quinta-feira, 29 de setembro de 2011

Gestão de Riscos de TI segundo a NBR 27005 - Parte 1

É incrível como os especialistas gostam de complicar aquilo que é simples. Será medo de compartilhar o seu conhecimento e perder o emprego? Ou será que na verdade eles não entendem plenamente o assunto? Quem sabe apenas falta de didática? Seja qual for o motivo, o mundo está precisando de pessoas com a capacidade de simplificar as coisas, não de complicar. E isso vale também para a interpretação de normas e melhores práticas. A NBR 27005 é um bom exemplo disso!

Falar da NBR 27005 é falar de processo. Isso porque a 27005 oferece um modelo para o processo de gestão de riscos de TI. Mas o que é um processo? O conceito de processo é a coisa mais simples do mundo. Trata-se de uma sequência de ações dependentes entre si que devem ser executadas para alcançar um objetivo. No caso da gestão de riscos, o objetivo é reduzir o risco da organização. Cada ação faz uma parte do trabalho e entrega a sua parte para a ação seguinte (Figura 1). Assim, podemos dizer que uma ação recebe entradas, ou insumos, e transforma essas entradas por meio de algum trabalho gerando as saídas (Figura 2). Essas saídas, por sua vez, serão entradas na ação seguinte e assim por diante até que o objetivo final seja alcançado. Vale ressaltar que algumas ações podem ser executadas em paralelo e outras não. Além disso, os processos em geral não são estanques. Isso significa que para alcançar um dado objetivo, pode ser necessário repetir o processo diversas vezes. Quando isso ocorre, dizemos que o processo é cíclico. Processos cíclicos são muito comuns quando se busca o que chamamos de melhoria contínua. 


Figura 1
Figura 2
Esse é justamente o caso do processo de gestão de riscos. Trata-se de um processo cíclico cujo objetivo é reduzir gradativamente o risco da organização e, por meio de sucessivas repetições na execução das ações, também manter esse risco dentro dos limites aceitáveis. Quem vai definir esses limites? Depende. No caso de instituições financeiras, por exemplo, esses limites são definidos por lei. No caso da iniciativa privada, esses limites variam conforme os objetivos definidos pela administração da empresa, as expectativas dos clientes e a concorrência. 

É preciso dizer também que existem diversos modelos de processo para gestão de riscos. A NBR 27005 é apenas um desses modelos. Mas como o próprio nome indica, é apenas um modelo, não uma verdade absoluta. Esse modelo pode e precisa ser adaptado à realidade da sua organização. Falando claramente, é pouco provável que você seja bem sucedido se tentar seguir à risca tudo que é recomendado pela norma. 

Considerando o acima, podemos agora entrar no processo de gestão de riscos propriamente dito. Porém, para entendermos claramente o que está envolvido, vamos falar mais sobre gestão e depois sobre risco. Precisamos ter esses conceitos bem claros na nossa mente, pois deles depende todo o processo (continua em um artigo futuro).

Nenhum comentário: