Erros na gestão de riscos podem ameaçar segurança

Justificar os gastos empresariais com segurança sempre foi trabalho difícil. Em tempos de crise econômica, esse processo torna-se ainda mais complicado. De acordo com o Gartner, empresa especializada em pesquisa e aconselhamento sobre tecnologia, os profissionais de segurança corporativa enfrentam uma situação complexa, pois trabalham com recursos financeiros e humanos muito limitados para administrar e reduzir um ambiente que está em constante mudança e onde os riscos aumentam."A maioria dos gastos corporativos com TI estão passando inevitavelmente por uma grande análise durante este período de incertezas econômicas, e a gestão de segurança e riscos de TI - embora menos radicalmente afetada em comparação com os orçamentos gerais de TI - não é exceção", afirma Jay Heiser, vice-presidente de pesquisas do Gartner. Os principais fatores para justificar e otimizar os gastos com segurança são: garantir que as práticas de controle de segurança e de riscos estejam alinhadas com os objetivos explícitos dos negócios e, crucialmente, persuadir as empresas a assumir o risco.No entanto, Heiser alerta que os profissionais de segurança não estarão aptos a cumprir essas metas críticas se cometerem um destes quatro erros comuns na gestão dos riscos:1) Assumir uma abordagem do tipo "One Size Fits All" (uma solução padrão para todos) para a gestão da segurança e dos riscosO mesmo nível de proteção ou o mesmo nível de gastos com segurança não pode ser eficaz e economicamente viável para todas as unidades de negócio, e menos ainda para todos os componentes de uma única unidade de negócios. Um ótimo plano de gastos com segurança leva em consideração o nível de risco avaliado para evitar um excesso de gastos ou de proteção. Os gerentes de negócios devem oferecer uma quantidade relativamente pequena de perfis de gestão de riscos que sejam projetados para atender a diferentes casos de uso em função da sensibilidade/confidencialidade e do risco dos dados.2) Fazer planos com base naquilo que a organização de segurança quer, e não no que a empresa precisaHistoricamente, os profissionais de segurança têm feito investimentos centrados na tecnologia e tomado decisões de implementação e distribuição com base naquilo que eles acreditam ser necessário, ao invés de pensarem no que a empresa precisa. É impossível defender os planos de segurança e os orçamentos necessários se não forem baseados nos objetivos dos negócios. Se os gerentes não puderem fornecer as informações sobre a significância dos riscos de seus processos de negócio, então os gerentes de alto nível devem entrar em ação e fazer a mediação.3) Fazer com que as comunicações relativas aos riscos sejam complexas demais para que a empresa compreendaOs profissionais de segurança devem desenvolver uma forma consistente de expressar e articular a amplitude das condições críticas de segurança de sistemas de TI específicos, dos ativos de informação e dos processos de negócio. O Gartner recomenda uma escala simples de três níveis - alto, médio e baixo - de modo a fornecer um ponto de referência comum para articular a criticidade da TI para o negócio que possa ser potencialmente utilizado por um conjunto correspondente de níveis de serviço da gestão de riscos.4) Permitir que os gerentes de linha dos negócios transfiram seus riscos para a organização de TI e para a organização de segurança de TI Os gerentes de Linha de Negócios (Line of business - LOB) estão apenas desejosos demais para tirar vantagem do desejo das organizações e segurança de TI em aceitar riscos residuais, assumindo a hipótese errada de que a "oferta padrão" de TI vai controlar efetivamente quaisquer formas de risco da área. Tal abordagem faz com que a organização de TI, ou a organização de segurança de TI, seja o bode expiatório para as falhas de segurança e para qualquer redução resultante no serviço recebido ou na flexibilidade.Site: B2B MagazineData: 28/09/2009Hora:14h57Seção: Canais/Negócios Autor: ------Link:http://www.b2bmagazine.com.br/web/interna.asp?id_canais=4&id_subcanais=10&id_noticia=24414&nome=&descricao=&foto=&colunista=1&pg=