Considere sempre o Risco Operacional

O funcionamento de uma organização depende do bom andamento de várias frentes: mercado receptivo, disponibilidade de crédito, regulamentos legais e o funcionamento adequado da sua operação. É sobre este último que vamos nos deter neste momento, pois a informação protegida é um dos recursos que permitem o funcionamento da organização.

Risco Operacional - O Risco Operacional trata da possibilidade de perdas ou impactos causados por sistemas de informação, controles inadequados ou insuficientes, falhas no gerenciamento ou erros humanos. Podemos dizer que o Risco Operacional pode ser dividido em três tipos de riscos: o Risco Organizacional, o Risco de Operação e o Risco de Pessoal.

Risco Organizacional - O Risco Organizacional existe na condição de que, muitas vezes, a organização é ineficiente ou a administração é inconsistente e seus objetivos a longo prazo não são bem definidos. Algumas ações de Governança atuam neste sentido e alguns segmentos possuem uma legislação com o objetivo de evitar problemas desse tipo. Mas, independentemente de existir ou não uma legislação, a empresa deve analisar constantemente esses aspectos. Uma das dificuldades é o desejo de lucro a curto prazo, desprezando a continuidade dos lucros e até da própria organização. A crise atual tem sido rica em exemplos com essas características.

Outras questões que possibilitam problemas desse tipo são o fluxo de informações internas e externas deficientes. Comunicação foi, é e sempre será um fator crítico de sucesso ou de problemas nas organizações. Outra questão: muitas empresas (até de grande porte) não possuem as responsabilidades dos seus funcionários e prestadores de serviço bem definidas e formalizadas. Neste último caso, a facilidade para acessos indevidos de informações e vazamento de informações para pessoas não autorizadas e concorrentes acontecerá. Mesmo que exista um bom processo de segurança da informação, indefinição de responsabilidades fará com que usuários tenham acessos indevidos.

Risco de Operação - O Risco de Operação acontece quando sistemas de informação – bem como de telefonia, de energia, entre outros – não são gerenciados adequadamente e começam a apresentar problemas por não suportarem a carga de serviço, ou não são mantidos atualizados ou não são controlados adequadamente.

Muitos sistemas de informação são construídos sem a documentação adequada, sem a formalização necessária (acertados verbalmente em reuniões não registradas), implantados sem a homologação das áreas envolvidas e sem definição das necessidades de disponibilidade em situação normal ou em situação de contingência.

Neste aspecto, a segurança da informação precisa existir de forma estruturada e com abordagem profissional. É necessária a existência de um processo de segurança da informação que contemple aspectos organizacionais (políticas, normas), de controle de acesso a sistemas, de continuidade do negócio no que diz respeito aos recursos de informação, de desenvolvimento e manutenção de sistemas, de treinamento e conscientização dos usuários (construção de cultura, postura dos usuários),de tratamento de incidentes, resiliência operacional, de proteção do ambiente de tecnologia, de tratamento forense e de um processo de gestão de risco de segurança da informação constante.

Risco de Pessoal - O Risco de Pessoal trata da qualificação adequada e da motivação das pessoas, que são o elo mais fraco e ao mesmo tempo mais forte para o funcionamento adequado da organização. Segregação de função deve existir, férias devem ser tiradas, competências-chave não devem ser exclusivas de um funcionário, gerentes devem sofrer rodízios em diversas áreas.

Quando uma empresa trata profissionalmente seus funcionários e parceiros, declarando e promovendo respeito e regras claras, o Risco de Pessoal diminui.

Conclusão - O Risco Operacional deve ser de interesse daqueles que querem que a organização funcione adequadamente, ao longo do tempo e de forma sustentável: os acionistas. Os executivos devem ser portadores desse desejo dos acionistas. Infelizmente algumas vezes não são. Não necessariamente por má fé. Muitas vezes a organização está funcionando adequadamente, com lucro constante e o executivo não dá a importância devida ao Risco Operacional. Principalmente porque ele esquece que muitas situações podem não estar sendo vistas por ele (não estão no seu radar), porém estão acontecendo e aumentando o risco. Como o risco é a probabilidade de algo acontecer, pode ser que a empresa leve apenas um susto ou que sofra e tenha consequências graves.

. Por: Edison Fontes, CISM, CISA – é consultor, professor de Segurança da Informação dos cursos de pós-graduação da FIAP, colunista do site ITWEB e autor dos livros: "Praticando a segurança da informação" (Editora Brasport), "Segurança da informação: o usuário faz a diferença! (Editora Saraiva) e “Vivendo a Segurança da Informação” (Editora Sicurezza). Atua na área de segurança da informação desde 1989.