Nas reuniões de diretoria, muitas vezes parece que os líderes de TI não falam o mesmo “idioma” que os outros executivos, dificultando o apoio a iniciativas de gestão de riscos de segurança. Na verdade, não deveria ser difícil justificar a necessidade de investimentos em metodologias que ajudam a identificar, governar e gerenciar os riscos de TI de forma unificada em todos os departamentos, da mesma maneira que os executivos investem em processos para gerenciar os riscos para o negócio.

A implementação de um framework de gestão de riscos (ERM – Framework Risk Management) tem como objetivo integrar ferramentas de gestão e controles de segurança, avaliar os processos e políticas de Segurança da Informação e buscar conformidade com padrões e normas regulatórias, integrando conceitos de controle interno e planejamento estratégico.

De forma resumida, essa metodologia contempla quatro objetivos:

Governança de risco e cultura – avalia a cultura corporativa incluindo o apoio do Conselho de Administração e executivos ao gerenciamento de risco e apoio a programas de mitigação. Também inclui as políticas, assegurando os investimentos adequados.

Estratégia de riscos e definição de objetivos – ajuda a definir o apetite ao risco e até que ponto ele é aceitável, contribuindo para que profissionais de TI e de segurança alinhados aos processos de avaliação de novos negócios possam definir os parâmetros de risco que devem ser aplicados a cada oportunidade de negócio ou novas tecnologias.

Riscos na execução – identifica o risco e avalia a sua gravidade, ajudando a implementar estratégias de mitigação e de resposta. Como é mais voltado para a área de TI, algumas vezes é um desafio “traduzir” seus riscos técnicos e soluções para uma linguagem de fácil compreensão pelos executivos de negócios.

Documentação e comunicação de riscos – coleta de dados relevantes que devem ser transformados em informações úteis contribuindo para que a empresa alcance seus objetivos. Um desafio é implantar métricas que demonstrem a real efetividade dos programas de gestão de riscos.

Monitoramento do desempenho do framework de gestão de riscos – visa comprovar a eficiência das estratégias de gerenciamento de risco para os objetivos da empresa.

Ao final, como apresenta uma “fotografia” de toda a empresa, envolvendo todo o negócio e não apenas a TI, o framework de gestão de riscos permite expor os problemas em uma linguagem que faz parte do dia a dia dos executivos, fazendo com que seja mais facilmente incorporado ao budget de segurança.