Introdução
É um momento oportuno para falar de gestão de riscos empresariais.
O evento catastrófico ocorrido com a poderosa Vale na semana passada, com consequências humanas, ambientais e financeiras de altíssimo impacto, nos diz muito sobre a complexidade e necessidade de se atuar de forma eficaz e equlibrada na Gestão de Riscos aos Negócios.
É razoável pensar, segundo a presunção da inocência até que se prove contrário, que os inúmeros técnicos e executivos envolvidos nas decisões para construção, operação e manutenção das barragens, não agiram com dolo ou omissão.
Mas a ocorrência do evento e seus impactos, mostram que há erros e aprendizados necessários a todos os negócios na forma como se pensa e se age sobre riscos.
Gerir riscos, sem dúvida, não é um assunto “sexy” no mundo dos negócios, mas se faz cada dia mais necessário. E fazê-lo bem não significa estar blindado de sua materalização. Significa conhecê-los em detalhes, avaliar seus impactos, provisionar coberturas e planejar respostas a eventos.
Deve-se entender que não é possível operar 100% livre de riscos, portanto uma gestão eficaz trabalha focando nos riscos prioritários, aqueles cuja multiplicação da probabilidade de ocorrência pelo impacto monetário é significativo.
Atitudes Empresariais Frente aos Riscos
Podemos ser simplistas e classificar as empresas em apenas 3 tipos de Atitude sobre Riscos, a saber:
Tipo 1: Não sei e/ou não quero saber. Vou me preocupar quando ocorrerem.
Devo limitar-me a dizer que esta atitude acabará inevitavelmente nos cemitérios empresariais.
Tipo 2: Conheço de forma razoável meus riscos, tenho algumas contramedidas implemementadas, tenho também alguns seguros, mas francamente, tenho dificuldades em conhecer de forma simples e atualizada meu nível de exposição e tenho dúvidas da eficácia de minhas respostas a incidentes.
Provavelmente, a maior parte das empresas se enquadra nesta categoria. Fizeram algo, ou mesmo muito, mas podem ter errado na dose do remédio, para mais e para menos.
Tipo 3: Avalio riscos , meço impactos, crio respostas e medidas de prevenção e mitigação de forma cotidiana nos meus negócios. Tenho plena consciência dos custos desta gestão e os equilibro de forma a que sejam sempre vantajosos em relação aos impactos ponderados.
Você quer estar aqui e, acredite-me, poucos estão.
Entendendo Gestão de Riscos em Tecnologia Hoje.
A gestão de riscos em TI segue lógica similar a dos demais riscos e o nível ideal de gestão de risco (Tipo 3), aplica-se totalmente.
Mas a execução revela-se desafiadora. Vamos entender porque.
A dinâmica dos riscos em TI comporta-se de forma distinta daquela de outros dos riscos empresariais mais usualmente monitorados , como o de crédito por exemplo. Não são lineares. Crescem exponencialmente, como a evolução da tecnologia e, a cada inovação, como IoT, por exemplo, e por causa da penetração mundial da world wide web , um novo (e desconhecido) leque de riscos é introduzido. E há gente, os hackers, e mesmo organizações, dedicada em regime 24×7 a encontrar e explorar suas vulnerabilidades, numa velocidade muito maior daquela com que você implementa ou monitora suas contramedidas.
A resposta usual a este cenário vem sendo dada pela própria tecnologia. A figura abaixo mostra o landscape de soluções por categoria de proteção hoje disponíveis no mercado mundial.
Não sei quanto a você, mas quando vejo algo assim, fico angustiado. E não estou questionando o inegável valor destas soluções e nem a competência de seus idealizadores.
A pergunta a ser feita é: seu eu selecionar uma solução de cada categoria, conforme minhas preferências e budget, estarei seguro?
Acredito que não é suficiente. Explorarei os demais componentes de uma gestão eficaz de segurança de informação em um novo artigo, mas antes quero encerrar com mais alguns dados sobre Riscos Cibernéticos.
A McKinsey, em relatório de 2014 entitulado “Risk and responsibility in a hyperconnected world: Implications for enterprises” por David Chinn, James Kaplan, e Allen Weinberg estimou então as perdas materiais por roubos/perdas de ativos de Informação, em U$S 3 Trilhões. Acredito que este número deve ter crescido bastante após 5 anos, e ainda penso que esteja um tanto quanto subestimado. Perdas de difícil ponderação, aquelas com degradação da imagem corporativa provavelmente não estão ai consideradas, e podem, mesmo, destruir para sempre uma marca ou reputação.
Mais ainda, o cerco regulatório, no Brasil e no Mundo, se acirra como resposta governamental a riscos crescentes. A nova Lei Geral de Proteção de Dados, por exemplo, prevê sanções de até R$ 50 milhões para eventos que firam suas diretrizes.
Por Paulo Simon
Paulo Simon é Engenheiro Eletrônico com Especialização em Computação formado pela USP, com especialização em Computação, MBA Executivo pela FIA e Certificado em Inovações Exponenciais pela Singularity University. Executivo de TI com 30 anos de carreira com passagens pela Unilever, Price Waterhouse, Deloitte Consulting, Monsanto e TIVIT, é atualmente Diretor de Consultoria da Agtech.
Para conhecer nossos produtos e serviços, entre em contato conosco.