Este documento descreve um framework para gestão de riscos de TI em uma universidade. Apresenta princípios gerais de gestão de risco de TI e descreve processos para avaliação, resposta e monitoramento de riscos, incluindo riscos de governança, avaliação de riscos, e resposta a riscos. O objetivo é garantir que os riscos associados às TI sejam adequadamente identificados, analisados e tratados para apoiar os objetivos de negócio da universidade.
Conferência SC 24 | Omnichannel: uma cultura ou apenas um recurso comercial?
Governancia de TI risc
1. UNIVERSIDADE EDUARDO MONDLANE
FACULDADE DE CIÊNCIAS
DEPARTAMENTO DE MATEMÁTICA E INFORMÁTICA
Curso de Mestrado em Informática
GOVERNO DE TI
Out/14 – Nov/14
2. Risco
2
1. Princípios de geral
2. Risco de Governança
Avaliação do risco
Resposta ao risco
4. P r i n c í p i o s g e r a l
4
1. Ligação entre os risco de TI e os objectivos de
negócio:
2. Alinhar o processo de gestão de risco de TI ao ERM da
organização
3. Gerir riscos de TI de acordo com a relação
custo/benefício
4. Promover uma aberta comunicação sobre o risco de TI
5. Comprometimento da gestão de topo
6. Promoção da melhoria contínua como parte da
actividade diária
6. Risco de Governança
6
Objectivo: Garantir que as práticas de gestão de risco
de TI fazem parte dos processos organizacionais,
permitindo que a organização encontre a melhor relação
de risco/retorno.
Métricas
A percentagem de redução de risco associado à
utilização das TI nos processos críticos de negócio;
Percentagem de funções de gestão de risco que têm
formação específica em técnicas de gestão de risco.
Processos
RG1 – Definir e implementar uma visão comum de
risco;
RG2 – Integrar com o ERM da organização;
RG3 – Tomar decisões com base no risco.
7. RG1 - Definir e implementar uma
7 visão comum de risco
Objectivo: Garantir que as actividades de gestão de risco estão
afinadas e alinhadas com os limites aceitáveis e com a tolerância da
gestão da organização para perdas associadas às TI’s.
Actividades
RG1.1 – Efectuar uma análise de risco da organização (através de
workshops com a gestão; ajudar os gestores a perceber o impacto
do risco de TI no negócio, através de cenários; fazer uma
abordagem Top-Down a identificar os principais activos de TI que
suportam o negócio, etc.)
RG1.2 – Propor limites de tolerância ao risco de TI (exprimir o limite
nas mesmas medidas dos objectivos de negócio em causa);
RG1.3 – Aprovar a tolerância de risco de TI;
RG1.4 – Alinhar a política de risco de TI (transpor o apetite e a
tolerância ao risco numa política de risco de TI, rever
8. RG2 – Integrar com o ERM da
8 organização
Objectivo: Integrar as operações e a estratégia de gestão de risco de TI com
os processos de tomada de gestão de risco, feitas ao nível da organização.
Actividades
RG2.1 – Definir e manter a cadeia de responsabilidades pela gestão de
risco de TI (definir indicadores de performance e um processo de reporte;
definir objectivos de performance, etc.)
RG2.2 – Alinhar a estratégia de risco de TI com a de negócio;
RG2.3 – Adaptar as práticas de gestão de risco de TI às da organização;
RG2.4 – Dotar a gestão de risco de TI com os recursos necessários (serão
necessários recursos a nível do negócio e das TI’s; dotar os colaboradores
de formação específica; documentar os processos de gestão de risco de
TI; considerar a adopção de aplicações informáticas para apoio na gestão
de risco, etc.);
RG2.5 – Avaliar de forma independente a gestão de risco de TI (obter uma
avaliação independente sobre a performance das actividades de gestão de
risco de TI).
9. RG3 – Tomar decisões com base
9 no risco
Objectivo
Garantir que as decisões são tomadas em plena consciência das
oportunidades e consequências da dependência da tecnologia
adoptada.
Actividades
RG3.1 – Obter o patrocínio da gestão para as análises de risco de
TI (treinar os decisores na abordagem proposta de análise de risco;
demonstrar as mais valias da análise de risco no processo de
decisão, etc.)
RG3.2 – Aprovar as análise de risco de TI (garantir que o relatório
de análise de risco tem a informação suficiente para a sua
compreensão);
RG3.3 – Incluir aspectos de TI no processo de decisão estratégica
da organização (ser proactivo e identificar aspectos de risco sobre
decisões que ainda estão por tomar);
RG3.4 – Aceitar o risco de TI (de acordo com o nível de risco
aceite);
RG3.5 – Priorizar as respostas ao risco de TI (começar por aquelas
que têm maior impacto na redução do risco).
10. Avaliação do risco
10
Objectivo Garantir que todos os riscos e
oportunidades associadas às Tecnologias de
Informação são devidamente identificadas,
analisadas e apresentadas em linguagem de
negócio.
Métricas O impacto acumulado de eventos e
incidentes tecnológicos não identificados no
processo de gestão de risco de TI.
Processos
RE1 – Capturar informação;
RE2 – Analisar o risco;
RE3 – Manter um perfil de risco.
11. RE1 - Recolher informação
11
Objectivo Identificar informação relevante que permita uma efectiva
identificação, análise e reporte do risco associado às Tecnologias de
Informação.
Actividades
RE1.1 – Definir e manter um modelo de recolha, classificação e
análise de informação de risco de TI (ex. ameaças,
vulnerabilidades, eventos de perda) sobre diversas categorias de
risco;
RE1.2 – Recolher informação directamente sobre o ambiente
operativo;
RE1.3 – Recolher informação sobre eventos de risco que tenham,
ou possam ter, impacto em qualquer das categorias de risco;
RE1.4 – Identificar os factores de risco (determinar quais as
condições existentes para potenciar o evento de perda).
12. 12
Recolher informação
A recolha de informação pode ser feita através
de diversas metodologias:
Entrevistas;
Questionários;
Workshops;
Observação;
Testes.
13. Categorias de Risco
13
Risco de estratégia: possibilidade da estratégia prosseguida e
das políticas definidas na área dos sistemas de informação se
revelarem desajustadas relativamente às actividades
desenvolvidas;
Risco de flexibilidade: incapacidade de adaptar os sistemas
de informação e a sua funcionalidade a novas necessidades
tempestivamente;
Risco de acesso: probabilidade de ocorrem acessos não
autorizados ou inapropriados aos sistemas de informação;
Risco de integridade: probabilidade de a informação
produzida pelos sistemas ser incorrecta, incompleta,
inconsistente ou extemporânea;
Risco de continuidade: probabilidade de ocorrência de falhas
nos sistemas, com impacto na disponibilidade e recuperação da
informação.
14. RE2 - Analisar o risco
14
Objectivo
Desenvolver informação útil para suportar as decisões que levem em consideração
os factores de risco.
Actividades
RE2.1 – Definir o âmbito de cobertura da análise de risco (Decidir sobre a cobertura,
profundidade e o esforço a aplicar na análise de risco. Mapear os principais factores
de risco com os processos de negócio considerados mais críticos);
RE2.2 – Estimar o risco (Dentro do âmbito de cobertura da análise de risco, estimar
a frequência e magnitude de perda ou ganho associado aos cenários de risco de TI;
Estimar o maior valor de perda possível; Avaliar os controlos e o seu efeito na
frequência ou magnitude do impacto e factores de risco aplicáveis. Estimar o risco
residual e compara-lo com a tolerância ao risco e identificar necessidades de acções
de resposta ao risco.);
RE2.3 – Identificar as respostas ao risco (Identificar as opções de resposta ao risco
disponíveis, tais como evitar, reduzir/mitigar, transferir/partilhar, ou aceitar.
Documentar os racionais e os trade-offs de entre cada uma das opções. Identificar
os custos e benefícios associados.);
RE2.4 – Rever a análise de risco (Efectuar uma revisão dos resultados da análise
risco antes de a enviar para a gestão de topo para decisão. Confirmar se a análise
está bem documentada e alinhada com os procedimentos da organização. Rever as
bases de cálculo das estimativas de probabilidades de perdas).
15. Avaliação do risco -
Cenários de risco
15
Duas abordagens a utilizar em conjunto:
Top-Down – inicia com os objectivos de
negócio e segue a análise até aos mais
prováveis cenários de risco de TI, dada a
presença de TI nos processos de negócio.
Botton-Up – listam-se cenários genéricos que
materializem riscos mais concretos.
17. RE3 - Manter um perfil de risco
17
Objectivo
Manter um inventário actualizado das características dos riscos (frequência e
impactos prováveis), dos recursos de TI e dos controlos, tal como são conhecidos no
contexto do negócio.
Actividades
RE3.1 – Mapear os recursos de TI aos processos de negócio (Entender a
dependência do negócio nos recursos de TI);
RE3.2 – Definir a criticidade dos recursos de TI para o negócio (Perceber quais o
recursos de TI que são críticos; Fazer uma abordagem Top-Down até às
componentes físicas);
RE3.3 – Perceber a capacidade Tecnológica (Perceber se, em condições normais,
os controlos são capazes de manter o risco dentro dos valores aceites pela
organização);
RE3.4 – Actualizar as componentes da análise de cenários (Rever os valores dos
componentes utilizados nos cenários de risco e ajustar de acordo a realidade
observada);
RE3.5 – Manter um registo do risco de TI (manter atualizado o perfil de risco da
organização);
RE3.6 – Desenvolver KRI’s (Desenhar métricas ou indicadores que tenham a
19. Resposta ao risco
19
Objectivo
Garantir que os eventos e as oportunidades associadas
ao risco de TI, são devidamente tratados, de forma
económica e alinhada com as prioridades de negócio.
Métricas
O impacto acumulado dos incidentes ou eventos de
risco, antecipados pela avaliação de risco e ainda não
tratados pelo processo de resposta de riscos.
Processos
RR1 – Articular o risco;
RR2 – Gerir o risco;
RR3 – Reagir aos eventos.
20. Resposta ao risco RR1 - Articular o
risco
20
Objectivo
Garantir a disponibilidade e tempestividade da informação associada ao risco e às
oportunidades de TI, permitindo desta forma que a gestão implemente as medidas
necessárias para responder ao risco.
Actividades
RR1.1 – Comunicar o resultado das análises de risco (reportar em formato utilizável
pelo processo de tomada de decisão; comunicar de forma clara no contexto de
retorno do risco; quando possível incluir probabilidades de ganho ou perda, pior
cenário e cenário mais provável).
RR1.2 – Reportar as actividades de gestão do risco de TI e estado de conformidade
(responder às necessidades de informação de risco dos diversos stakeholders – ex.
administração, comité de risco, funções de controlo, gestão. Incluir eficácia e
eficiência dos controlos, acções de melhoria, eventos e incidentes).
RR1.3 – Interpretar eventos de TI identificados por terceiros (rever os resultados e
eventos específicos feitos por terceiros – ex. Auditoria interna, garantia da
qualidade, etc., mapear estes eventos ao perfil de risco e aos controlos falhados).
RR1.4 – Identificar oportunidades associadas às TI (de forma regular, considerar o
nível de risco das TI, se estiver abaixo do apetite ao risco, identificar oportunidades
e assumir mais risco para obter mais retorno).
21. RR2 - Gerir o risco
21
Objectivo
Garantir que as actividades de alavancagem das oportunidades e de redução do
risco até ao nível de tolerância, são geridas como um portfólio.
Actividades
RR2.1 Inventariar controlos (para todas as áreas de risco, inventariar os controlos
existentes; classificar os controlos e associa-los a riscos específicos ou agregações
de risco; desenhar testes para os controlos; identificar procedimentos e tecnologia
para monitorizar a sua capacidade operativa).
RR2.2 Monitorizar o alinhamento entre as operações e os níveis toleráveis de risco
(garantir que as áreas de negócio aceitam operar dentro dos níveis de risco
definidos; monitorizar a performance dos controlos; para os riscos principais; testar
o desenho e a eficácia dos controlos associados).
RR2.3 Responder a novos riscos e oportunidades (iniciar projectos que venham a
reduzir a frequência ou magnitude de eventos e complementar com projectos que
potenciem componentes estratégicas do negócio).
RR2.4 Implementar controlos (desenvolver novos controlos e ajustar os já
existentes; testar o controlo antes de confiar no mesmo; inventariar o novo controlo
e mapeá-lo com os procedimentos de monitorização).
RR2.5 Reportar progressos do plano de risco tecnológico (monitorizar os planos de
acção, garantindo a eficácia das medidas propostas).
22. Key Risk Indicators
22
São métricas capazes de demonstrar que a
organização está exposta a um determinado
risco e que por sua vez, este pode exceder o
apetite ao risco.
São específicos da organização para o qual
foram definidos.
23. RR3 - Reagir aos eventos
23
Objectivo
Garantir que as medidas para alavancar as oportunidades ou limitar a
frequência e magnitude de um evento relacionado com as TI’s são atempada
e efectivamente aplicadas.
Actividades
RR3.1 – Planos de reposta a incidentes (preparar para a materialização
das ameaças através de planos que documentem o que fazer em caso de
ocorrência).
RR3.2 – Monitorizar o risco de TI (monitorizar o ambiente de controlo e
avaliar quando um controlo atinge os seus limites, categorizar incidentes e
comparar as exposições reais com os níveis aceites. Comunicar os
impactos no negócio aos decisores).
RR3.3 – Iniciar a resposta ao incidente (tomar acção para minimizar o
impacto do incidente; identificar a categoria do incidente e seguir o plano
de resposta ao incidente; informar os stakeholders e partes afectadas).
RR3.4 Comunicar as lições aprendidas (rever eventos oportunidades
passadas; perceber as razões da falha; identificar eventos semelhantes e
avaliar se foram tomadas medidas correctivas).
24. Prioritização e resposta ao
risco
24
Evitar o risco
Evitar significa abandonar as actividades ou condições que
representem risco. Evitar o risco aplica-se quando nenhuma outra
resposta ao risco é adequada. Como por exemplo:
Não existe uma resposta económica que consiga reduzir a
frequência ou o impacto até ao níveis do apetite de risco definido;
O risco não pode ser evitado ou transferido;
O risco é inaceitável para a gestão de topo.
Reduzir o risco/mitigação
Redução do risco significa tomar medidas que detectem o risco,
seguidas de medidas com a capacidade de reduzir a sua frequência
e/ou impacto. As formas mais comuns de mitigar o Risco são:
Fortalecer as práticas de gestão de risco;
Introduzir um conjunto de medidas de controlo.
25. Prioritização e resposta ao
risco
25
Partilha/transferência do risco Partilhar significa reduzir a
frequência ou impacto do risco através da transferência ou
partilha de uma parte do risco. As formas mais comuns de
partilha ou transferência do risco passam pela aplicação de
um seguro ou pelo outsourcing. Estas técnicas não aliviam
o risco da organização, mas permitem a utilização de
recursos de outra organização no apoio à gestão do risco e
reduzem o seu impacto financeiro.
Aceitação do risco A aceitação significa que não serão
tomadas acções relativamente a um determinado risco e o
seu impacto financeiro é aceite. É diferente de ignorar o
risco, significa que o mesmo é conhecido, e que as decisões
são tomadas tendo conhecimento do mesmo. A aceitação do
risco de TI deverá ser feita unicamente pelos responsáveis
dos processos de negócio, com o apoio dos responsáveis
pelo TI, e devidamente comunicada à gestão de topo.