A Symantec publicou em 30 de janeiro o segundo volume de seu Relatório sobre Gerenciamento de Riscos de TI, entitulado “IT Risk Management – From Myth to Reality.” Neste relatório, são analisados os resultados de entrevistas com mais de 400 executivos de e profissionais de TI de todo o mundo durante o ano de 2007. Conforme já demonstra o próprio título, o relatório procura desmistificar alguns conceitos sobre o Gerenciamento de Riscos em TI.
Mito Um: Risco de TI = Risco de Segurança
Hoje, segurança é apenas um dos elementos quando se analisam os riscos associados à TI. São considerados ainda como fatores de risco, disponibilidade, conformidade e performance. E o relatório demonstra claramente que as pessoas realmente não acreditam mais neste mito. A maioria dos participantes (78 por cento) apontou que disponibilidade é hoje um dos aspectos mais importantes associado aos riscos de TI. Problemas de disponibilidade normalmente traduzem-se em graves problemas para os negócios da organização e também para seus parceiros. E neste sentido a adoção de melhores práticas (ITIL e COBIT por exemplo) tem auxiliado aos responsáveis pelos serviços de TI na compreensão do valor de sua contribuição ao negócio em uma visão mais ampla.
Mito Dois: O Gerenciamento de Riscos de TI é um Projeto
Um simples projeto não é capaz de endereçar todos os problemas relacionados ao gerenciamento de riscos. O gerenciamento de riscos de TI deve ser um processo contínuo. A ocorrência de incidentes não pode ser prevista, e os responsáveis pelos serviços de TI lidam com estes incidentes quase que diariamente. Uma visão mais holística nestes casos é necessária. De início, deve-se priorizar o que deve ser feito. Deve-se determinar quais riscos são aceitáveis. E isto passa pela compreensão de quais ativos e informações relativas à TI são importantes para o negócio. De acordo com o relatório, infelizmente, apenas 40 por cento das organizações demonstram considerar a classificação e o gerenciamento de ativos a sério.
Mito Três: A Tecnologia sozinha é capaz de mitigar os riscos de TI
De fato, o relatório demonstra que organizações que melhor gerenciam seus riscos são aquelas que conseguem balancear tecnologia com processos e pessoas. O relatório aponta que em grande parte dos casos, incidentes de TI têm suas causas relacionadas a processos e não à uma determinada tecnologia. Conhecer onde suas informações e dados estão, de onde vêm e para onde devem ir é uma das formas de demonstrar conformidade e governança e também de se resguardar do vazamento de informações. De acordo com o relatório, atividades de treinamento por exemplo (fator pessoas) foram menos efetivamente implementadas (43 por cento) se comparadas ao resultado do Volume I (49 por cento). Tal conclusão não favorece uma mitigação efetiva de riscos, pois para isso é necessário o desenvolvimento de uma cultura de consciência destes (fatores processos e pessoas).
Mito Quatro: Gerenciamento de Riscos de TI é uma ciência
O relatório demonstra que, na realidade, lidamos com uma disciplina de desenvolvimento de negócios - baseada em experiências acumuladas e nas melhores práticas de todos os envolvidos - e não com uma ciência exata
E você? Concorda com as conclusões do relatório? Deixe seu comentário.
Comentários Recentes