Gestão de riscos em TI: não basta enxergá-los, é preciso monetizar
Segundo dados da Allied Market Research, o mercado de gerenciamento de risco deverá chegar a US$ 18,5 milhões até 2026
No novo normal, o perímetro sumiu e o que restou é um ambiente que mantem pontos centrais (data centers corporativos ou na nuvem) acessados remotamente (home office ou mobile office). Os desafios da segurança digital dessa realidade têm sido analisados. O mesmo não acontece com a necessidade de se contar com uma visão de 360 graus dos riscos, inclusive de infraestrutura de redes e de gestão. Não basta somente enxergar o risco. É fundamental monetizar esse fator de desestabilização dos negócios e, a partir de uma análise rigorosa e focada em custos, realizar ações que irão minimizar essa ameaça, preservando a vida digital da empresa.
Segundo dados da Allied Market Research, o mercado de gerenciamento de risco deverá chegar a US$ 18,5 milhões até 2026. O uso de inteligência artificial e a necessidade de gerenciar os mais diversos ambientes e dispositivos digitais – incluindo Internet das Coisas – estão definindo as próximas fronteiras dessa disciplina.
Tem se tornado essencial, também, criar pontes entre possíveis riscos e o negócio. Isso é o que fará com que as decisões de mitigação de risco sejam tomadas a partir do impacto financeiro (perdas) causadas por falhas ou pela indisponibilidade do ambiente digital. Em todos os portes de empresa, em todas as verticais, os recursos precisam ser cuidadosamente alocados para se obter a máxima mitigação de riscos pelo menor custo.
Aqui estão os três tipos de riscos mais frequentes:
Riscos tecnológicos
Problemas que variam desde falhas de equipamentos em decorrência de vírus de computador e worms transportados pela rede até problemas mais complexos. Isso inclui ataques denial-of-service (DDoS), tentativas de intrusão e “war walkers” – acessar redes wireless a partir de pontos externos ao site da empresa usuária.
Riscos legais e pessoais
Problemas de conformidade. Seu gerenciamento tenta identificar funcionários fazendo download de conteúdo inadequado da Internet, o que pode criar processos judiciais. Inclui, ainda, sabotagem ou espionagem por funcionários. A não conformidade é mais difícil de gerenciar, porque a tecnologia é incapaz de fornecer soluções que resolvam plenamente esse desafio. Políticas efetivas de recursos humanos (com treinamento em conformidade) são fundamentais para mitigar esses riscos.
Desastres naturais e causados pelo homem
Enchentes, terremotos e grandes tempestades podem ser devastadores para os processos de uma organização. Definir estratégias adequadas para gerenciar esses riscos é uma das tarefas mais difíceis do gerenciamento de riscos. Focar a importância da rede, incluindo a última milha da Internet, é crítico.
Há estratégias para enfrentar – e vencer – essa multiplicidade de riscos que podem derrubar o negócio digital:
Passo 1 – Elencar e classificar os riscos segundo o custo para o negócio
O primeiro passo neste exercício é identificar os principais riscos em cada uma das três categorias. Listas de riscos padronizadas estão disponíveis e uma das mais completas faz parte da estrutura de governança de TI CobiT (Control Objectives for Information and Related Technology). O CobiT é um framework criado pela ISACA para suportar a adoção das melhores práticas de governança de TI. O CobiT pode ajudar as empresas a relacionar os diversos tipos de riscos com seu impacto sobre os negócios.
Passo 2 – Mitigação de preços
Essa prática não precisa ser exata. Estimativas baseadas em pesquisa na Internet e em experiências anteriores são suficientemente boas. Os gestores devem ter em mente que os custos para gerenciar riscos incluirão disponibilidade e tempo de pessoal especializado, bem como a instalação de uma solução de hardware ou software para esse fim.
Passo 3 – Planejamento para vários anos
A mitigação de riscos é uma luta contínua. A acelerada expansão da infraestrutura digital – caso, por exemplo, de ambientes com sensores IoT – torna necessário que, de tempos em tempos, esse planejamento seja atualizado. É necessário ser vigilante. Um novo risco, como redes wireless e war walkers, pode aparecer em qualquer estágio.
Por falta de informação do mercado, o gerenciamento de rede é uma ferramenta frequentemente subutilizada na busca da plena mitigação de riscos. Para muitos gestores, esse tipo de inteligência evita falhas de componentes de rede e gerencia hot spares e comutações. Entretanto, essas soluções também mostram seu valor em relação a outras áreas de gerenciamento de risco, como conseguir priorizar as diversas classes de tráfego de rede de acordo com a lógica de negócios.
Um bom gerenciamento de rede pode, também, ajudar a identificar as causas de congestionamento de dados e outros problemas afetando um aplicativo. Na era do COVID-19, com um número crescente de trabalhadores utilizando laptops e outros dispositivos fora do perímetro, aumenta a cada dia o perigo de malware ser levado para dentro dos firewalls da empresa.
É comum que a primeira indicação da presença de tais riscos – um zumbi enviando grandes quantidades de spam ou mensagens de denial-of-service; ou um worm propagando-se por toda a organização – é um pico no tráfego da rede. Isso é detectado por ferramentas de gerenciamento de rede. Essa inteligência é essencial, também, para rastrear os problemas até suas fontes e, com isso, permitir que sejam eliminados.
Outra frente de batalha são os modems Wi-Fi, notoriamente fáceis de acoplar a uma rede. Frequentemente, os administradores de rede descobrem redes Wi-Fi não autorizadas em um escritório. Discernir qual acesso vem de dispositivos Wi-Fi autorizados, qual não vem é uma das ações das plataformas de gerenciamento de redes.
A força do gerenciamento de riscos não está em garantir que nada de mau possa acontecer.
Até mesmo os ambientes mais seguros enfrentam problemas.
A missão do gerenciamento de riscos é, por meio de uma visão de 360 graus da estrutura digital de uma empresa – universo em constante inovação e expansão –, reduzir a exposição a um nível aceitável. Esse nível de exposição tem de ser financeiramente viável e não-fatal para os negócios da empresa. Se a TI conseguir isso, poderá considerar bem-sucedido o seu programa de gerenciamento de riscos.
Cada vez mais digital, o Brasil demanda políticas e soluções de gerenciamento de risco para proteger os negócios. A prosperidade vem para quem enxerga o risco, e está preparado para minimizá-lo.
*Luis Arís é gerente de desenvolvimento de negócios da Paessler LATAM
