A maioria das empresas está ciente da importância de se criar controles e procedimentos para reduzir os riscos de segurança, mas poucas sabem como fazer, quais os riscos envolvidos e o que podem ganhar com isso. Esse, e, linhas gerais, é o panorama traçado por Francisco Fernandes, responsável pelo escritório de controles internos da Risk Office, empresa de consultoria financeira e gerenciamento de riscos, durante palestra no seminário Segurança: as melhores práticas para evitar prejuízos, que está sendo realizado hoje, 20, em São Paulo, pela revista TIInside.
Esse é um tema que vem tirando o sono dos executivos e, de acordo com o consultor, as empresas precisam se atentar para o fato de que a qualidade da segurança pode influenciar significativamente todas a categorias de riscos ? operacionais, financeiros, de imagem e reputação e legais. Em relação a esta última categoria de risco, Fernandes, observa que a segurança da informação pode impactar no risco legal. ?Falhas na garantia do sigilo de dados de clientes podem trazer perdas em processos litigiosos?, diz.
De acordo com o consultor, o processo de risk assessment em segurança da informação é pré-requisito para a definição de estratégias que orientem a organização no estabelecimento de uma postura de segurança. ?O risk assessment exige um esforço inicial significativo, mas ele deve ser visto como parte de um programa permanente de segurança da informação para evitar perdas?, diz Fernandes, ao observar que hoje os bancos, por exemplo, perdem muito mais dinheiro com fraudes eletrônicas do que com assaltos.
Durante sua palestra, o consultor procurou detalhar quais são os principais componentes de risk assessment em segurança da informação. O primeiro apontado por ele é o mapeamento da situação atual, ou seja, a obtenção de informações que permitam identificar os ativos (dados, software e hardware), as ameaças (hackers, empregados etc.) e as vulnerabilidades organizacionais e técnicas da empresa. ?A partir daí, a empresa deve fazer uma análise da situação para que possa fazer uma definição de respostas sobre os riscos que serão aceitos e as providências que serão tomadas para reduzi-los?, explica Fernandes.
Para estar bem coberta e amparada por boas práticas de risk assessment em segurança da informação, o consultor diz que a empresa tem que seguir alguns passos imprescindíveis, tais como a identificação dos riscos, a avaliação do impacto e freqüência das ocorrências, a definição dos controles, a implantação de processos periódicos de auto-avaliação e a definição de planos de ação. ?Somente assim as empresa podem ter uma gestão integrada de riscos e garantir que estes sejam reduzidos ao mínimo desejado?, finaliza Fernandes.