Uma RMF (Risk Management Framework, estrutura de gestão de riscos) é um conjunto de critérios que determina como as empresas devem ser estruturadas e monitoradas para proteger seus ativos.
O risco é uma parte natural dos negócios. Qualquer investimento, novo produto, expansão para um novo mercado ou, até mesmo, uma mudança na estrutura ou nas responsabilidades dos funcionários pode causar interrupções, isso sem mencionar os riscos externos sempre presentes. Por outro lado, adotar uma postura muito firme contra os riscos pode prejudicar o crescimento dos negócios, impedindo que uma empresa atinja seu potencial. Em vez disso, as principais empresas entendem como abordar os perigos estrategicamente, calculando recompensas em relação aos riscos para minimizar o potencial de risco sem também prejudicar suas oportunidades de crescimento.
Para isso, muitas empresas adotam uma abordagem empresarial para proteger processos operacionais na forma de uma estrutura de gestão de riscos.
Uma RMF adota uma abordagem sistemática, ajudando a identificar e reduzir todos os tipos de riscos de negócios. Também vale a pena observar que pode haver versões específicas necessárias de RMF. Um exemplo é a exigência de que as agências do governo federal dos EUA cumpram a versão NIST da RMF.
Embora existam diferentes variações para casos de uso específicos, a maioria das estruturas de gestão de riscos consiste essencialmente nos mesmos cinco componentes:
Antes que uma empresa possa se proteger contra riscos, ela precisa conseguir reconhecer os perigos à medida que eles surgem. O componente de identificação da gestão de riscos ajuda a definir o universo de riscos: um catálogo completo de todos os possíveis riscos conhecidos enfrentados pela organização e seus ativos. É necessário dividir esses riscos em categorias específicas, como risco digital, risco de ESG, risco de fornecedor/terceiro, risco de qualidade, risco de continuidade de negócio, riscos de pessoas, risco de saúde, segurança e meio ambiente, risco de ética e conformidade, risco jurídico/de privacidade, risco financeiro, risco operacional e riscos tecnológicos ou cibernéticos. Com uma ideia clara das possíveis ameaças e incertezas, a empresa precisa categorizar ainda mais os riscos como riscos principais (riscos essenciais que ajudam a impulsionar o crescimento) ou riscos não essenciais (riscos desnecessários que podem e devem ser eliminados sempre que possível).
Entender os riscos em si é apenas uma parte da equação; a gestão de riscos exige que as empresas analisem a si mesmas em termos da probabilidade de um risco específico ou uma categoria de risco específica e do que a organização pode perder caso encontre o risco. Ao calcular esses riscos, as empresas devem se lembrar de considerar o impacto geral deles. Isso as ajudará a priorizar os riscos com base no potencial de danos e na probabilidade de ocorrência para determinar seu limite de risco.
Depois de identificar e priorizar os riscos, a próxima etapa é desenvolver planos eficazes de redução de riscos. Um plano adequado de redução de riscos permitirá que a empresa determine quais riscos essenciais aceitar, quais minimizar ou eliminar e por onde começar. Nesse ponto, é necessário usar um processo eficaz de gestão de problemas ou POA&M para acompanhar e estabelecer uma trilha de auditoria.
Durante todo o processo de RMF, o monitoramento e a geração de relatórios continuam sendo de extrema importância. Dependendo da empresa e do setor, os relatórios de gestão de riscos devem ser automatizados e acessíveis em tempo real por meio de painéis. Esses painéis devem ser acessados não apenas pela equipe de risco qualificada que assume a responsabilidade por ajustar os elementos de exposição a riscos para refletir melhor os perigos atuais, mas também pela linha de frente e pela diretoria. Todos os relatórios específicos do setor devem ser criados para análise e autorização. O monitoramento e os relatórios adequados de riscos também podem desempenhar um papel na manutenção da conformidade com os padrões estabelecidos.
Uma estrutura de gestão de riscos é exatamente isso: uma estrutura para apoiar e estruturar a gestão de riscos nos negócios. Ela não é uma solução completa de gestão de riscos por si só, pois depende de que todos os envolvidos adotem e sigam as práticas estabelecidas na estrutura. Os componentes de governança nas soluções de RMF foram projetados para ajudar os funcionários a entender suas funções e suas responsabilidades, atribuir tarefas e estabelecer a autoridade dos líderes de gestão de riscos.
As estruturas de gestão de riscos existem para ajudar a proteger todos os aspectos da empresa contra possíveis perigos. Isso inclui os riscos apresentados por produtos indesejados ou defeituosos, mercados voláteis, planos de negócios mal executados e etc. Mas, com a proliferação contínua de sistemas digitais, alguns dos riscos mais óbvios enfrentados pelas organizações atualmente são os riscos aos sistemas de TI.
As estruturas de gestão de riscos de TI foram projetadas para ajudar empresas e, até mesmo, instituições governamentais a identificar possíveis riscos de dados, determinar a quais sistemas eles representam uma ameaça e quais opções elas têm para evitar ou corrigir esses riscos. As etapas dos vários padrões de RMF são muito semelhantes. Vamos usar a RMF NIST como exemplo. Ela é uma das mais rigorosas e usadas para autorizar sistemas no governo federal dos EUA. É possível dividi-la em cinco fases essenciais:
Analise e categorize todos os sistemas de TI da organização. Defina os limites do sistema e identifique quais tipos de informações estão associados a ele. Da mesma forma, considere as informações relevantes relacionadas à própria organização, ao ambiente operacional do sistema, às conexões com outros sistemas e ao uso pretendido.
Em seguida, escolha os controles de segurança corretos. Os controles de segurança de uma organização são as proteções operacionais, técnicas e de gestão disponíveis para um sistema de informações organizacionais, projetados para ajudar a proteger a integridade e a disponibilidade do sistema. Naturalmente, os diferentes controles de segurança são mais eficazes para tipos específicos de sistemas e informações. Além disso, escolher os controles certos pode significar a diferença entre uma proteção adequada e a vulnerabilidade do sistema. Após a conclusão da seleção, implemente o controle de segurança escolhido e estabeleça políticas de uso.
Com os controles de segurança em vigor, a próxima etapa é avaliar sua funcionalidade e seus resultados. Os controles estão instalados corretamente e funcionando conforme pretendido? Em caso afirmativo, eles estão atendendo aos requisitos de segurança necessários? Caso contrário, os controles não serão tão eficazes na proteção das operações e dos dados de negócio.
Após a implementação e a verificação dos controles de segurança, é hora de autorizar o controle sobre o sistema e permitir que ele funcione. Implementados corretamente, os fluxos de trabalho automatizados da RMF começarão a funcionar para ajudar a proteger a empresa.
A autorização dos controles de segurança do sistema não é a etapa final da gestão de riscos de TI; o monitoramento contínuo dos controles de segurança ajuda a garantir que a estrutura de gestão de riscos permaneça viável durante toda a sua vida útil. Documente mudanças, realize análises de impacto regularmente e continue relatando o status dos controles de segurança para estabelecer uma eficácia contínua.
Conforme abordado anteriormente, os riscos de negócios estão em todos os lugares. E, à medida que os sistemas de TI vão se expandindo e evoluindo, o cenário moderno de negócios digitais vai se tornando cada vez mais complexo. As estruturas certas de gestão de riscos ajudam as organizações a navegar nesse cenário, apresentando várias vantagens importantes no processo.
Alguns dos principais benefícios das estruturas de gestão de riscos são:
As cadeias de suprimentos modernas estão se tornando cada vez mais complexas, o que cria um risco significativo para as empresas que dependem delas para entrega de produtos, recursos e produtos. As soluções eficazes de RMF possibilitam que as organizações melhorem a qualidade e a usabilidade dos fluxos de dados relevantes às cadeia de suprimentos, como relatórios meteorológicos, tendências de mídias sociais, agências de notícias mundiais e muito mais. Como resultado, elas são mais capazes de obter informações precisas sobre os fatores que podem estar afetando as cadeias de suprimentos essenciais.
Uma empresa é tão segura quanto seus ativos. As estruturas de gestão de riscos ajudam a proteger esses ativos, identificando informações relevantes, entendendo e priorizando riscos e capacitando as organizações a responder rapidamente para reduzir e resolver riscos emergentes. A estrutura certa oferece um conjunto de padrões e um plano de ação para garantir que os ativos mais vitais da empresa permaneçam seguros.
As estruturas de gestão de riscos também determinam como é possível proteger a propriedade intelectual contra roubo e uso indevido. Com o respaldo de dados relevantes e padrões claros, as empresas podem operar com a tranquilidade de saber que sua propriedade intelectual está mais bem protegida e que a probabilidade de roubo é minimizada.
Ter critérios claros de segurança e padrões operacionais disponíveis e em vigor em todos os níveis de uma empresa mantém os processos de segurança consistentes. Isso melhora a redução de riscos e diminui o perigo de exposição de dados. Por sua vez, isso também ajuda a proteger a empresa contra erros dispendiosos que podem afetar negativamente a percepção pública e gerar danos à reputação.
Em mercados agressivos, entender os concorrentes pode ser tão importante quanto entender a si mesmo. As estruturas de gestão de riscos incorporam fontes de informações externas diferentes, como mídias sociais, blogs, notícias etc. para que as organizações possam acompanhar de perto sua concorrência e reagir rapidamente quando necessário.
Antes que uma empresa possa aproveitar as vantagens listadas acima, primeiramente, ela deve selecionar a estrutura de gestão de riscos que melhor atenda às suas necessidades. Há muitas soluções de RMF disponíveis no momento, mas algumas se destacam como opções melhores e mais equilibradas que outras.
Neste artigo, nós detalhamos brevemente quatro estruturas de gestão de riscos de nível superior:
FISMA (Federal Information Security Modernization Act) é uma legislação dos Estados Unidos promulgada para estabelecer diretrizes e padrões de segurança legalmente respaldados para sistemas e instituições governamentais. Dito isso, a abordagem FISMA foi adotada por entidades não governamentais de diversos setores e várias localizações geográficas. Essa abordagem consiste em diversas etapas para selecionar, implementar e monitorar controles de segurança eficazes.
Adotando uma abordagem mais genérica de gestão de riscos, a ISO 31000 foi projetada para ser uma maneira eficaz de gerenciar o impacto de diversos riscos de negócios e é relevante para organizações de praticamente qualquer setor. A abordagem ISO 31000 ajuda a desenvolver uma filosofia e uma cultura de risco eficazes em toda a empresa, além de criar diferentes processos organizacionais, funções e responsabilidades como parte do processo de gestão de riscos.
Não tão flexível quanto a FISMA ou a ISO 31000, a COSO Enterprise Risk Management Framework consiste em quatro categorias (estratégia, operações, conformidade e relatórios), o que a torna ineficaz para implementação em toda a organização. Contudo, a COSO é uma abordagem confiável para estabelecer uma cultura concentrada em riscos.
A estrutura do NIST (National Institute of Standards and Technology, Instituto Nacional de Padrões e Tecnologia) integra segurança, privacidade e gestão de riscos cibernéticos da cadeia de suprimentos ao desenvolvimento de sistemas e pode ser aplicada a sistemas novos ou legados em qualquer tipo de organização, de qualquer porte, em qualquer setor.
Nos negócios, sempre deve haver algum risco para manter a competitividade. No entanto, com as soluções, as estratégias e os recursos certos de gestão de riscos, as organizações podem gerenciar efetivamente esse risco, ao mesmo tempo em que ajudam a garantir a resiliência e a continuidade diante de um futuro incerto. A ServiceNow, líder em gestão de TI e automação de fluxos de trabalho, está na vanguarda desse movimento.
A ServiceNow faz o mundo funcionar melhor para todos. A ServiceNow permite que empresas de todos os portes incorporem perfeitamente a gestão de riscos, as atividades de conformidade e a automação inteligente aos seus processos de negócios digitais para monitorar e priorizar os riscos de maneira contínua. As soluções de risco da ServiceNow ajudam a transformar processos ineficientes e silos de dados de toda a sua empresa em um programa de risco útil, automatizado e integrado. É possível aprimorar a tomada de decisões com base em risco e aumentar o desempenho de sua organização e com os fornecedores para gerenciar o risco da sua empresa em tempo real. E tomar decisões conscientes sobre os riscos em seu trabalho diário, sem sacrificar os orçamentos.
A ServiceNow permite que empresas de todos os portes incorporem perfeitamente a gestão de riscos e a conformidade às experiências digitais e aos fluxos de trabalho. Assim, as pessoas e as organizações trabalham melhor. Integrada à premiada ServiceNow AI Platform, a gestão de riscos oferece visibilidade e controle completos. Identifique e gerencie riscos e informações essenciais, monitore áreas de alto risco, diagnostique controles não compatíveis e crie e programe autoavaliações de risco vitais, tudo a partir de um só local centralizado. E, com relatórios e análises avançados, bibliotecas de orientação e taxonomia integradas e soluções de automação avançadas, as organizações têm tudo de que precisam para avaliar e se preparar para os riscos, sem sacrificar os orçamentos.
Com a gestão de riscos da ServiceNow, veja até onde a preparação certa pode levar você.