Considere sempre o Risco Operacional!

O funcionamento de uma organização depende do bom andamento de várias frentes da mesma: mercado receptivo, disponibilidade de crédito, regulamentos legais e o funcionamento adequado da sua operação. É sobre este último que vamos nos deter neste momento em função de que a informação protegida é um dos recursos que permitem o funcionamento da organização. Risco OperacionalO Risco Operacional trata da possibilidade de perdas ou impactos causados por sistemas de informação, controles inadequados ou insuficientes, falhas no gerenciamento ou erros humanos.Podemos dizer que o Risco Operacional pode ser dividido em três tipos de riscos:  – O Risco Organizacional, o Risco de Operação e o Risco de Pessoal.Risco OrganizacionalO Risco Organizacional existe em função de que muitas vezes a organização é ineficiente ou a administração é inconsistente e seus objetivos de longo prazo não são bem definidos. Algumas ações de Governança atuam neste sentido e alguns segmentos possuem uma legislação com o objetivo de evitar problemas desse tipo. Mas, independente de existir ou não uma legislação, a Organização deve analisar constantemente esses aspectos. Uma das dificuldades é o desejo de lucro em curto prazo, desprezando a continuidade dos lucros e até da própria Organização. A crise atual tem sido rica em exemplos com essas características. Outras questões que possibilitam problemas desse tipo são o fluxo de informações internas e externas deficientes. Comunicação foi, é e sempre será um fator crítico de sucesso ou de problemas nas Organizações. Outra questão: muitas organizações (até de grande porte) não possuem as responsabilidades dos seus funcionários e prestadores de serviço bem definidas e formalizadas. Neste último caso a facilidade para acessos indevidos de informações e vazamento de informações para pessoas não autorizadas e concorrentes acontecerá. Mesmo que exista um bom processo de segurança da informação, indefinição de responsabilidades fará com que usuários tenham acessos indevidos.Risco de OperaçãoO Risco de Operação acontece quando sistemas de informação, de telefonia, de energia ou outros, não são gerenciados adequadamente e começam a apresentar problemas por não suportarem a carga de serviço, ou não são mantidos atualizados ou não são controlados adequadamente. Muitos sistemas de informação são construídos sem a documentação adequada, sem a formalização necessária (acertados verbalmente em reuniões não registradas), implantados sem a homologação das áreas envolvidas e sem definição das necessidades de disponibilidade em situação normal ou em situação de contingência.Neste aspecto a segurança da informação precisa existir de forma estruturada e com abordagem profissional. É necessária a existência de um processo de segurança da informação que contemple aspectos: organizacionais (políticas, normas), de controle de acesso a sistemas, de continuidade do negócio no que diz respeito aos recursos de informação, de desenvolvimento e manutenção de sistemas, de treinamento e conscientização dos usuários (construção de cultura, postura dos usuários),de tratamento de incidentes, resiliência operacional, de proteção do ambiente de tecnologia, de tratamento forense e de um processo de gestão de risco de segurança da informação constante.Risco de PessoalO Risco de Pessoal trata da qualificação adequada e da motivação das pessoas. As pessoa humana é o elo mais fraco e ao mesmo tempo o elo mais forte para o funcionamento adequado da Organização. Segregação de função deve existir, férias devem ser tiradas, competências chave não deve ser exclusiva de um funcionário, gerentes devem sofrer rodízios em diversas áreas.Quando uma organização trata profissionalmente seus funcionários e parceiros, declarando e promovendo respeito e regras claras, o Risco de Pessoal diminui.ConclusãoO Risco Operacional deve ser de interesse daqueles que querem que a organização funcione adequadamente, ao longo do tempo e de forma sustentável: os acionistas. Os executivos devem ser portadores desse desejo dos acionistas. Infelizmente algumas vezes não são. Não necessariamente por má fé. Muitas vezes a Organização está funcionando adequadamente, com lucro constante e o executivo não dá a importância devida ao Risco Operacional. Principalmente porque (ele esquece) que muitas situações podem não estar sendo vista por ele (não está no seu radar), porém estão acontecendo e aumentando o risco. Como o risco é a probabilidade de algo acontecer: pode ser que a empresa leve apenas um susto ou pode ser que a empresa sofra e tenha conseqüências graves.Ao analisar uma ameaça dentro do aspecto Risco Operacional você pode utilizar a sugestão abaixo para a pontuação. Faça as adaptações que achar que são necessárias. O importante é pontuar adequadamente para que seja possível priorizar as ações a serem executadas para a existência de controles que evitem, minimizem ou possibilitem uma recuperação com o menor impacto para a Organização.Escala de Probabilidade5. Freqüente => poderá acontecer periodicamente várias vezes.4. Provável => poderá acontecer algumas vezes.3. Ocasional => poderá acontecer ao menos uma vez.2. Remota => pouco provável de acontecer.1. Improvável => possibilidade é tão baixa que acredita-se que nunca acontecerá.Escala de Gravidade4. Catastrófico => destruição dos recursos de forma a impedir o funcionamento adequado.3. Crítico => danos graves, impacta fortemente o funcionamento.2. Moderado => danos leves, impacta o funcionamento, mas é suportável.1. Desprezível => danos insignificantes.Evidentemente cada Organização deve adaptar esses conceitos considerando suas características, seu tipo de negócio e seu momento institucional. Porém, nenhuma Organização deve deixar de ter uma Gestão de Risco Operacional. Se a Organização não tiver hoje, talvez amanhã não seja mais necessário.Edison Fontes, CISM, CISA.Consultor, Professor e Autor de Livros de Segurança da Informação.Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.[email protected]Ética: um princípio sem fim!