Sem Política a Gestão de Riscos fica frágil!
O colega e bloqueiro da ITWEB Adriano Neves nos brindou esta semana com o comentário: Gestão de Risco, por qual motivam não praticam?
Ele aborda a questão da gestão de risco em relação à gestão de projetos e apresenta razões com as quais eu concordo.Porém gostaria de acrescentar um motivo que eu acho que antecede a todos eles e pode ser considerado para todas as abordagens de gestão de risco: a falta de política ou norma que discipline, organize e defina responsabilidades para a gestão de riscos.
Em resumo: eu entendo que as organizações não possuem uma boa Gestão de Risco porque não possuem um regulamento definindo a existência dessa Gestão de Risco.
Ter um processo de Gestão de Riscos seja em projetos ou em Segurança da Informação exige recursos: pessoas, tempo e dinheiro. Se não existir uma política definindo que deve ser feita uma Gestão de Risco, ela não existirá.A organização precisa explicitar e formalizar o que deseja para as suas informações e como deseja proteger.
A existência de uma norma internacional e já publicada no Brasil, NBR ISO/IEC 27005:2008 – Tecnologia da Informação – Técnicas de segurança – Gestão de riscos de segurança da informação, demonstra que o tema faz parte da arquitetura da proteção da informação das organizações.
Mas, o que interessa é: como a sua organização se posiciona sobre a Gestão de Riscos?Se não existir uma política específica, a Gestão de Risco pode até existir, mas não resistirá a um grito de algum gerente que tenha certo poder e que por algum motivo a avaliação de risco irá lhe impactar.
Mas, a empresa não pertence a um gerente ou executivo.Gestão de risco faz parte do processo de segurança da informação, mas ela existe para possibilitar a realização do negócio e o atendimento aos objetivos da organização.
Dessa forma é bom que esta organização explicite e formalize como quer identificar, avaliar e tratar as ameaças e riscos.
Edison Fontes, CISM, CISA Consultoria em Políticas e Normas de Segurança da Informaçã[email protected]
