Apetite de Risco: Você não teme o que desconhece

Apetite de Risco: Você não teme o que desconhece – Talvez essa seja a principal razão para a precária situação da grande maioria das empresas em relação a forma como gerenciam seus riscos, desenham seus programas de segurança da informação e realizam investimentos.

É possível que em mercados muito competitivos onde sobreviver ainda é o maior desafio, os gestores acabem inclinados a pensar no imediatismo e assim focar os investimentos no core business. Coerente. É ainda possível que estejam realizando investimentos isolados e estes já lhes deem a garantia mínima que os satisfaça, bem como aos seus acionistas. Entretanto, a experiência me diz que há muito mais profundo e preocupante por trás dessas justificativas. Desconhecimento.

As empresas simplesmente não enxergam toda a amplitude do problema. Conhecem superficialmente as ameaças antigas e nem imaginam o quão criativas e poderosas são as novas.

Não compreendem a inexistência de perímetros para proteger. Que o agente de risco pode ser qualquer um, estar em qualquer lugar e agir a qualquer hora. Que o cibercrime é uma realidade alimentada por estruturas bem profissionais com motivação financeira que transcende os interesses pessoais e acadêmicos do hacker de duas décadas atrás. Esquecem que a empresa está dia-a-dia mais exposta e sujeita a incidentes que podem começar com a indisponibilidade do site e acabar com a interrupção total de suas operações.

SITUAÇÃO DE RISCO INCOMPATÍVEL COM O APETITE =

+ necessidade de canalizar os orçamentos escassos para o core business

+ ausência de impacto percebido e medido + ganho de confiança com o passar do tempo sem incidentes

+ falta de cultura de prevenção

+ efeito “calmante” de ter implementado alguma solução de segurança isolada

+ dificuldade de enxergar cenários de risco integrados + dificuldade em ensaiar o retorno que o investimento em segurança

+ desconhecimento das ameaças e impactos potenciais

Mas nem tudo está perdido.

Se você ainda lê este artigo e tem onde trabalhar amanhã, possivelmente sua empresa ainda não foi vítima de um incidente de segurança devastador, portanto, ainda há tempo para reagir.

Não subestime o risco. Converse com especialistas-estrategistas em gestão de riscos da informação. Descubra o nível de exposição do seu negócio. Discuta seu apetite de risco. Conheça a anatomia das ameaças. Projete cenários de risco integrados e seus impactos potenciais. Elabore um programa de gestão de riscos da informação que seja business-centric (orientado ao negócio). Estabeleça métricas e conecte-as aos indicadores do próprio negócio (COBIT é uma ótima sugestão).

Contrate um CISO (Chief Information Security Officer) e lhe dê atributos de posicionamento estratégico para trabalhar lado a lado ao CEO. E não esqueça de alimentar o processo que estabeleceu. O que não se conhece não se pode controlar. O que não se controla não se pode mensurar. O que não se mensura não se pode gerenciar. O que não se gerencia não se pode aprimorar.

Marcos Semola é executivo de TI, especialista em governança, risco e conformidade, professor da IBE Conveniada FGV, escritor, palestrante, VP do conselho de administração da ISACA e mentor de startups.

Fique por dentro

Assine nossa Newsletter e receba as novidades por email
// Acesso rápido
Get in touch

872 Arch Ave. Chaska, Palo Alto, CA 55318
[email protected]
ph: +1.123.434.965

Work inquiries

[email protected]
ph: +1.321.989.645