Uma avaliação de risco feita corretamente pela equipe de TI pode ser de grande valia para empresas durante a tomada de decisão tecnológica e de negócios. Infelizmente, segundo, Scott Laliberte, diretor da Priviti, muitos empresários não desempenham a avaliação de riscos de forma alguma. E entre os que passam pelo processo, muitos falham em voltar e atualizar, caso seu ambiente de ameaça ou modelo de negócio sofra mudanças.
Curta, no Facebook, a Fan Page do IT Web
“Neste caso, a avaliação de risco deixa de cobrir problemas essenciais”. Então, a primeira coisa a lembrar sobre avaliação de riscos é fazê-la. A segunda é atualizá-la. Mas há coisas ainda mais importantes. Mesmo as empresas que realizam consultorias na área cometem erros e esquecem de levar em conta importantes elementos. Aqui estão os cinco que podem ser esquecidos e o que fazer para evitá-los:
1. Riscos inerentes vs riscos residuais
Segundo Laliberte, muitas empresas que realizam a avaliação falham ao calcular o perigo antes de o controle ser aplicado (chamado risco inerente), contra o risco depois de os controles terem sido aplicados (risco residual). “Geralmente as empresas vão direto ao risco residual. Ao comparar os dois tipos, é possível ver controles essenciais que precisam ser monitorados e reforçados para garantir que o ambiente continue seguro”.
2. Interdependências e fluxo de dados
Antes de uma companhia realizar uma avaliação, é preciso um entendimento adequado dos ativos para os quais os riscos estão sendo medidos, afirma Joe Beal, diretor de serviços de segurança e Ciso da CCSi. Muitas vezes, as empresas não conseguem examinar seus sistemas para encontrar imprevistos de serviços ou sistemas, tanto dentro quanto fora do firewall.
“Por exemplo, é preciso entender desde a perspectiva da rede até interconexões, fluxos de dados e comportamento de seu sistema num estado normal de operação. Mais importante ainda é ter uma compreensão do tipo, tamanho e classificação dos conjuntos de dados e qual o papel deles para poder determinar e identificar o verdadeiro perigo de segurança para seu sistema”.
Como ele observou, entender o sistema e as várias entradas e saídas de seus componentes permitirá que a empresa meça a verdadeira eficácia dos resultados da avaliação de risco.
3. O risco depende do negócio
Um dos maiores erros é falhar em envolver a linha de negócios no processo de descoberta de como a TI afeta o processo.
“Uma avaliação deve observar a essência do negócio e os ativos de TI e considerar a probabilidade de impacto de ameaças e vulnerabilidades no ambiente. Se os resultados não articularem o risco no que concerne ao impacto no negócio, o projeto não tem suporte adequado”.
Segundo Torsten George, vice-presidente da Agiliance, as empresas precisam ir além. Não apenas os gerentes têm que se envolver, mas o vocabulário de riscos precisa ter uma norma para que todos entendam. “Muitas empresas permitem que diferentes grupos estabeleçam suas próprias nomenclaturas e definições de ameaças. Isso cria um desafio significativo na aplicação de avaliação de riscos dentro da empresa”.
Ele sugere o uso de um registro centralizado que tenha sido desenvolvido com a ajuda de todas as unidades para que haja uma melhor colaboração a longo termo. “Usando uma única nomenclatura, há a possibilidade de coletar os riscos de dados de diferentes grupos, o que possibilita a agregação dessa informação”.
4. E inventaram a roda
Muitas empresas tendem a reinventar a roda quando criam um registro do tipo e estão coletando informações relevantes para a avaliação, afirmou George. “Use registro de riscos estabelecidos. Aplique padrões da indústria como o ISO, Nist e Cobit, e depois os ajuste para as necessidades da sua empresa”. Da mesma forma, não colete e manipule dados manualmente se é possível automatizar o processo.
“A equipe de gerenciamento de riscos deve funcionar como estrategistas e não como coletores de números. As empresas devem oferecer software que automatize a coleta, agregação, fluxo e relatório de dados”. Ao fazer isso, os gerentes da área podem focar na análise mais profunda.
5. O excesso pode lhe matar
O excesso de avaliação existe, segundo Laliberte. Num esforço para cobrir tudo, alguns gerentes ampliam sua abordagem e tentam avaliar todo risco e toda ameaça para o negócio. O problema com isso é que há uma abundância de informação e a avaliação nunca acaba.
“As empresas devem agrupar os ativos para ter valores de negócios similares que enfrentam as mesmas ameaças e então avaliar os perigos de acordo com os grupos. Isso torna a avaliação mais eficiente e com maiores chances de sucesso”.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
A plataforma de locação de automóveis Movida lançou um agente de inteligência artificial integrado ao…
A Oracle anunciou Marcelle Paiva como nova vice-presidente de vendas, Go-to-Market (GTM) e ecossistema para…
O mercado de ofertas públicas iniciais voltou a ganhar tração em 2026, impulsionado principalmente pelo…
A Oracle encerrou o quarto trimestre e o ano fiscal de 2026 com resultados recordes,…
A disputa entre Anthropic e OpenAI ganhou novos contornos e se tornou um dos principais…
As áreas de marketing B2B precisam rever sua estrutura operacional para acompanhar a transformação do…