.jpg "Quero me preparar")
.jpg "Quero me preparar")
Veja seis passos para iniciar um documento que vai direcionar toda a equipe.
Um plano de gerenciamento de riscos é um documento que descreve como um risco será monitorado e controlado por uma empresa, assim como as estratégias que serão utilizadas e mesmo um cronograma de ações.
E por que toda empresa precisa de um plano de gerenciamento de riscos em TI? Em primeiro lugar, para antecipar ameaças e prevenir ataques. Em segundo, para saber como lidar com situações que estão fora da rotina do negócio, envolvendo uma equipe que vai ajudar na solução de um determinado problema. E em terceiro, mas não menos importante, para diminuir os impactos financeiros e de reputação do negócio.
Dito isso, a necessidade das empresas em ter ao menos uma direção para lidar com riscos é eminente. Por isso, vamos sugerir aqui alguns passos para se criar o próprio plano de gerenciamento de riscos:
Primeiro ponto é ter uma visão geral da rede corporativa. Saber qual usuário está acessando qual arquivo e a partir de qual dispositivo. Por meio desta conduta, é possível barrar acesso a informações estratégicas e monitorar se o usuário está seguindo as políticas de segurança da empresa.
Segundo ponto é saber exatamente quais as fraquezas da rede. Pensando como um hacker, quais seriam as portas mais fáceis de acesso, considerando todos os dispositivos e ferramentas de segurança instalados?
Terceiro, pensar em uma equipe multidisciplinar para lidar com uma provável invasão. Especialistas em TI, em cibersegurança, uma equipe jurídica, equipe de marketing que vai lidar diretamente com os clientes, assessoria de imprensa para responder a jornalistas, caso o sistema pare e afete terceiros, por exemplo. Dentro do contexto de cada negócio, é preciso pensar no público externo ao qual se relaciona e ter um agente que vai centralizar as informações e ser um porta-voz com esse público.
Quarto, ter um cronograma de alertas. Assim que uma pessoa descobre uma invasão, quem deve avisar e a partir de qual canal, para ser o mais ágil possível. No acidente aéreo da Gol de 2006, por exemplo, todos os 350 funcionários treinados para lidar com crises tinham no verso de seus crachás uma lista das primeiras medidas a serem tomadas em caso de acidente. Cada colaborador, dependendo da sua função, tinha diretrizes específicas, pré-determinadas pelo manual de gerenciamento de crise. A agilidade do seguimento dessas normas facilitou que a equipe de gestão de crise estivesse reunida em menos de 30 minutos depois que o controle de voo avisou a companhia que sua aeronave havia desaparecido do radar.
Quinto, avaliar o risco e ter um plano de ação para combatê-lo. Para um determinado incidente, deve existir um plano para minimizar os seus impactos. Traçar estratégias a partir de possibilidades facilita a tomada de decisões em momentos de tensão e nervosismo na equipe.
Sexto, monitoramento permanente e efetivo de toda a rede para diminuir o máximo possível a necessidade de acionar todo esse plano.
Ainda assim, mesmo fazendo um cerco em todas as possibilidades é possível que aconteçam erros. São mãos humanas tomando decisões que muitas vezes não estarão em consenso, existe rotatividade de funcionários e um plano de gerenciamento de crise pode não estar no radar de conhecimento de todos ou mesmo, o plano pode não ter sido atualizado e segui-lo pode acometer uma sequência de erros.
Por isso, o ideal é aprender com os erros e listá-los para serem absorvidos em ocasiões futuras, como um histórico para o gerenciamento de crises de uma empresa. Também, ter a noção de que uma solução encontrada para um risco do passado pode não ser a mesma para uma nova ocorrência.
Por fim, não deixar a gestão de riscos alheia à dinâmica corporativa. Assim como o departamento de TI, todos os outros têm seus pontos fracos e precisam ter planos próprios de gerenciamento de risco. Porém, toda a empresa precisa ter conhecimento sobre este plano, uma vez que ele vai incluir – com certeza! – muitos outros departamentos, somando TI.
Escreva seu comentário