Gestão de Riscos: simples, em 10 passos.

1. Crie duas listas objetivas para separar os riscos intencionais ( ex, "hacking" ou fraude) de riscos não intencionais (ex, disponibilidade de infra). Os riscos intencionais são completamente diferentes para se gerenciar dos riscos não intencionais, e cada um exige diferentes tipos de controles para mitigar.

2. Para os riscos de não intencionais, a maioria dos quais são incidentes de disponibilidade, use uma ferramenta padrão de Análise de Impacto de Negócios (BIA), para avalia-los, e implemente um Plano de Continuidade de Negócios (BCP) para mitigá-los.

3. Para os riscos intencionais, determine o impacto que o valor de suas informações tem para o ambiente externo ao de TI. Quanto é que esta informação pode valer para um empregado, para a imprensa, para o seu concorrente, ou para o crime organizado?

4. Classifique suas informações com base neste valor externo, e então defina políticas e normas para proteger as informações classificadas como de alto risco.

5. A partir do universo de possíveis riscos, priorize suas ações, concentrando-se sobre aqueles que tenham ocorrido e tenham sido tornadas de conhecimento público. Dessas, determinar quais sejam aplicáveis à sua organização. Por último, estabelecer quais possam ser recorrentes a um acidente ao longo do tempo, e estas devem ter a máxima prioridade no Plano de Gestão de Risco.

6. Na proteção de riscos intencionais, determine quais são os ativos que armazenam, processam ou transmitem as informações de alto risco. Mais importante, crie um inventário das contas, grupos e privilégios dos usuários que têm acesso a eles.

7. Avaliação, filtragem, restrições e controle sobre as contas com acesso a informações de alto risco são as maneiras mais eficientes para se mitigar um risco intencional.

8. Se um risco específico não pode ser mitigado, o(s) proprietário(s) destes dados deve(rão) assinar uma declaração formal de aceitação deste risco. Sempre inclua uma data de validade nesta declaração, após o que os riscos deverão ser novamente reavaliados.

9. Implemente um processo de Gestão de Risco que permita reavaliar periodicamente os riscos, incluindo recomendações para controles, declarações de aceitação de riscos, gestão de projetos de mitigação e a manutenção de um inventário de riscos.

10. Para que a Gestão do Risco seja eficiente e eficaz, é essencial o patrocínio e suporte da Alta Administração da empresa. O bônus desta parceria é que esta parceria torna mais fácil para a Alta Administração entender de Gestão de Riscos de segurança da informação relacionados com outras áreas de negócio.

Anúncios