S.Labs

Gestão Integrada de Risco

A Gestão Integrada de Risco (GIR) é constituída por pessoas, processos tecnológicos e não tecnológicos e respetivos controlos de gestão de risco utilizados numa organização.

Por Jorge Miranda, Executive Manager da CSO . 12/12/2023

Gestão Integrada de Risco

O objetivo é aumentar a visibilidade e facilitar o processo de decisão face ao risco garantindo que a organização gere o mesmo proativamente e não reativamente. Esta postura revela-se fundamental para o sucesso do negócio, evitando crises económicas e financeiras.

A crescente complexidade, âmbito, processo de decisão e inexistência de GIR em ambiente de desmesurado crescimento e o aumento em número e complexidade dos processos de negócio na organização gera grandes dificuldades e ineficiências abrindo assim a necessidade de abordar este tema de forma coordenada e organizada.

O esforço de mitigação do risco de forma não integrada revela-se na maioria dos casos infrutífera e frustrante. A abordagem GIR revela-se eficiente no controlo, visibilidade e monitorização do risco.

De forma a começar a implementação de um sistema GIR devemos elencar e descrever, como coordenar as decisões para mitigação do risco, qual o valor acrescentado para a organização ao implementar um sistema de GIR, quais são as potenciais perdas se o risco não for gerido, como pode um sistema GIR mitigar risco minimizando perdas e maximizando proveitos.

Existem muitos benefícios diretos numa abordagem GIR e que passam por capacidade de mitigar risco associado a incidentes/acidentes com dados, agiliza a utilização de metodologias que permitem definir, implementar, avaliar a qualidade dos dados, prover a organização de ferramentas de recuperação de acidentes/incidentes e simultaneamente manter os níveis mínimos de operação, eficácia na identificação e mitigação do risco alinhado com a estratégia empresarial, permite a gestão centralizada do risco oferecendo uma clara visão sobre a sua envolvência, toma em linha de conta os eventos externos à organização contribuindo assim para uma avaliação mais realista do risco, as áreas de atuação estão perfeitamente descritas tendo como base identificação, análise, avaliação, controlo, informação, comunicação e monitorização, fácil visibilidade das oportunidades de melhoria, risco bem caracterizado e processo de decisão eficaz em relação à disponibilidade de recursos.

As organizações passam por grandes desafios na implementação de um GIR e que passam por uma vertente empresarial e outra técnica das quais se destacam na primeira vertente a necessidade de patrocínio da administração, avaliação correta dos custos de operação, responsáveis dos dados, normas regulações e legislação já na segunda vertente destaco a identificação, qualidade e consistência dos repositórios de dados, a solução de GIR deve ser confiável escalável e flexível, o risco interno e externo dos dados envolvidos que muitas vezes estão inconsistentes e/ou sem interesse.

Um sistema GIR eficaz deve ser planeado tendo em consideração uma abordagem sistemática tipo “silo” que permite eficazmente integrar e coordenar o risco inerente aos processos de negócio da organização indo assim de encontro às expetativas e desempenho pretendido. As principais linhas orientadoras que se devem ter em consideração são o mapeamento, inter-relações de risco entre processos, desenho dos processos de negócio, criação da matriz de risco efetiva sem redundâncias. Os riscos devem ser racionalizados e priorizados e aceites por todos os intervenientes no GIR, riscos avaliados com grandes “scores” devem ser relacionados a processos de melhoria continua requerendo sempre avaliação e adequação tecnológica. O alinhamento com novos “standarts” e respetivas revisões devem ser adaptadas ao GIR e preferencialmente nestes processos de revisão substituir controlos manuais por automatizados.

A implementação de uma solução tecnológica de GIR deve ser analisada tendo em consideração as necessidades de cada organização, no entanto o processo de decisão deve ter em linha de conta a pré-existência ou não de um sistema, experiência de utilização, suporte técnico, manuais/ tutoriais. As funcionalidades disponibilizadas são muito importantes e das quais devem constar avaliação do risco/mitigação, base de dados de conformidade, análise/relatórios, facilidade de integração.

 

Conteúdo co-produzido pela MediaNext e pela CSO


REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.