O ano já começou, mas ainda dá tempo de revisar sua estratégia de gestão de riscos para 2017, principalmente se, no seu negócio, os profissionais de segurança da informação ainda não estão envolvidos na estratégia de gestão de riscos – a não ser pelos breves momentos em que são chamados para integrar os princípios de gestão de riscos aos princípios de segurança da informação.

Uma estratégia de segurança da informação deve garantir a proteção da confidencialidade, da integridade e da disponibilidade dos dados corporativos. Isso inclui sistemas, hardware e redes que processam, armazenam ou transmitem informações. A gestão de riscos, por outro lado, envolve o entendimento dos riscos e a aplicação das medidas adequadas para que a empresa atinja seus objetivos. Isso envolve áreas como governança, gestão, definição de riscos internos e externos e resposta a incidentes.

Apesar de parecerem terem missões distintas (um tende a se preocupar com a proteção da informação a qualquer custo, enquanto outro tende a focar nos benefícios, consequências e na praticidade dos controles tendo como base os objetivos de negócio), não há nenhuma contradição entre os objetivos das duas áreas, especialmente com amadurecimento da segurança da informação nos últimos anos, que passou a se preocupar com aspectos da segurança física, pessoal, de dados e de comunicação.

Como estão intimamente conectadas, o ideal é que a estratégia de gestão de riscos e a área de segurança estejam bastante aliadas e, para isso, é preciso que haja uma maior disciplina na documentação de práticas de risco.

Vantagens de uma estratégia de gestão de riscos eficiente

Uma estratégia de gestão de riscos eficiente deve oferecer processos formais para entender, documentar e determinar a tolerância de uma empresa aos riscos e decidir maneiras apropriadas de mitigá-los.

Um risk assessment é o primeiro passo para entender os riscos, documentando o perfil da empresa – seu propósito, sua missão e seus objetivos, os riscos da indústria e os riscos particulares ao negócio da empresa com base em ameaças internas e externas, e a tolerância da organização aos riscos.

Com isso, os riscos podem ser categorizados como regulatórios, de reputação, de ameaças, e os riscos da indústria. Com isso, é possível definir controles capazes de reduzir ou mitigá-los. O risk assessment também deve documentar a estratégia de gestão de riscos em termos de eliminação, aceitação, mitigação ou transferência.

A iBLISS conta com estratégias de proteção para diversos objetivos e segmentos, visando proteger pessoas, ativos e dados vitais para o negócio. Conheça a metodologia de estratégias de proteção da iBLISS e saiba como podemos ajudá-lo.