Abordagem para o Gerenciamento de Risco Corporativo

postado em 9 de set de 2017 09:01 por Antonio Plais   [ 9 de set de 2017 10:06 atualizado‎(s)‎ ]
Originalmente postado por Rob Kroese*, no blog da BiZZdesign - Tradução autorizada

Em uma postagem anterior, Marc Lankhorst discutiu o valor da Arquitetura Corporativa no gerenciamento de risco, segurança e conformidade na empresa. Ele sugere uma série de passos a serem dados em seguida; dois destes passos são discutidos em detalhe nesta postagem:
  • capturar e visualizar os aspectos de risco e segurança da sua organização. Visualize perigos, riscos e medidas de mitigação em relação à arquitetura e estratégia de negócio abrangente. 
  • medir e visualizar o impacto dos riscos e usar estas percepções para a tomada de decisão. Visualisar dados de, por exemplo, testes de penetração, e usá-los no nível do negócio para decidir sobre as medidas necessárias na TI.

Visão Geral da Abordagem de Gerenciamento de Risco Corporativo

Os dois passos acima estão incorporados na abordagem de Gerenciamento de Risco Corporativo, visualizada na Figura 1. Esta abordagem ajuda a entender as consequências das políticas de risco e segurança, porque a definição dos riscos e das medidas de controle em um nível estratégico são detalhadas passo a passo nas medidas de controle operacionais.


Figura 1: Abordagem de Gerenciamento de Risco Corporativo

Esta é uma abordagem cíclica e orientada para modelos, que pode ser iniciada em vários pontos ao longo do ciclo, dependendo de você estar usando uma abordagem de cima-para-baixo ou uma abordagem mais de baixo-para-cima. Cada fase será explicada brevemente abaixo:
  1. Avaliar os riscos: Nesta etapa, os riscos com os quais a empresa deve lidar são identificados e documentados. Isto cobre múltiplos tipos de risco: eles podem ser riscos relacionados com a TI (como os ataques cibernéticos), mas também riscos relacionados com o negócio. Mais ainda, os riscos podem ser baseados em ameaças identificadas (veja o Passo 6)
  2. Especificar as medidas de controle necessárias. Determine quais medidas de controle são necessárias para cada risco identificado. Alguns riscos podem requerer medidas de controle abrangentes (por causa do alto impacto do risco), e outros podem requerer medidas de controle menores. A combinação de riscos e medidas de controle pode ser modelada com elementos da extensão de motivação do ArchiMate (Avaliação, Meta e Requisito), o que torna clara a relação entre estes aspectos. Mais ainda, eles podem ser incorporados nos seus modelos existentes de arquitetura corporativa através da ligação dos riscos e medidas de controle com os elementos centrais do ArchiMate.
  3. Implementar medidas de controle. As medidas de controle requeridas precisam ser implementadas. Este é o passo onde é realizada a passagem do desenho para a implementação. Medidas de controle podem ser implementadas de várias formas: algumas podem ser medidas de controle de TI, como firewalls e mecanismos de autenticação. Outras podem ser medidas de controle focadas no negócio, como o princípio da separação de poderes.
  4. Executar e monitorar. As medidas de controle implementadas precisam ser executadas. Mais ainda, o monitoramento no nível operacional é necessário para obter estatísticas de desempenho e efetividade dos controles implementados. Um exemplo é usar testes de penetração na infraestrutura técnica. Através destes testes você pode descobrir os pontos fracos na sua infraestrutura através de uma abordagem sistemática e automatizada. Os resultados dos testes de penetração são usados para analisar as vulnerabilidades na infraestrutura e definir novas medidas de controle.
  5. Analisar as vulnerabilidades. A partir da execução e monitoramento você obtém as percepções necessárias sobre o desempenho e efetividade dos controles implementados (por exemplo, através de testes de penetração). Neste passo, estes dados são analisados para determinar quais vulnerabilidades existem e quão danosas elas são. É feita uma ligação entre as vulnerabilidades e os riscos identificados o Passo 2, através do uso dos modelos existentes da arquitetura corporativa. Isto proporciona percepções sobre quão bem os riscos estão sendo gerenciados, ou sobre quais medidas de controle novas ou melhoradas são necessárias.
  6. Identificar as ameaças. Neste passo as ameaças do ambiente interno ou externo são identificadas. Ameaças do ambiente interno podem ser baseadas nos resultados das etapas anteriores (analisar vulnerabilidades). A identificação de novas ameaças pode levar a uma avaliação de riscos novos ou mudados no Passo 1.

De cima para baixo ou de baixo para cima

A abordagem descrita acima pode ser aplicada de cima para baixo ou de baixo para cima. Uma abordagem de cima para baixo começa com a identificação das ameaças e a avaliação dos riscos, o que serve como base para o desenho e implementação das medidas de controle. Uma abordagem de baixo para cima tipicamente começa com o passo de execução e monitoramento: investigar a implementação atual por meio de testes de penetração ou outros mecanismos, e usar esta informação para determinar vulnerabilidades no panorama atual.

Qual abordagem é mais adequada para a sua organização depende de vários aspectos. Em geral, organizações com uma abordagem de arquitetura corporativa mais madura podem seguir com mais facilidade uma abordagem de cima para baixo.

Benefícios desta Abordagem

Esta abordagem inclui os seguintes benefícios:
  • análise sistemática das ameaças e vulnerabilidades
  • desenho integrado das medidas de controle
  • modelos de arquitetura corporativa suportam a análise de impacto dos riscos e vulnerabilidades técnicas sobre o negócio
  • traduz decisões de riscos de negócio e segurança em mudanças efetivas na organização. Isto requer uma forte cooperação entre o negócio e a TI
Estes benefícios ajudam a embutir mais a segurança na camada de negócio da sua organização, e ajudam na tomada de decisão mais informada baseada no impacto e nos custos dos riscos operacionais.


* Rob Kroese é consultor nas áreas de arquitetura e melhoria de processos da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.




O GDPR é uma regulamentação da União Européia extremamente rígida sobre proteção da privacidade, e que entrará em vigor em Maio de 2018. A partir desta data, as empresas poderão estar sujeitos a multas de até 4% do seu faturamento anual por falha de conformidade. Isto se aplica a qualquer empresa que faça negócios com a União Européia, ou processe e armazene dados pessoais de residentes da União Européia, estabelecidas em qualquer país, incluindo o Brasil.

Veja neste webinar como você pode ajudar a sua empresa a se preparar para uma nova era na proteção e segurança dos dados pessoais!