Gestão de Riscos de Segurança da Informação
Um dos principais objectivos da governação corporativa é o de garantir que os riscos aos quais o negócio está sujeito são conhecidos e controlados, dentro das características e requisitos do próprio negócio e do mercado em que está inserido. A segurança da informação incorpora-se neste contexto de gestão de riscos, na medida em que a importância e o valor dos activos de informação são mais evidentes e, inclusive, sobrepõem-se aos próprios activos físicos.
Com a necessidade de atingir a conformidade com leis, normas e regulamentações, a gestão de riscos de segurança da informação deixa de ser simplesmente uma boa prática de gestão corporativa e passa a um requisito a ser alcançado. O Basileia 2, por exemplo, afecta fortemente os processos dos bancos de todo o mundo e tem nos seus pilares o controlo dos riscos operacionais, evitando perdas causadas por falhas em sistemas, processos, pessoas ou mesmo "eventos externos".
Para apoiar a implementação do processo de gestão de riscos, o Committee of Sponsoring Organizations of the Treadway Commission (COSO) desenvolveu uma framework específica para o tema, utilizada numa vasta quantidade de empresas, principalmente naquelas que procuram a conformidade com o Sarbanes-Oxley.
Em analogia, a análise dos riscos é importante para as empresas, tal como o checkup médico periódico o é para a nossa saúde. Desta forma, assim como no caso dos exames que necessitamos de fazer, como condição para diagnosticar possíveis problemas de saúde e realizar uma análise fiável, há diversos requisitos para implementar um processo de gestão de riscos eficaz. Entre as referências mais robustas está a ISO 27001, que no aspecto de gestão de riscos utiliza como referência a BS7799-3, a ISO 17799 e a ISO 13335-3, e implementa um processo de contínua identificação e controlo dos riscos de segurança da informação. Também são metodologias reconhecidas pela sua qualidade a OCTAVE e a CRAMM, entre outras.
Entretanto, independente da metodologia escolhida, o desafio a ser superado é o de conhecer os riscos aos quais as empresas estão sujeitas, reduzir os impactos causados pelos problemas e a própria probabilidade de acontecerem, implementar tecnologias, processos, infra-estruturas, formar pessoas, controlar acessos físicos e lógicos, garantir a continuidade do negócio - enfim, tomar as decisões e basear as acções num método claro, formal e contínuo, e de acordo com uma justificativa fundamental: o controlo de um prejuízo inaceitável.
Texto de Paulo Barbosa, Security Officer, Vortal - Comércio Electrónico Consultadoria e Multimédia, S.A.
Produzido em 2008