Riscos x Resiliência, uma equação difícil

Riscos x Resiliência, uma equação difícil. Executivos de qualquer organização tem, com frequência, que tomar decisões difíceis.   Pressionados por resultados eles tem, concorrentemente, que mitigar riscos aumentando, consequentemente, a resiliência das organizações com um mínimo de investimentos (CAPEX) e de aumento nas despesas operacionais recorrentes (OPEX).   Esta é uma equação difícil principalmente porque a percepção dos riscos e de aumento da resiliência são, em geral, dimensões relativas e não absolutas.

Vamos analisar os CIOs por exemplo.   Os desafios são enormes: acompanhar o desenvolvimento da tecnologia da informação, suportar os novos desafios de negócio da organização, garantir a disponibilidade dos serviços de TI, aumentar a produtividade e qualidade dos serviços prestados, reduzir custos etc. não é uma tarefa fácil!

Some-se a isto o fato de que, na maioria das vezes, o CIO tem que garantir a disponibilidade quando muitas das infraestruturas de suporte não estão sob o seu controle, riscos não são conhecidos ou a dimensão do risco potencial é incompatível com a disponibilidade ou resiliência a ser entregue.

Risco e Resiliência

Segundo a norma ISO 31000 de Gestão de Riscos, “Risco é o efeito da incerteza nos objetivos com desvios que podem ter efeitos positivos ou negativos no resultado”.   Resiliência por sua vez, segundo a norma ISO 22316 “é a habilidade de uma organização de absorver e se adaptar em um ambiente em contínua mudança e afirma que a resiliência organizacional possibilita a organização a entregar seus objetivos, sobreviver e prosperar”.

Portanto, não é possível praticar resiliência organizacional sem gerir, adequadamente, os riscos, de qualquer natureza.

Categorias de Riscos

Para simplificar a nossa análise podemos categorizar os nossos riscos em 5 grandes grupos, que podem estar inter-relacionados:

  • Edificação predial, premises ou facilities: segurança física e patrimonial, ar condicionado, água, energia elétrica, esgotos, sistemas de combate a incêndios, manutenções preditivas, preventivas e corretivas …
  • Tecnologia da Informação e Comunicação: controles de acesso, instalação e montagem dos equipamentos, sistemas de combate a incêndios, backup & restore, conexões físicas e lógicas …
    No artigo Deus perdoa, mas a Internet não !  (Pílulas de Continuidade de Negócios de 22/03/18) abordamos o incêndio na empresa BRDigital que, segundo seu diretor de negócios, iniciou em um dos servidores e que não foi contido pelo sistema de combate a incêndios.   Perguntas como: porque o princípio de incêndio não foi detectado, porque não foi controlado, onde é o ponto, ou caminho, único de falha fica pendente de respostas que, mesmo satisfatoriamente respondidas, podem não trazer os clientes de volta.   Temos aqui uma situação de um risco materializado decorrente de falhas na infraestrutura predial e de TIC e que contou, muito possivelmente, com mais alguns erros operacionais.
  • ​​Segurança da Informação: o grande pesadelo dos dias de hoje.   A pergunta não é SE, a pergunta é QUANDO sofreremos um incidente severo de segurança da informação onde os mecanismos de prevenção e proteção estão sempre atrasados em relação aos riscos cibernéticos.   O que faremos?   Como reagiremos?   Como vamos restabelecer os serviços?
  • Pessoas: um grande absenteísmo decorrente de greves, manifestações, desastres naturais ou humanos, epidemias, pandemias … podem comprometer a entrega dos produtos e serviços da organização.   E a falta de pessoas chave, qualificadas e habilitadas, podem provocar novos riscos!
  • Fornecedores: e se um fornecedor chave ficar indisponível?   Com o aumento cada vez maior de operações não vitais, utilização de serviços na “nuvem” ou outros mecanismos de terceirização como é possível assegurar resiliência sem conhecer os riscos do fornecedor?   Na eventualidade de um incidente de interrupção num fornecedor com múltiplos clientes há recursos necessários para recuperar os meus produtos e serviços nos SLAs estabelecidos?   Somente as cláusulas contratuais de SLA são suficientes?

Nos mercados regulados (financeiro, segurador etc.) os agentes reguladores (BACEN, SUSEP …) estão impondo estruturas de gestão de riscos que devem identificar os riscos e quantificar os impactos decorrentes da materialização destes riscos.   Nestes dois mercados, quanto maior for o risco corporativo maior será a necessidade de capital de risco, dentre outras penalidades potenciais, para reduzir a possibilidade de um risco sistêmico.

Como será possível assegurar a resiliência corporativa sem identificar e posteriormente mitigar todos os riscos, ou sem avaliar adequadamente os impactos decorrentes da materialização dos riscos, identificados ou não?

Apetite a Risco

Neste cenário de incertezas decisões precisarão ser tomadas alinhadas ao Apetite a Risco que a organização está disposta a correr.   Não é possível conhecer e controlar todas as variáveis e riscos o que acaba por afetar a resiliência corporativa.

Mesmo para os riscos identificados e quantificados há a necessidade de controles para mitigá-los.   Possivelmente estes controles necessitarão ou de investimentos para a sua implantação e/ou de despesas para a sua operação.

A Resiliência desejada é compatível com o Apetite a Risco e os investimentos e despesas necessárias?

A norma ISO 22301 de Continuidade de Negócios pode nos ajudar nesta análise.   Há a necessidade da definição do tempo máximo de indisponibilidade dos serviços ou produtos (MTPD) e do nível de serviço a ser entregue (MBCO).   No artigo MTPD, MBCO, RTO e RPO. Você sabe o que estas siglas significam?  (Pílulas de Continuidade de Negócios de 07/02/18) abordamos estes conceitos.
Tipicamente quanto menor o MTPD e/ou maior o MBCO maiores serão as necessidades de investimentos (CAPEX) e despesas (OPEX).

Estas definições devem estar alinhadas com o Apetite a Risco e ao Planejamento Estratégico da organização.

Conclusão

Parafraseando Platão “conheça os riscos e alcançaras a resiliência desejada”.

 

Fonte: Pílulas de Continuidade de Negócios – Strohl Brasil

 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Nova vulnerabilidade no CISCO Webex
  2. CISO (Chief Information Security Officer)

Deixe sua opinião!