Metodologias de gerenciamento de riscos em sistemas de tecnologia da informação e comunicação : abordagem prática para conscientização e implantação nas organizações

Abstract

Este artigo tem o objetivo de demonstrar de forma prática e aplicável metodologias de gerenciamento de riscos e como seus processos são úteis para que uma organização tenha condições de estimar, tratar e avaliar os riscos que porventura possam afetar seus negócios. Este documento visa organizar, de maneira objetiva, boas práticas de gerenciamento de riscos, normas, padrões, exemplos de controles, vulnerabilidades, ameaças e referências que podem ser utilizadas na condução do processo de gerenciamento de risco. As organizações têm demonstrado maior conscientização em relação ao importante papel que a tecnologia da informação e comunicação (TIC) desempenha para o cumprimento dos objetivos do negócio. Além disso, as leis de proteção de privacidade, obrigações financeiras e a Governança Corporativa têm exigido que as organizações gerenciem suas infra-estruturas de TIC com a cautela e a eficácia nunca antes vistas, de forma a não colocar em risco a si próprias, seus sócios, colaboradores, clientes, fornecedores e sociedade, através do não cumprimento de responsabilidades legais e contratuais. Gerenciar a segurança de suas infra-estruturas, bem como o valor comercial que geram tem se mostrado o principal desafio dos departamentos de TIC. Entretanto, as atuais infra-estruturas de TIC apresentam altos níveis de integração e compartilham ambientes cada vez mais hostis, que exigem respostas rápidas e precisas diante de incidentes que podem importar risco de danos às empresas. Na maioria das vezes, as organizações não estão preparadas o suficiente para reagir com efetividade às ameaças, em outras palavras, no tempo hábil para evitar que seus negócios sejam prejudicados. Caracterizada pela preservação da confidencialidade, integridade e disponibilidade da informação, a segurança da informação protege os principais ativos de uma organização visando à continuidade, a minimização dos danos e maximização das oportunidades e investimentos do negócio. A principal fonte que uma organização tem para identificar seus requisitos de segurança é derivada da avaliação de riscos, que é parte do processo geral e contínuo de gerenciamento de riscos, cuja finalidade é reduzir riscos a níveis aceitáveis pela organização.

This article has the purpose to evidence of practical and applicable way a risks management methodologies and how its processes are useful to an organization to assess, to mitigate and to evaluate the risks that can affect your businesses. This document intent organize best practices of risks management, including norms, patterns examples of controls, vulnerabilities, threats and references that can be used in the implementation of management of risk process. The organizations have been concerned about important role of the information technology and communication (ITC) to accomplish the business-oriented objectives. Moreover, the privacy protection laws, financial obligations and the Corporative Governance have demanded that the organizations manage its ITC infrastructures with the caution and the effectiveness never before seen, in order to not place at risk itself, partners, collaborators, customers, suppliers and society, through not accomplishment of legal and contractual responsibilities. Manage infrastructures security and the associated commercial values have become the main challenge of the ITC departments. However, the high levels of integration and the sharing of aggressive environments of current ITC infrastructures require fast and necessary incidents response that can import risk of damages to the companies. Most of the time, the organizations are not sufficiently prepared to react with effectiveness against the threats, in other words, in the skillful time to prevent that its businesses are injured. Characterized for the preservation of information confidentiality, integrity and availability, the information security protects the organization assets aiming at to the continuity, reducing damages and increasing the business investments and opportunities. The main source that an organization has to identify security requirements is derived from the risks assessment, which is part of general and continuous risks management process, whose purpose is to reduce risks the acceptable levels for the organization.