Gestão de Riscos de TI

Um componente essencial de qualquer programa de Gerenciamento Corporativo de Riscos, ou Enterprise Risk Management (ERM) hoje em dia é o Gerenciamento de Riscos de TI. Existindo cada vez mais ameaças à privacidade e à Segurança da Informação, as empresas estão procurando fortalecer seus processos de Gerenciamento de Riscos de TI de varias formas.

Fazendo uma analise de todos os projetos de consultoria em que participei durante os anos de 2010 e 2011, selecionei as seguintes dez sugestões que os gestores de nível superior da empresa podem implementar de modo a melhorar significativamente a postura de Segurança da Informação e, consequentemente, reduzir o risco que TI representa para o negocio:

1. Estabelecer um comitê de riscos separado do comitê de auditoria e atribuir a ele a responsabilidade pelos riscos corporativos, incluindo aí os riscos de TI. Recrutar diretores com experiência em Governança e em riscos de TI.

2. Garantir que a privacidade e as regras de segurança dentro da organização sejam segregadas, com responsabilidades adequadamente atribuídas. O CIO, CISO/CSO, e o CPO devem se reportar de forma independente para a gerência sênior.

3. Avaliar a estrutura organizacional existente e estabelecer uma equipe interorganizacional que se reuna, pelo menos mensalmente, com as tarefas atribuídas de coordenação e comunicação sobre o assunto privacidade e Segurança da Informação para a empresa. Esta equipe deve incluir membros da gerência sênior de recursos humanos, relações públicas, legais e de aquisição, bem como o CFO, CIO, CISO/CSO (ou CRO), o CPO, bem como executivos de negócios.

4. Revisar as políticas de Segurança da Informação para que suportem a criação e a manutenção de uma cultura de segurança e respeito à privacidade. As organizações podem melhorar a sua reputação, valorizando a Segurança da Informação e a proteção da privacidade.

5. Revisar os componentes do programa de Segurança da Informação e garantir que eles estejam aderentes com as melhores práticas e padrões de mercado, e incluir no programa os processos de resposta a incidentes, continuidade de negócios e recuperação de desastres.

6. Estabelecer para os fornecedores de produtos e serviços de TI, requisitos de privacidade e segurança com base nos aspectos chave de negócios corporativos, incluindo auditorias anuais e revisões periódicas dos requisitos de segurança.

7. Realizar uma auditoria anual do programa de Segurança da Informação, para ser apresentado e revisto pelo comitê de auditoria.

8. Realizar uma revisão anual do programa de Segurança da Informação considerando a efetividade dos controles, para ser apresentado revisto pelo comitê de risco corporativo, e assegurar que todas ameaças e as fraquezas identificadas sejam consideradas.

9. Apresentar periodicamente para a alta administração relatórios relativos à privacidade e os riscos de Segurança da Informação para serem utilizados como base da revisão orçamentaria anual de TI para a gestão de riscos de TI.

10. Realizar auditorias anuais de conformidade e de privacidade e revisão dos planos de resposta a incidente, continuidade de negócios e recuperação de desastres.

Estas sugestões devem ser integradas numa abordagem holística com a gestão de riscos corporativos para fornecer um programa eficaz e contínuo que deve ser difundido em todos os níveis dentro da empresa. O processo de integração eleva o nível de consciência de risco corporativo e de TI da empresa e, como consequencia, garante retornos positivos para os proprietários, investidores e acionistas durante os próximos anos.

Anúncios