Home > Edison Fontes

Sem Política a Gestão de Riscos fica frágil!

Edison Fontes

14/08/2013 às 9h51

Foto:

O colega e bloqueiro da ITWEB Adriano Neves nos brindou esta semana com o comentário: Gestão de Risco, por qual motivam não praticam?

Ele aborda a questão da gestão de risco em relação à gestão de projetos e apresenta razões com as quais eu concordo.Porém gostaria de acrescentar um motivo que eu acho que antecede a todos eles e pode ser considerado para todas as abordagens de gestão de risco: a falta de política ou norma que discipline, organize e defina responsabilidades para a gestão de riscos.

Em resumo: eu entendo que as organizações não possuem uma boa Gestão de Risco porque não possuem um regulamento definindo a existência dessa Gestão de Risco.

Ter um processo de Gestão de Riscos seja em projetos ou em Segurança da Informação exige recursos: pessoas, tempo e dinheiro. Se não existir uma política definindo que deve ser feita uma Gestão de Risco, ela não existirá.A organização precisa explicitar e formalizar o que deseja para as suas informações e como deseja proteger.

A existência de uma norma internacional e já publicada no Brasil, NBR ISO/IEC 27005:2008 - Tecnologia da Informação - Técnicas de segurança - Gestão de riscos de segurança da informação, demonstra que o tema faz parte da arquitetura da proteção da informação das organizações.

Mas, o que interessa é: como a sua organização se posiciona sobre a Gestão de Riscos?Se não existir uma política específica, a Gestão de Risco pode até existir, mas não resistirá a um grito de algum gerente que tenha certo poder e que por algum motivo a avaliação de risco irá lhe impactar.

Mas, a empresa não pertence a um gerente ou executivo.Gestão de risco faz parte do processo de segurança da informação, mas ela existe para possibilitar a realização do negócio e o atendimento aos objetivos da organização.

Dessa forma é bom que esta organização explicite e formalize como quer identificar, avaliar e tratar as ameaças e riscos.

Edison Fontes, CISM, CISA  Consultoria em Políticas e Normas de Segurança da Informaçãoedison@pobox.com

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail