O desafio de, em 2021, traduzir os riscos de TI para o C-Level da empresa
Luis Arís*
Em 2021, o C-Level das empresas brasileiras irá estudar o gerenciamento de riscos e, em especial, de riscos de TI, de uma forma nunca vista antes. A digitalização que a economia brasileira viveu em 2020 e continuará experimentando em 2021 faz com que esse novo olhar sobre a gestão de riscos seja urgente. Com a digitalização, aumenta exponencialmente o volume de transações, acessos, interações.
No caso de empresas com massivas ofertas B2C, em especial, as operações digitais estão claramente à frente de transações tradicionais, com a presença física do cliente na loja ou agência bancária. Pesquisa realizada pela FEBRABAN (Federação Brasileira de Bancos) no segundo semestre de 2020 mostra que 64% dos clientes diminuiram os saques em dinheiro, passando a realizar operações financeiras principalmente por meios digitais. No segmento de varejo, as transações online realizadas no primeiro semestre de 2020 cresceram 47% em relação a 2019 (pesquisa da Ebit/Nielsen). Com isso, riscos que antes ficariam circunscritos a um universo limitado e com potenciais prejuízos igualmente restritos tornam-se, agora, fatores extremamente críticos para os negócios.
Estamos falando de riscos como interrupções nos serviços digitais, roubo de senhas e incidentes de cyber segurança. Para enfrentar esse quadro, é fundamental contar com uma estratégia de gerenciamento de riscos que não apenas preveja, mas também mitigue, potenciais problemas que poderiam causar interrupções nos processos de negócios.
Depois que a LGPD foi implementada, um dos maiores riscos é, por falhas no tratamento de dados de clientes, colaboradores e funcionários, a empresa incorrer em multas que podem chegar a 2% do seu faturamento.
Em 2021, será essencial traduzir para o C-Level fatores técnicos, comunicando com clareza o potencial impacto do risco sobre as operações da empresa. Na nova era em que o C-Level anseia por compreender o que está acontecendo nos ambientes digitais da empresa, de forma a conseguir comunicar informações essenciais para investidores e conselheiros, é importante que, além de tratar o risco, o gestor de riscos ganhe skills que integrem seu trabalho de forma harmoniosa com setores e executivos que, antes, viviam apartados dessa área.
Para se chegar a esse resultado, é necessário seguir etapas muito claras:
Passo 1: Elencar e classificar os riscos segundo o custo para os negócios
O primeiro passo é identificar os principais riscos. Listas de riscos padrão estão disponíveis e uma das mais completas faz parte da estrutura de governança de TI CobiT. A base de dados CobiT é muito respeitada em todas as verticais de negócios. Ela cobre tópicos que vão além dos que um departamento de TI poderia desejar incluir. Todo projeto, qualquer que seja a área da empresa, envolve uma gama de riscos, incluindo a possibilidade de a tarefa nunca ser completada, ser completada com defeitos ou ultrapassar o orçamento e o cronograma.
Embora desenvolver uma lista de riscos abrangente possa ser muito fácil, classificá-los segundo o potencial custo e importância para o negócio é mais difícil. Mas é disso que se trata a comunicação com o C-Level: passa a ser trabalho do gestor de risco, com ajuda de seus pares de outras áreas, quantificar os custos que o risco impõem ao negócio. Essa informação pode variar muito entre verticais e entre organizações. Por exemplo, operadores financeiros não podem tolerar mínimos atrasos na transmissão de transações, mas um fabricante poderá ser tolerante quanto a atrasos no processamento de pedidos. A empresa de e-commerce, por outro lado, sabe que falhas em sua infraestrutura crítica podem impactar a UX do consumidor, causando perdas reais de faturamento.
Estimar o custo total para o negócio de cada risco pode ser difícil. Os gestores de risco precisarão trabalhar em grupos multidisciplinares que incluem executivos de negócios . Outra fonte de informações para o gestor de risco de TI é buscar orientação junto às associações de sua indústria ou outras organizações atuando no mesmo mercado vertical. Embora a estimativa do impacto do risco não tenha de ser precisa, é importante montar um quadro que faça sentido para os gestores de negócios. Essa informação será a base para determinar quanto deve ser investido na mitigação do risco.
Passo 2: Mitigação de preços
Esta não precisa ser exata e não deve envolver a elaboração de propostas detalhadas. Estimativas baseadas em pesquisa na Internet e experiência anterior são suficientemente boas. Os planejadores devem ter em mente que os custos incluirão disponibilidade de pessoal e tempo, bem como o dinheiro gasto. Alguns casos são simples, como quando a mitigação envolve a compra e instalação de uma solução de hardware ou software. Em outros, e particularmente no caso de recuperação de desastres (DR), vale a pena empregar múltiplas estratégias com grande variação de custos e eficácia.
A determinação de qual abordagem de DR é a melhor para qualquer organização depende da tolerância a longos períodos de paralisação, a disponibilidade de recursos para solução de problemas e a capacidade de sobreviver a um desastre de grandes proporções.
Uma empresa de pequeno porte incapaz de sobreviver a um desastre estaria desperdiçando dinheiro, por exemplo, em uma solução de recuperação de dados de local remoto.
Outras soluções criativas, como usar um provedor de SaaS ou empresas de terceirização de recuperação de desastres são opções importantes a considerar. Trata-se de uma oferta OPEX que elimina a necessidade de imobilizar investimentos na mitigação do risco. Vale destacar, também, que em alguns casos os planejadores podem chegar à conclusão de que o custo de mitigação de alguns riscos é maior do que a perda potencial estimada. Neste caso, não investir na mitigação pode ser uma boa opção.
Passo 3: Planejamento para vários anos
A mitigação de riscos de TI é um ciclo permanente, em grande parte porque os recursos disponíveis sempre estão aquém das necessidades, fazendo com que um planejamento para vários anos seja uma necessidade. Os riscos mudam ao longo do tempo; assim, novas abordagens precisam ser consideradas constantemente.
O risco de vírus, por exemplo, é uma constante. Os vírus evoluem com frequência, mas, ainda que uma organização possa ser veterana em lidar com riscos de vírus, existe a necessidade de constante vigilância. Novos riscos, como redes wireless e war walkers, podem aparecer a qualquer momento; atividades de negócios, como expansão para novos mercados e ramos de atividade ou aquisições alterarão a postura básica frente aos riscos.
Negócios digitais exigem uma nova abordagem ao risco
A pandemia levou muitas organizações a depender totalmente da sua infraestrutura de TI para suportar os negócios. Mas ainda é comum que as decisões sobre gerenciamento de riscos de TI sejam tomadas com base em custos relativos, disponibilidade de habilidades especificas ou políticas internas.
É hora de mudar essa abordagem. O gerenciamento de riscos de TI que realmente faz diferença tem de ser preciso tecnicamente e, ao mesmo tempo, estar alinhado, de forma dinâmica, com as metas de negócios do C-Level da empresa.
* Luis Arís é Gerente de Desenvolvimento de Negócios da Paessler América Latina.
Informações para a imprensa
GAD Comunicação
T: 11 3846-9981
Tatiana Fonseca
Everton Santos
gad@gadcom.com.br
Paessler AG
Nadia Bravo
Regional Marketing & PR Manager
T: +49 911 93775-0
F: +49 911 93775-409