Ciclo de reflexões e debates: Gestão do risco na área da informação

Realizou-se, no passado dia 27 de Setembro, a sétima sessão do “Ciclo de reflexões e debates”, promovida pelo Grupo de Trabalho de Gestão de Documentos de Arquivo (GT-GDA) da BAD. Subordinada ao tema “Gestão do risco na área da informação”, a sessão teve como oradores Ricardo Vieira (INESC-ID) e Aurélio Maia, (Integrity), e moderação de José Borbinha (INESC-ID, IST).

Sessão sobre gestão de riscoAlexandra Fonseca

A primeira intervenção, de Ricardo Vieira, forneceu um enquadramento do tema, com a clarificação dos principais conceitos e indicação das referências normativas mais relevantes na área da gestão do risco (apresentação). A segunda intervenção ficou a cargo de Aurélio Maia, representante da Integrity, empresa que auxilia as organizações na implementação de sistemas de gestão de segurança da informação (apresentação).

Por gestão do risco entende-se o conjunto de actividades coordenadas com o objectivo de dirigir e controlar o risco, sendo uma actividade de grande importância em qualquer negócio, frequentemente no contexto do trio “Governance”, “Risk” e “Compliance”. Cada vez mais organizações reconhecem a gestão do risco como uma mais-valia no processo de tomada de decisão. A ISO 31000 é hoje a norma de referência na gestão do risco, enquanto a ISO 27001 constitui o padrão internacional no contexto da gestão da segurança da informação.

Gerir o risco passa por considerar eventos potenciais e as suas consequências, numa abordagem pró-activa, ou seja, de antecipação do risco. Na área da informação ela visa a protecção contra ameaças que possam afectar o seu uso ou interpretação.

A gestão do risco implica geralmente um processo com uma fase de análise (assessment), seguida por uma fase de tratamento do risco (decisões e controlos a aplicar). Em primeiro lugar é necessário identificar os activos (assets), seguindo-se na análise a identificação das respetivas vulnerabilidades e ameaças, bem como a probabilidade de estas se efectivarem. Há também uma avaliação do impacto de cada risco nos atributos de confidencialidade, disponibilidade e integridade da informação, o que permite criar, por exemplo, matrizes de risco. O processo finaliza com as recomendações de controlos a implementar, isto é, medidas que conduzem à mitigação da verosimilhança das ameaças e/ou impacto do risco.

Segue-se a fase de tratamento do risco, em que é necessário fazer uma tomada de decisão, que pode passar pela aceitação, redução ou transferência do risco. Uma tomada de decisão acertada tem em conta os custos versus os benefícios globais, sendo definido um plano com as prioridades de acção.

Evitar o risco não é uma opção. O facto de o conceito de risco surgir frequentemente associado a outros conceitos como “danos”, “perdas”, “ameaças”, “vulnerabilidade”, todos eles com conotações negativas, poderia sugerir que o desejável é a ausência de risco. No entanto, a sessão contribuiu para deixar claro que este está longe de ser o cenário perfeito, dado que evitar o risco implica excluir o activo.

Risco relaciona-se com oportunidade, sendo que se deve adoptar uma abordagem orientada ao negócio, procurando uma maximização da oportunidade e uma minimização do risco. É fundamental definir responsabilidades na aplicação do plano de implementação, bem como avaliar e medir ciclicamente o estado das medidas de controlo. Ao longo de todo o processo deve haver comunicação e consulta com todas as partes envolvidas, bem como uma constante monitorização e revisão.

No final das apresentações, seguiu-se um animado debate moderado por José Borbinha. Os participantes, cerca de vinte, tiveram oportunidade de ver esclarecidas diversas questões que foram surgindo sobre a “aplicabilidade” da gestão do risco nas suas organizações, bem como outras de índole mais teórica.

 

Ana Catarina Reis

Sobre o Autor

Cláudia Henriques