Como os profissionais de segurança podem ajudar suas organizações a mudar da governança, risco e conformidade tradicionais para o gerenciamento de riscos integrado às atividades de risco em toda a organização, permitindo uma melhor tomada de decisão estratégica?

Os profissionais de segurança da informação podem ajudar concentrando-se nas métricas, afinal não podemos melhorar o que não podemos medir.

Compreender e ter as métricas corretas certamente ajuda a tomar decisões estratégicas e operacionais rapidamente.

Muitas métricas de valor no mundo da segurança da informação se sobrepõem ao gerenciamento de riscos e à estratégia abrangente. Itens como estabilidade do sistema, tempo de inatividade do uso, densidade de vulnerabilidades e tempo para correção, apenas citar alguns, podem ser usados ​​para ajudar a concentrar o orçamento em fazer as coisas certas para mover as decisões estratégicas em uma direção positiva.

É possível adotar abordagem orientada por métricas

Uma abordagem orientada por métricas pode alterar significativamente a postura de qualquer organização. Algumas métricas a serem consideradas que podem ajudar na governança de risco são sugeridas a seguir:

Número de riscos identificados

Essa é uma medida relativamente fácil. Você pode rastrear o número de riscos identificados por projeto ou setor. Não existe uma ‘resposta certa’ para quantos riscos um projeto deveria ter identificado. Depende completamente do tipo de projeto. Um projeto que você executou várias vezes antes terá baixo risco. Um projeto com várias áreas de complexidade usando uma metodologia nova para a equipe será inerentemente mais arriscado.

Número de riscos que ocorreram

Você também pode acompanhar o número de riscos que se materializam e se transformam em problemas da ‘vida real’ no projeto. Essa medida também pode dizer que a análise de risco está sendo feita minuciosamente.

Por exemplo, se forem rastreados muitos riscos que se transformam em problemas, você pode dar à equipe o crédito por detectar que essas coisas podem causar problemas. Se muitos riscos são rastreados, mas nenhum se transforma em problemas, pode ser que a equipe esteja rastreando as coisas erradas – os problemas surgem do nada e nunca chegam ao log de riscos.

Número de riscos que ocorreram mais de uma vez

Isso pode ser um sinal de que as lições não estão sendo aprendidas. Se um risco ocorrer várias vezes, no mesmo projeto ou em vários projetos, isso pode mostrar que as equipes não estão aprendendo com a experiência passada.

Gravidade de risco prevista em comparação com a gravidade real

Quando o risco ocorrer e se tornar um problema, você poderá ver quanto impacto teve no projeto. Comparar a severidade prevista com a real pode ser um palpite profissional, mas vale a pena tentar. É interessante ver se seus planos de mitigação de riscos tiveram o impacto que você esperava na redução do risco. Você pode verificar se o risco residual também foi identificado e gerenciado adequadamente.

Custo do gerenciamento de riscos

Você pode acompanhar os gastos reais em atividades de gerenciamento de riscos em relação aos gastos previstos. Este é realmente interessante para projetos futuros, pois pode ajudá-lo a estimar o custo do risco em novos projetos.

A abordagem tradicional de usar ferramentas e processos independentes não funciona mais. As integrações nos ecossistemas de governança são essenciais para obter uma visão geral do cenário de risco de uma organização.

O desafio de coletar métricas e gerenciar riscos

Para ser eficaz, é necessário que os gestores de risco estejam cientes dos objetivos estratégicos do negócio e entendam como eles são impactados pelos riscos identificados.

Da mesma forma, os responsáveis por coletar métricas e gerenciar riscos precisam ter clareza sobre a maneira como as ameaças devem ser identificadas e classificadas. Sem isso, os riscos ainda podem ser inconsistentes e a clareza geral reduzida.

Em vez de elevar riscos estrategicamente importantes do nível mais baixo nos negócios, a chave é entender quais riscos são importantes para cada função específica.

Sendo assim, muitos aspectos diferentes impactarão esses riscos. Alguns como eficiência do processo, por exemplo são controláveis ​​dentro da empresa, e outros, como políticas governamentais, não são.

De fato, as decisões operacionais requerem informações detalhadas sobre riscos. No entanto, esses riscos tendem a ser de natureza mais genérica e informados por atividades mais detalhadas que podem estar ocorrendo mais adiante, onde os objetivos e as perspectivas serão muito diferentes.

Portanto, são necessárias informações muito mais granulares para tomar uma decisão mais operacional com base no risco em questão.

A análise de métricas ajuda a definir a estratégia de governança e a segurança ao ambiente de produção

O que então torna importante a análise de métricas é que os profissionais de segurança da informação devem procurar correlacionar e integrar essas métricas com aspectos do ambiente de produção.

Métricas e integrações de alerta podem fornecer ‘alimento para o pensamento’ estratégico e ajudar os executivos a considerar onde alocar orçamento e recursos. Uma unidade de negócios, por exemplo, com uma alta contagem de vulnerabilidades pode exigir treinamento ou aprimoramentos para manutenção ou implantação. Detectando o sintoma, podemos tentar entender a causa raiz e agir em conformidade.

A chave é ter os filtros certos para permitir que as informações sejam capturadas centralmente, além de garantir que haja um entendimento coerente do risco, onde quer que ele seja originado.

Na maioria dos casos, a solução ideal é uma função de gerenciamento de riscos de gerência centralizada que possui entradas e representação em todas as unidades de negócios para informar sobre os riscos. Eles podem então atuar como um filtro, detectar duplicação e ajudar a facilitar a integração na agenda estratégica mais ampla.

Sobre Tripletech IT Solutions

A Tripletech IT Solutions atua no mercado corporativo sempre em busca da excelência dos serviços prestados na área de Tecnologia da Informação, destacando-se nesse segmento por acompanhar as constantes evoluções e tendências de mercado. A empresa é formada por profissionais com ampla expertise adquirida ao longo dos anos no mercado de TI.

Nosso foco é sempre oferecer a melhor solução de acordo com a necessidade na medida certa para cada tipo de ambiente em cada cliente, tratando a TI de uma forma ampla, objetiva e sem complicações. Valorizamos e investimos no capital humano, nosso produto mais valioso.