RISCOS – Tipos e Estrutura de Gerenciamento
Vivemos o Risco em cada momento das nossas vidas. Mesmo sem saber, cada escolha que fazemos, realizamos uma avaliação de risco.
Vivemos o Risco em cada momento das nossas vidas. Mesmo sem saber, cada escolha que fazemos, realizamos uma avaliação de risco. Por segundos consideramos ameaças, impacto, probabilidades e como minimizar o Risco.
Para começar uma definição objetiva de Risco dada pela Norma ISSO/IEC 27000 – Information technology – Security techniques – Information security management systems – Overview and vocabular:
Risco é o efeito da incerteza de alcançar os objetivos. (tradução livre)
Mas, trazendo para o mundo corporativo temos vários tipos de riscos: financeiro, reputação, criminosos e similar. Existe uma estrutura que facilite o entendimento destes diversos tipos de riscos?
Baseado na Resolução BACEN 3380, nas normas NBR ISO 27005, no Regulamento Europeu GDPR (EU), na Lei de Proteção de Dados Pessoais 13.709 (Brasil), em Thomas Peltier (Risk Management) e na minha experiência profissional, podemos considerar a seguinte estrutura:
RISCO CORPORATIVO
É a incerteza, a possibilidade do não cumprimento da Missão da organização.
Podemos ter três tipos de Risco Corporativo:
– Risco Estratégico
– Risco Financeiro e
– Risco Operacional.
RISCO ESTRAÉGICO
É a incerteza, a possibilidade de impedimento da trajetória de crescimento da organização.
RISCO FINANCEIRO
É a incerteza, a possibilidade de perda financeiras, causadas pela organização, governo, mercado ou outro elemento relacionado à organização.
RISCO OPERACIONAL
É a incerteza, a possibilidade de perdas resultantes de falhas ou inadequações de controles organizacionais.
Como Risco Operacional temos os Riscos de
– Fraude,
– Demandas trabalhistas,
– Práticas inadequadas,
– Danos a ativos físicos,
– Interrupção de atividades
– Sistema de Informação,
– Não atendimento regulatório.
Considerando a Segurança da Informação, Proteção da Privacidade e Cibersegurança, podemos considerar:
Interrupção de Atividades
=> Incerteza de garantir a continuidade do negócio.
Sistemas de Informação
=> Incerteza da Proteção de Dados,
=> Possibilidade de erros,
=> Possibilidade de fraudes e ações de criminosos.
Cibersegurança Ambiente Cibernético
=> Incerteza da proteção dos recursos de tecnologia de informação.
=> Possibilidade de não segurança no Ambiente Metaverso.
Regulatórios
=> Impede a Proteção de Dados Pessoais.
=> Impede a conformidade com outras Legislações e Normativos Setoriais.
Esta estrutura, é uma estrutura didática para facilitar o entendimento da Gestão de Risco que toda organização deve ter. Evidentemente existe um cruzamento destes riscos. Por exemplo, o Ambiente de Metaverso pode gerar Riscos de Conformidade Legal.
Com certeza podemos fazer uma outra estrutura. O que recomendo é que cada organização defina qual é a sua Estrutura de Gerenciamento de Risco. Porém, é obrigatório que a organização considere todos estes tipos de riscos. Se a organização executar a gestão de riscos em apenas um destes tipos, a proteção para a gestão dos riscos nunca será adequada.
Recomendo que utilize esta estrutura como uma “Trilha” para sua organização definir a Estrutura Organizacional de Gestão de Riscos. Não utilize como um “Trilho” fixo e sem flexibilidade.
Abraços.
Edison Fontes, CISM, CISA, CRISC, Ms.
Autor do Livro Segurança da Informação: Gestão e Governança. Conformidade com a LGPD.
Expert CyberSecurity Consultant – NTT DATA Europe & LATAM
