João Rufino de Sales
MEMBRO DO INFOSEC COUNCILCoronel do Exército Brasileiro. Mestre em aplicações militares, especialista em segurança da informação, armamento e guerra eletrônica, atualmente exerce a função de chefe da assessoria especial de tecnologia da informação do Departamento de Engenharia e Construção do Exército Brasileiro. Foi membro do Comitê Gestor da Segurança da Informação, do Comitê Gestor de Chaves Públicas Brasileira, chefe da Seção de Internet do Centro de Comunicação Social do Exército Brasileiro, onde foi responsável pela implantação do Provedor de Internet do Exército. Foi chefe do Grupo de Assessoramento Técnico do Gabinete de Segurança Institucional da Presidência da República e chefe do 3º Centro de Telemática de Área – São Paulo. É membro da Sociedade Brasileira de Engenharia de Rádio e TV e membro fundador do InfoSec Council. 
Planejamento Estratégico da Segurança da Informação
Capítulo 3 - Gestão de Riscos *
João Rufino de Sales
Rir é correr o risco de parecer um tolo.
Chorar é correr o risco de parecer sentimental.
Abrir-se para alguém é arriscar envolvimento.
Expor os sentimentos é arriscar a expor-se a si mesmo.
Expor suas idéias e sonhos é arriscar-se a perdê-los.
Amar é correr o risco de não ser amado.
Viver é correr o risco de morrer.
Ter esperanças é correr o risco de se decepcionar.
Tentar é correr o risco de falhar.
(Autor desconhecido)
A nossa vida é assim: uma seqüência infindável de escolhas entre uma situação ou outra. O risco é inerente às sociedades humanas. A nossa condição de seres inteligentes faz de nossas opções uma constante escolha se devemos ou não aceitar o próximo passo. Dentro deste aspecto é que a gerência de riscos em segurança assume decisivo papel na elaboração do Planejamento Estratégico de Segurança da Informação (PESI).
Mais do que arriscar para ter sucesso em um bom planejamento, é necessário ter apetite pelo risco, quantificar corretamente e escolher os tipos de riscos que uma organização está preparada para correr ou perseguir. É o risco aceitável que nos faz diferentes e competitivos na sociedade moderna. O risco deve ser retido de forma consciente e alinhado aos nossos objetivos. Devemos sempre, a cada passo, estar preparados para escolher qual o risco que desejamos aceitar para atingir nossos objetivos.
A gestão de riscos, portanto, é um processo sistemático para identificar, analisar, avaliar e tratar os riscos e permite melhorar o desempenho da organização por meio da identificação de oportunidades de ganhos e de redução de probabilidades ou impactos de perdas, indo além de demandas regulatórias. O processo de avaliação de riscos (risk assessment), na verdade, não é um processo único e, sim, uma composição de três outros processos: identificação de riscos, análise de riscos e avaliação de riscos. O objetivo final do processo é sempre que o risco seja reduzido ao nível aceitável, o que significa que o custo do tratamento não deve ultrapassar o custo proporcionado pelo risco.
Os hackers e crackers estão mais atuantes a cada dia. As mazelas do mundo real estão cada vez mais presentes no virtual, em um cenário complexo de redes interconectadas. Pesquisa realizada pela AON com 320 executivos de diversos segmentos, em 29 países, revelou que o risco mais temido pelas grandes corporações é o “dano à reputação da organização” seguido de perto pela interrupção dos negócios e pela responsabilidade civil. Podemos verificar, então, que todos os maiores temores estão diretamente ligados à informação, à sua integridade e disponibilização adequada. Confiança e credibilidade constituem a base de nossa sociedade e podem ser amplamente prejudicadas pela informação.
Como fazer para implantar uma adequada gestão dos riscos? Em minha opinião e de muitos autores, a melhor maneira é escolher o framework de trabalho mais adequado e obter da alta administração o comprometimento. Normas e diretrizes não faltam. Experimente digitar as palavras “normas”, “gestão” e “riscos” no Bing: milhares de links lhe indicarão bons caminhos. Selecione aqueles que lhe pareçam mais adequados, busque especialistas, implemente soluções automatizadas de análise de riscos para auxiliar a tomada de decisões.
Finalmente, tenha sempre em mente que não existe como eliminar 100% dos riscos. Fazer gestão de riscos é descobrir qual nível de risco é aceitável para o seu negócio ou até mesmo para sua vida. Depender de oráculos é algo do passado, onde tudo parecia ser determinado pelo destino e um ser superior decidiria por nós. Para crescer e para, acima de tudo, sermos mais competitivos, é necessário e urgente ousar. E ousar em italiano é riscare, ou seja, o poema de autor desconhecido (pelo menos por mim) continua como uma grande verdade “tentar é correr o risco de falhar”; porém, se não tentarmos, nunca saberemos a conseqüência de nossa decisão, e conseqüência é mistério e mistério, acima de tudo, é vida.
* - Este artigo é parte do documento Planejamento Estratégico da Segurança da Informação, publicado pelo Infosec, e sua integra pode ser lida em Publicações.
