Antes de quaisquer investimentos ou ações frente a riscos tecnológicos, temos primeiramente de estabelecer as responsabilidades por sua identificação, medição e análise de Custo e Benefício à implementação de controles, ou seja, quem será responsável e o que será feito para evitarmos e/ou gerenciarmos situações como (de acordo com o grau de dependência da organização e recursos envolvidos):

·         Abusos realizados por acessos indevidos ou não autorizados aos sistemas

·         Infecção por vírus

·         Indisponibilidade de sistemas, servidores, links ou mesmo backup

·         Vazamento de informações para a concorrência

·         Fraudes Financeiras

·         Sabotagem

·         Interceptação de transmissão de dados ou voz via rede comum ou wireless

·         Danos de imagem ou fraudes por invasões aos Sites da empresa

Quando consideramos grandes Organizações, geralmente esta responsabilidade se deve a uma área de Gestão de Riscos, cuja realiza medições periódicas dos níveis de riscos ao negócio versus controles implementados, sejam de Segurança da Informação, Sistemas, Infra-Estrutura ou Processos. Essa necessidade deve-se pelo fato destas organizações, em sua grande maioria de capital aberto (possuem ações em bolsa de valores) e estando sujeitas às normativas da CVM (Brasil) – Comissão de Valores Mobiliários (ex: CVM 89), SEC (EUA) – Securities and Exchange Commission (ex: Sarbanes Oxley- SOx), Acordo de Basiléia II – Instituições Financeiras, para o estabelecimento de métricas de Governança Corporativa e Emissão de Cartas de Conforto aos Controles que suportam as Demonstrações Financeiras destas organizações por meio de Auditorias Independentes. Estas iniciativas com a finalidade de propiciar conforto e segurança aos Acionistas e Investidores destas organizações.

Organizações menores, porém, face ao custo na manutenção de área para Gestão de Riscos, mas tendo o desafio de manter-se competitivas no mercado, dependem de análises pontuais de Consultores em Gestão de Risco, Segurança da Informação ou Auditores (independentes ou não), estas podem também recorrer a apólices de seguro, para contingências (interrupções) de processo, porém quando falamos em seguro para Ameaças Cibernéticas (TI), a 10ª. pesquisa do CSI/ FBI nos EUA revela que apenas 25% das organizações adotam este tipo de seguro, apesar disso, esta é uma tendência de mercado, visto o ganho de maturidade frente grande dependência, nos dias de hoje, dos sistemas de informação para a realização dos negócios.

Em ambas Organizações, profissionais externos, podem agregar valor no tocante a comparação da situação interna a Organizações de porte e funcionamento semelhante (“Benchmarking”), porém estes terão maior dificuldade no entendimento detalhado dos processos corporativos, assim, esta tarefa demanda ajuda interna das Gerências de: TI, Segurança da Informação, RH, Jurídico, Tesouraria, Contabilidade ou Controladoria, para a plena identificação dos riscos, seus níveis aceitáveis e os controles considerando o negócio em questão.

Alessandro Manotti, CISA – alessandromanotti@hotmail.com

Profissional há nove anos na área Auditoria de Sistemas e Segurança da Informação, atuando em instituições financeiras e consultorias no Brasil e Exterior.