Apetite de Risco: Você não teme o que desconhece

Talvez essa seja a principal razão para a precária situação da grande maioria das empresas em relação a forma como gerenciam seus riscos, desenham seus programas de segurança da informação e realizam investimentos.

Autor: Marcos SemolaFonte: O Autor

O problema não é novo e o passar do tempo não tem se mostrado suficiente para fazer esse comportamento mudar. Mesmo depois de catástrofes globais com ampla divulgação dos impactos nas empresas, não se vê muita mudança no comportamento dos líderes e suas empresas. Muito se especula sobre as razões por trás da inércia.

É possível que em mercados muito competitivos onde sobreviver ainda é o maior desafio, os gestores acabem inclinados a pensar no imediatismo e assim focar os investimentos no core business. Coerente. É ainda possível que estejam realizando investimentos isolados e estes já lhes deem a garantia mínima que os satisfaça, bem como aos seus acionistas. Entretanto, a experiência me diz que há muito mais profundo e preocupante por trás dessas justificativas. Desconhecimento.

As empresas simplesmente não enxergam toda a amplitude do problema. Conhecem superficialmente as ameaças antigas e nem imaginam o quão criativas e poderosas são as novas.

Não compreendem a inexistência de perímetros para proteger. Que o agente de risco pode ser qualquer um, estar em qualquer lugar e agir a qualquer hora. Que o cibercrime é uma realidade alimentada por estruturas bem profissionais com motivação financeira que transcende os interesses pessoais e acadêmicos do hacker de duas décadas atrás. Esquecem que a empresa está dia-a-dia mais exposta e sujeita a incidentes que podem começar com a indisponibilidade do site e acabar com a interrupção total de suas operações.


SITUAÇÃO DE RISCO INCOMPATÍVEL COM O APETITE =

+ necessidade de canalizar os orçamentos escassos para o core business

+ ausência de impacto percebido e medido + ganho de confiança com o passar do tempo sem incidentes

+ falta de cultura de prevenção

+ efeito "calmante" de ter implementado alguma solução de segurança isolada

+ dificuldade de enxergar cenários de risco integrados + dificuldade em ensaiar o retorno que o investimento em segurança

+ desconhecimento das ameaças e impactos potenciais


Mas nem tudo está perdido.

Se você ainda lê este artigo e tem onde trabalhar amanhã, possivelmente sua empresa ainda não foi vítima de um incidente de segurança devastador, portanto, ainda há tempo para reagir.

Não subestime o risco. Converse com especialistas-estrategistas em gestão de riscos da informação. Descubra o nível de exposição do seu negócio. Discuta seu apetite de risco. Conheça a anatomia das ameaças. Projete cenários de risco integrados e seus impactos potenciais. Elabore um programa de gestão de riscos da informação que seja business-centric (orientado ao negócio). Estabeleça métricas e conecte-as aos indicadores do próprio negócio (COBIT é uma ótima sugestão).

Contrate um CISO (Chief Information Security Officer) e lhe dê atributos de posicionamento estratégico para trabalhar lado a lado ao CEO. E não esqueça de alimentar o processo que estabeleceu. O que não se conhece não se pode controlar. O que não se controla não se pode mensurar. O que não se mensura não se pode gerenciar. O que não se gerencia não se pode aprimorar.

Marcos Semola é executivo de TI, especialista em governança, risco e conformidade, professor da IBE-FGV, escritor, palestrante, VP do conselho de administração da ISACA e mentor de startups.

https://www.linkedin.com/in/semola/