Segundo o ITGI (2008), a GovSI deve mapear e implantar uma gestão de risco alinhada com os principais objetivos de negócio. Esta implantação deve endereçar e mitigar os riscos, de acordo com as normas, contratos e exigências de negócios. Além disso, deve ser estabelecida com a intenção de garantir a realização dos processos de negócio e promover a imagem da organização, para maximizar o seu valor para os acionistas e clientes.
Segundo a norma ISO 31000 (2009), todas as atividades e processos de negócio apresentam algum tipo de risco, que devem ser administrados e controlados pela gestão de risco. Conforme demonstra a Figura 6, a gestão de riscos corporativa envolve diversas áreas ou setores da organização.
Figura 6 - Processos envolvidos com o risco corporativo. Fonte: Adaptado de ITGI (2009).
De acordo com a Figura 6, cada uma das áreas ou processos de negócio possui seu próprio risco, que pode impactar o risco corporativo. Entre eles pode ser mencionado: o risco de mercado, o risco estratégico e o risco de mercado. Contudo, o risco da TI também é considerado um risco de negócio, pois os diversos processos dependem dos serviços e sistemas providos pela TI, sendo capaz de auxiliar ou dificultar o alcance de objetivos estratégicos para uma organização.
Por isso, de acordo com o ITGI (2008), a implantação da gestão de risco corporativo é um dos principais objetivos da GovSI. Esta deve estar alinhada às expectativas e metas dos negócios, por meio de medidas e controles capazes de mitigar o risco, e seus potenciais impactos, a um nível aceito pela alta administração.
Para a norma ISO 31000 (2009), uma gestão de risco efetiva é capaz de promover diversas vantagens e benefícios: 1) aumentar as probabilidades de alcançar os objetivos de negócio; 2) implantar uma gestão pró-ativa ante aos possíveis problemas e riscos inerentes aos processos organizacionais; 3) identificar as principais ações e recursos necessários para proteção do risco; 4) melhorar o mapeamento das oportunidades e ameaças envolvidas com o risco; 5) atender a conformidades legais e normas impostas a organização; 6) aprimorar o controle e governança financeira; 7) melhorar a imagem institucional; 8) elevar a confiança dos clientes e acionistas.
Entretanto para prover essas vantagens, a norma ISO 31000 (2009) recomenda que a gestão de riscos envolva diversas atividades, responsáveis por direcionar e controlar os riscos que podem impactar os negócios. Entre estas a norma recomenda o envolvimento e consulta da alta administração, a fim de oferecer uma revisão dos controles e monitorações de forma contínua.
Segundo o ITGI (2006), uma gestão de risco efetiva deve realizar as seguintes atividades e avaliações: 1) mapear as responsabilidades da proteção dos diversos ativos de negócio; 2) estabelecer e reduzir as probabilidades dos impactos nos serviços providos pela TI; 3) realizar um levantamento periódico dos riscos com os gerentes e diretores; 4) permitir acesso a dados sensíveis somente a usuários autorizados; 5) conhecer os principais riscos do vazamento de uma informação crítica para organização; 6) identificar, monitorar e reportar os incidentes de segurança; 7) desenvolver um plano contínuo de testes que seja periodicamente realizado e aprimorado.
De acordo com ITGI (2008), a realização dessas ações pode ser planejada e definida por um conselho ou comitê de riscos, que deve ser composto pela alta administração e por gestores envolvidos em uma operação de análise de risco. Este conselho é responsável por promover uma integração abrangente com as diversas partes envolvidas e implantar uma gestão de risco contínua para mitigar ou aceitar os riscos mais críticos para os negócios.
O ITGI (2008) defende que esta abordagem tem a vantagem de priorizar os esforços e direcionamentos das ações de redução dos principais riscos, por meio de um consenso entre as diversas partes envolvidas. Por isso, uma vez decidida as prioridades do negócio, pode ser realizado uma análise de lacunas (gap analysis) dos riscos existentes com o estado desejado pela estratégia definida pela alta administração.
A fim de auxiliar no levantamento dos riscos existentes (estado atual), o ITGI (2008) sugere a realização de um processo de análise de impacto nos negócios (BIA – Business
Impact Analysis), responsável por mapear e reduzir os impactos a eventos adversos. Além
disso, uma análise e levantamento de impacto devem prover as informações necessárias para o desenvolvimento de um plano ou estratégia para atingir os níveis de risco definidos para o negócio.
Segundo o ITGI (2008), um levantamento abrangente dos riscos deve incluir também uma análise de ameaças e vulnerabilidades. Estas análises devem prover informações úteis para construção de uma estratégia, sendo base para determinar uma abordagem mais adequada para a organização. Após este mapeamento, podem ser utilizadas algumas formas para minimizar os riscos, como elaborar contramedidas para redução das ameaças, aplicar controles para redução das vulnerabilidades mapeadas e estabelecer um monitoramento dos esforços pela mudança de comportamento dos riscos.
Contudo, segundo o ITGI (2008), a gestão de risco não oferece dados suficientes que possam ser monitorados e coletados por sistemas de forma automatizada. Por isso, sua avaliação e acompanhamento devem apresentar resultados e características de sucesso, como
a melhoria da disponibilidade dos processos de negócio, além da implantação de um processo capaz de responder os incidentes de segurança de forma eficiente e eficaz.
Além disso, esta entidade sugere alguns indicadores e mecanismos para avaliação que podem ser auditados e controlados, entre eles destacam-se: 1) nível de tolerância ao risco de acordo com os processos e objetivos de negócio; 2) realização de testes envolvendo o plano de continuidade de negócio (BCP – Business Continuity Plan) e plano de recuperação de desastre (DRP – Disaster Recovery Plan); 3) definição formal da tolerância aos riscos para a organização; 4) existência de uma estratégia e programa para alcançar os resultados definidos; 5) estabelecimento de processos para a gestão e redução dos impactos mapeados; 6) mapeamento periódico dos responsáveis pelos ativos de informação existentes; 7) definição de metas e prazos para recuperação dos sistemas críticos; 8) análise sistemática e periódica dos riscos nos processos de negócio; 9) análise de tendências e sinais de risco identificados pela monitoração e processo de gestão.