Gestão de TI

Saiba como gerenciar os riscos em TI de uma vez por todas

saiba-como-gerenciar-os-riscos-em-ti-de-uma-vez-por-todas-1024x535

Estar preparado é sempre melhor que ser pego de surpresa. Gerenciar os riscos em TI de uma forma proativa é uma tarefa importante para evitar que incertezas causem efeitos inesperados no resultado do trabalho.

Se a gestão de riscos for deixada de lado ou tratada de forma responsiva, as consequências serão imprevisíveis para o setor e a empresa.

Sendo assim, apresentamos a seguir,um pequeno guia para aprender a gerenciar os riscos em TI de uma vez por todas!

O valor esperado de um risco

O passo inicial para gerenciar os riscos em TI é entender o que é o valor de cada risco. O método tradicional para isso envolve descrevê-lo em três componentes essenciais: evento, probabilidade e impacto decorrente.

Um exemplo seria o risco de perder dados em uma emissora de TV por um incêndio nos servidores. O evento seria o incêndio.

A probabilidade de isso acontecer será avaliada em premissas levantadas pelo gestor. Para isso, pode levantar históricos de incidentes semelhantes e consultar especialistas. Para o nosso exemplo, vamos estimar em 0,1%.

Por fim, é preciso avaliar os impactos do evento, caso ele aconteça. No caso de um incêndio que pode destruir os servidores locais de uma empresa, os impactos seriam a perda do equipamento e dos dados lá armazenados.

É trabalho do gestor calcular o valor desse impacto, em reais. No nosso exemplo, os dados valiosos que poderiam ser consumidos pelo fogo seriam o arquivo de décadas de uma emissora de TV. Um valor estimado em R$ 20 milhões.

Com tudo isso em mãos, podemos finalmente entender o valor esperado do risco, multiplicando o impacto pela probabilidade. Isso será fundamental na hora de definir o plano de resposta aos riscos. O incêndio dos servidores da emissora de TV seria um risco com valor esperado de R$ 20 mil reais, por exemplo.

Plano de ação para gerenciar os riscos em TI

Uma vez que todos os riscos foram levantados e passaram por essa avaliação, que é chamada de análise qualitativa, é possível começar a traçar uma estratégia para reagir a eles.

Existem, essencialmente, quatro tipos de resposta ao risco:

  • evitar o risco  algo raro, que acontece quando ele pode ser totalmente anulado por alguma ação afirmativa;
  • transferir o risco  quando é possível passar a responsabilidade para terceiros;
  • mitigar o risco  reduzir sua probabilidade ou seu impacto, o que, consequentemente, reduz seu valor esperado;
  • assumir o risco — o que só é recomendado quando o valor é baixo ou o custo para mitigar é proibitivo.

Portanto, cada risco requer uma estratégia correspondente. Porém, na maior parte dos riscos relevantes ao negócio mapeados pelo gestor, o plano envolve mitigá-los, reduzindo o seu valor.

No nosso exemplo do incêndio nos servidores, uma alternativa seria investir em um sistema de prevenção avançado para tentar reduzir a probabilidade do risco.

Mas, muito provavelmente, seria mais vantajoso, em termos financeiros, atacar o valor do impacto diretamente, virtualizando os servidores da empresa — uma solução que praticamente evitaria o risco de perder dados em um incidente similar e seria bem mais barata que o valor estimado de R$ 20 mil.

Os riscos mais comuns na TI

De fato, cada tipo de negócio tem suas peculiaridades e, consequentemente, riscos específicos. Mas existem alguns tipos que sempre devem ser mapeados ao gerenciar os riscos em TI, independentemente do cliente final do setor. São eles:

  • perda de dados — como no nosso exemplo, podem ser mitigadas com backups e a virtualização de servidores;
  • brechas na segurança — podem ser minimizadas, transferindo parte dessa responsabilidade para terceiros especializados no assunto;
  • indisponibilidade de serviço — um risco que pode ser bem reduzido com redundâncias e parceiros confiáveis;
  • danos físicos na infraestrutura, descargas elétricas, incêndios e outras situações que podem destruir equipamentos — transferir alguns serviços para a nuvem pode reduzir o valor total da infraestrutura e mitigar esse risco.

Naturalmente, existem muitas outras possibilidades relevantes ao gerenciar os riscos em TI, que podem ser mapeadas e avaliadas pelo gestor.

E você, aprendeu de uma vez por todas como gerenciar os riscos em TI? Aproveite então para compartilhar este post com seus amigos e colegas de trabalho nas redes sociais!