizam recursos de TI nas suas operações, independente

do seu tamanho, setor de atuação, localização geográfica ou qualquer outra característica. Por

isso, assim como os riscos ambientais, legais, sociais e econômicos, por exemplo, os riscos

relacionados à TI não podem ser negligenciados.

As empresas utilizam diversos serviços de TI, os quais podem ser oferecidos por uma

área interna ou por outra empresa especializada nesses serviços. Administração de correio

eletrônico e de rede local, centro de dados, certificação digital e rede de comunicação são

alguns dos serviços prestados pelas organizações de TI.

Quando o nível do serviço prestado deixa a desejar, uma pequena falha pode ocasionar

impactos de grandes dimensões nos negócios. Para evitar a ocorrência de eventos indesejáveis

ou para estar preparado para lidar com esses eventos caso eles ocorram, deve-se estar atento

aos riscos envolvidos.

Podem ser considerados exemplos de efeitos indesejados oriundos de riscos de TI: a

paralização nas operações de uma planta industrial, algumas horas sem venda numa rede de

varejo, o vazamento de informações confidenciais de usuários e a divulgação de informações

equivocadas em sites e redes sociais. Alguns casos recentes podem dar a dimensão do impacto

que um risco de TI é capaz de representar para a organização.

Em setembro de 2014, cerca de cinco milhões de nomes de usuários do Gmail foram

publicados em um fórum russo. De acordo com o Google, o vazamento não foi resultado de

nenhum tipo de falha de segurança, mas mesmo assim a empresa incluiu uma nova seção de

segurança na página de configurações da conta do usuário denominada “Proteger sua conta”,

permitindo atualizar as definições de forma mais rápida.

Outro caso decorrente de falha de TI ocorreu em dezembro de 2014. A KLM, companhia

aérea que pertence ao grupo AIR FRANCE KLM desde 2004, disponibilizou em seu site

passagens do Brasil para diversos destinos da Europa por menos de R$ 500,00, ou seja, as

passagens vendidas durante a falha no site saíram por um valor até 85% mais baixo do que o

convencional. Essas informações carregadas acidentalmente no sistema de e-commerce

Como os riscos de TI impactam o negócio


geraram prejuízo para empresa que precisou honrar as compras dos clientes brasileiros que

chegaram a ter as suas passagens emitidas.

No início de 2015, uma rede de varejo enfrentou problemas de TI que afetaram

diretamente suas vendas em diversas lojas. Durante três dias, partes do sistema ficaram sem

funcionar devido a um erro de atualização. Em algumas lojas a máquina de cartão e o terminal

PDV ficaram inutilizáveis. Uma grande dificuldade foi identificar quais partes do sistema não

estavam funcionando em cada uma das lojas e, como não havia um plano de contingência, foi

criada uma força tarefa com toda a equipe de TI e de operações para entrar em contato com

cada loja e, assim, tentar solucionar os problemas. Nesse período, houve uma queda nas

vendas das lojas que apresentaram problemas, colaboradores deixaram de atuar em seus

projetos para atuar na operação e houve um estresse grande da equipe de TI que ficou se

revezando durante 72 horas seguidas para solucionar o problema e emitir relatórios em tempo

real.

Essa experiência relatada se traduz em um dos principais riscos enfrentados pelas

organizações de TI. A tendência de subdividir serviços em processos discretos gerenciados por

diferentes grupos detentores de conhecimento especializado aumenta a necessidade de

coordenação entre os componentes. Com a ausência de um responsável pelo processo de

atualização do sistema na rede de varejo, cada uma das áreas realizava as mudanças conforme

critérios próprios. Em casos como esse, se há uma coordenação no funcionamento das partes

desses serviços, isso se torna uma excelente estratégia para diminuição do tempo de execução

do serviço e otimização do uso de recursos.

Como visto nos relatos acima, a ausência de um levantamento de riscos de TI e da sua

adequada gestão pode resultar em uma desordem nas operações de uma empresa e uma

perda considerável nas vendas, além de consequências como insatisfação dos stakeholders

externos e internos, visão negativa da imagem da empresa frente aos consumidores e

vulnerabilidade do sistema.


Gerenciar riscos diz respeito a reconhecer que não existe uma proteção perfeita. Por

isso, a organização precisa tomar decisões conscientes do que ela irá fazer e do que ela não irá

fazer para se proteger. Nesse sentido, uma abordagem que contemple alguns controles de

riscos sempre será mais eficaz do que a tentativa de solucionar todos os problemas.

De acordo a McKinsey, cada vez mais CEOs e líderes empresariais buscam assumir uma

postura mais proativa a fim de desenvolver capacidades de gestão de riscos, sempre

considerando suas prioridades estratégicas e econômicas. Essas capacidades tornam-se

vantagens competitivas, uma vez que melhoram as decisões de negócios e aumentam o valor

da empresa de forma consciente considerando os riscos envolvidos.

O primeiro passo para obter as vantagens provenientes da gestão de riscos é definir o

seu processo e implantá-lo em todos os níveis – operacional, tático e estratégico – de forma

integrada. Modelos de referência internacionais como o ITIL, COSO e ISO auxiliam nessa

definição.

A norma ISO 31000, um guia de princípios e diretrizes publicado em 2009, define gestão

de riscos como um conjunto de atividades coordenadas para dirigir e controlar uma

organização no que se refere a riscos. Esse processo inclui a aplicação sistemática de políticas,

procedimentos e práticas de gestão para as atividades de comunicação e consulta,

estabelecimento do contexto, identificação, análise, avaliação, tratamento, monitoramento e

análise crítica dos riscos.

As atividades que compõem o processo de gestão de riscos no nível corporativo são

influenciadas por diversos tipos de pressão como compliance e mudanças regulatórias. Essas

atividades variam de modelo para modelo, sendo assim é preciso conhecê-los a fim de utilizar

o mais adequado para cada realidade corporativa. Quando falamos em TI, o ITIL propõe um

modelo que será visto no detalhe a seguir.

Gerenciando os riscos do negócio


Como visto até aqui, a gestão de riscos de TI é uma tarefa imprescindível para se evitar

perdas em diversos âmbitos das organizações e para identificar oportunidades de inovação e

transformação digital. O ITIL relata que esse processo visa realizar uma avaliação (assessment)

acurada dos riscos em dada situação, além de analisar os benefícios potenciais. Assim, os riscos

positivos e negativos apresentados por cada curso de ação devem ser definidos para que sejam

identificadas as respostas/reações apropriadas.

Nesse ínterim, o objetivo do processo que vem sendo discutido é assegurar que a

organização utilize uma estrutura (framework) de risco com uma série de passos bem

definidos. Essa estrutura, então, suportaria as tomadas de decisão através do bom

entendimento dos riscos e dos seus possíveis impactos.

No modelo proposto pelo ITIL podem ser identificadas duas fases da gestão de riscos:

Análise de Riscos e Gestão de Riscos propriamente dita. A figura 1 apresenta esse modelo.

Figura 1 – Estrutura genérica de gestão de riscos adaptada do ITIL (2004)

Proposta do ITIL quanto à gestão de riscos


Na estrutura proposta pelo ITIL, a parte de análise de riscos preocupa-se com a coleta

de informações sobre a exposição ao risco para que a organização possa tomar decisões

apropriadas e consiga gerenciar os riscos de forma adequada.

Inicialmente é feito o levantamento dos riscos envolvidos nos serviços de TI. Essa etapa

precisa ser realizada de maneira minuciosa, pois um risco relevante esquecido não será

avaliado posteriormente.

Outro ponto é a identificação dos proprietários dos riscos (risk owners). Como visto no

caso da loja de varejo citado anteriormente, na falta de um responsável por uma tarefa ou

processo não há de quem cobrar sua realização e nem rastrear o que foi executado.

Seguindo o fluxo do processo, os riscos devem ser avaliados, o que normalmente é feito

a partir da definição da probabilidade e do impacto de cada risco para o negócio. Então é

possível priorizar os riscos e compará-los com os níveis de propensão/aversão ao risco

aceitáveis pela organização.

Tendo selecionado os principais riscos, são estudadas as maneiras mais adequadas para

lidar com eles. Essas respostas aceitáveis correspondem aos tratamentos, os quais podem ser:

transferir o risco, minimizar sua probabilidade de ocorrência, criar redundâncias ou tratar os

seus efeitos caso seja inviável evitar sua concretização.

Integrado em um mesmo ciclo, a gestão de riscos envolve implementar os tratamentos

definidos e obter garantias sobre a eficácia desses tratamentos, o que envolve monitorar os

riscos. Ademais, informações confiáveis devem ser acessadas e atualizadas para que o ciclo

seja continuamente realizado.

A gestão dos riscos de TI deve ser feita sob a ótica de quem demanda os serviços de TI

e avalia como esses riscos impactam o seu negócio. Além disso, o lado de quem oferta esses

serviços deve ser considerado.

Ao oferecer os seus serviços, as organizações de TI reduzem as ameaças referentes ao

negócio do cliente, o qual transfere parte deles para esses provedores. Portanto, provedores

de serviços devem possuir controles adequados para proteger os seus interesses no longo

prazo, enquanto continuam a dar apoio aos seus clientes de forma flexível através de uma

grande variação de cenários.


Assim, a análise e a gestão de riscos que compõem a estrutura proposta pelo ITIL

deveriam ser aplicadas aos serviços de TI para identificar, controlar e tratar os riscos ao longo

do seu ciclo de vida.

Percebe-se que a gestão de riscos possui um papel crucial na gestão dos serviços e do

negócio, o que é ilustrado na figura 2.

Figura 2 – Interface entre a gestão de riscos e a gestão dos serviços adaptada do ITIL (2004)


O guia ITIL provê uma visão geral dos aspectos de gestão de riscos e, por isso, algumas

atividades não estão incluídas em seu modelo. Assim, as organizações precisam considerar

outros elementos de modo a aprimorar o processo a ser implantado.

Pensando numa definição de ordem mais prática para o dia a dia das empresas, a norma

ISO 31000 consegue propor um processo também genérico, mas com uma riqueza maior de

detalhes. Sua característica de generalidade significa que a sua proposta pode ser aplicada em

qualquer organização, dos mais variados tamanhos e áreas de atuação, salvas as adaptações

necessárias para atender as particularidades de cada uma.

Alguns termos como identificar, analisar, definir respostas e avaliar estão presentes na

maioria dos modelos propostos. No entanto, a ordem das atividades e os seus significados são

muitas vezes divergentes.

O interessante é compreender a essência do processo e, assim, ser capaz de incluir as

atividades necessárias para que a gestão de riscos atinja o seu objetivo, ou seja, minimize os

efeitos negativos e maximize os positivos.

Partindo de uma visão mais ampla, a ISO 31000 considera as atividades de comunicação

e consulta, estabelecimento do contexto e monitoramento e análise crítica que são

inexploradas pelo ITIL. A figura 3 mostra o processo proposto pela norma em questão.

Analisando o processo de gestão de riscos do ITIL


Figura 3 – Processo de gestão de riscos (ISO 31000, 2009)

Essa diferença pode ter origem no fato de essas serem atividades auxiliares àquelas

consideradas o cerne da gestão de riscos. No entanto, elas contribuem para o sucesso desse

processo.

Ao estabelecer o contexto no qual o processo de gestão de riscos será aplicado,

consegue-se estabelecer o limite no qual os riscos devem ser identificados, quem são as partes

interessadas, que Política de Risco irá reger esse processo, entre outros pontos. Com isso, os

recursos conseguem ser alocados com menos desperdícios e menos escassez. Caso haja

mudança no contexto previamente definido, deve-se repensar todo o processo. Entende-se

mudança no contexto por alterações tanto no ambiente interno quanto no ambiente externo.

Vale lembrar que uma boa política não irá resultar automaticamente em um programa

eficaz de segurança, mas uma política ruim ou inexistente frequentemente leva a um nível

imaturo e medíocre de gestão de riscos.

Já a atividade de comunicar e consultar os stakeholders quanto aos riscos inerentes ao

processo, ao projeto ou à organização, por exemplo, evita que surpresas desagradáveis sejam

enfrentadas. Numa situação como essa, stakeholders importantes podem perder o interesse,

a confiança e diminuir o seu apoio. É importante lembrar que a transparência é um fator

importante para manutenção de relações corporativas sólidas e duradouras.


A atividade “Monitoramento e análise crítica” pode ser considerada como a junção das

atividades “Conseguir garantias sobre a eficácia” e “Incorporar e revisar” presentes no modelo

do ITIL. Porém, a sua execução não deve estar limitada a ocorrer apenas após o tratamento

dos riscos, o que no ITIL seria “Implementar respostas”. Na verdade, elas devem ocorrer

durante todo o processo, de forma contínua e cíclica, como pode ser observado na figura 3.

Considerando agora a fase de análise de riscos proposta pelo ITIL, esta engloba as

atividades presentes no processo de avaliação (assessment) de riscos da ISO 31000. Ambos os

modelos tratam da identificação dos riscos e esse é um dos pontos básicos e essenciais do

processo, pois, como dito anteriormente, riscos inicialmente esquecidos não serão

considerados nas etapas posteriores.

Em seguida, o ITIL propõe a definição dos risk owners. Já a ISO 31000 sugere que eles

só sejam definidos após a priorização dos tratamentos dos riscos, o que parece mais sensato,

pois é importante que se tenha ciência das competências necessárias para, em seguida, alocar

o proprietário mais adequado para cada risco.

Os termos análise e avaliação se confundem nos dois modelos. O importante, nesse

caso, é compreender que a sequência deve ser definir a probabilidade e o impacto de cada um

dos riscos identificados, bem como suas causas e consequências, para assim priorizar os riscos

mais críticos em função desses aspectos.

A definição dos níveis aceitáveis de risco no ITIL estaria presente na etapa de avaliação

(evaluation) dos riscos da ISO 31000. O importante é que as sequências dos dois modelos nesse

ponto são compatíveis. Parte dessa confusão de termos se deve à tradução do inglês para o

português e, por isso, é tão importante entender a lógica do processo ao invés de ficar preso

aos temos e nomenclaturas.

As divergências aqui levantadas também seriam identificadas se fossem feitas

comparações com os outros documentos já citados anteriormente e, por isso, mais uma vez é

válido ressaltar que todos os modelos seguem uma mesma lógica. Foi visando uniformizar os

conceitos pré-existentes e estabelecer um padrão consistente capaz de ser aplicado a todas as

formas de riscos que a norma ISO 31000 foi desenvolvida e, por isso, pode ser considerada

mais completa e de entendimento mais simples.


Diversos são os tipos de riscos que podem impactar os negócios de uma empresa e

entre eles se encontram os de TI. Esses riscos ganharam relevância, pois muitos são os serviços

de tecnologia da informação utilizados por empresas em todos os setores da economia. Sendo

assim, fica evidente a necessidade de implantação do processo de gestão de riscos nas

organizações.

A concretização de certos eventos pode acarretar em desvios ao longo do caminho

percorrido pelas organizações para alcançar os seus objetivos. Vale lembrar que os possíveis

efeitos causados nos negócios quando um risco passa do patamar de incerteza para realizado

podem ser tanto negativos quanto positivos. Assim, o fato de um objetivo inicialmente definido

não ser atingido pode significar o alcance de uma situação ainda melhor que não havia sido

prevista. Nesse sentido, se a empresa está preparada para lidar com os riscos, ela pode

alavancar os seus resultados ao aproveitar novas oportunidades. Por outro lado, muitas são as

ameaças existentes no ambiente corporativo e, nesse caso, maior ainda é a necessidade de

implantar a gestão de riscos. Essas ameaças podem inibir a continuidade do negócio e, por

vezes, ameaçar até a sua sobrevivência.

Com o intuito de auxiliar as empresas a tirar proveito das oportunidades e resistir às

adversidades, modelos de gestão de riscos foram desenvolvidos e publicados por instituições

internacionais. Esses modelos podem ser aplicados nas mais diversas empresas, sempre

considerando as particularidades de cada uma.

O modelo de gestão de riscos de TI proposto pelo ITIL contempla as principais etapas

que devem compor o processo de gestão de riscos e pode ser utilizado por empresas tanto

que fornecem quanto que demandam serviços desse tipo. No entanto, é preciso considerar as

atividades de suporte não integradas nesse modelo, que são: estabelecimento do contexto,

comunicação e consulta, e monitoramento e análise crítica.

Apesar das diferenças existentes entre os principais modelos publicados, o importante é

compreender a lógica do processo e adequá-lo à realidade da empresa que está sendo

considerada. Além disso, deve-se promover a disseminação da cultura da gestão de riscos na

empresa a fim de que todos participem colaborativamente.

Conclusão


ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 31000:2009 - Gestão de

riscos - Princípios e diretrizes. Rio de Janeiro, 2009.

CIO. Gestão de riscos desafia empresas. Disponível em: <http://cio.com.br/noticias/2014/09/01/gestao-de-riscos-desafia-empresas/>. Acesso em: 15 jul. 2015.

GARTNER. Planning Information Security and Risk Management Policy. 6 jun. 2012.

INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY. ITIL Service Strategy. TSO, 2011.

Referências Bibliográficas

conhecimento em tecnologia da informação os riscos de ti e ... · procedimentos e práticas de...

Documents