TI – Profissão de “RISCOS”

Este artigo procura fazer uma reflexão se nós, profissionais de TI estamos realmente preparados para lidar com o imprevisto. Será que não pecamos por excesso de confiança? Temos um plano de ação para não sermos surpreendidos? Utopicamente devemos focar na pro atividade visando sempre à prevenção e nunca esperar para ver o que acontece.

Depois de acompanhar meu gestor em inúmeras reuniões com a diretoria da empresa para tratarmos de riscos, obtive a visão da extrema importância que devemos dedicar ao assunto. Resolvi então compartilhar o conhecimento que venho adquirindo.

Risco nada mais é que o resultado de uma combinação entre a probabilidade da ocorrência de um evento, aleatório, futuro e que na maioria das vezes independe da nossa vontade e possui relevante impacto caso ocorra.  O simples fato de uma atividade existir, já traz com ela a possibilidade da ocorrência de eventos ou combinação deles, cujas consequências constituem oportunidades de ameaças.

Lembrando que a ocorrência é indesejável, mas se expor a ela não! Um claro exemplo é em uma aposta que terá um vencedor e um perdedor, estar exposto a ambos os resultados pode ser desejável, pois há uma probabilidade de ser o vencedor, em contra partida ser o perdedor é indesejável.

Hoje, um dos maiores desafios vividos pelas equipes de TI nas organizações é o fato de conviverem com uma quantidade imensurável de riscos que ameaçam a sua infraestrutura. Na maioria das vezes não estamos preparados e consequentemente não sabemos por onde começar.

Antes de qualquer coisa é preciso entender pequenos conceitos relacionados a riscos, como: 

Evitar – É o mesmo que levar a probabilidade de ocorrência desse risco à zero.

Aceitar – Significa não planejar ações de respostas. Há algumas situações que deveríamos aceitar os riscos: Quando a exposição é baixa; Quando o custo é alto ou quando não temos poder de resposta em relação ao risco.

Mitigar – Implica diminuir a exposição, por meio da redução do impacto previsto.

Transferir – É quando passamos o impacto para terceiros, que ficam responsáveis e os assumem.

Compartilhar – Redução do impacto pelo  compartilhamento de uma porção do risco com terceiros.

Iniciando seu projeto de gerenciamento de riscos

• Podemos começar com um levantamento de tudo aquilo que seja crítico para organização e pode vir a ser afetado por alguma falha, seja ela qual for. Levante também quais são as ameaças que podem afetar ou causar um determinado impacto sobre os elementos relacionados. Esse procedimento deve ser visto, revisto, mensurado e a cada item deve ser dado seu devido valor.

• Importante também é ter em mão os controles existentes que poderiam prevenir ou minimizar a ocorrência das ameaças.  Nesse passo defina as fragilidades que possam existir nos controles relacionados, de forma a obter uma avaliação da sua efetividade e qual a probabilidade da ameaça vir a se realizar devido à falha do controle.

• Defina os riscos reais, consolide as informações, de forma que seja calculada a probabilidade de um determinado evento ocorrer. Busque as ameaças concretas que sejam partes da realidade da organização, como por exemplo: Ausência de alta disponibilidade dos serviços para os usuários ou então a não existência de um plano de ação para falta de energia elétrica, etc.

• Tenha tudo muito bem documentado, seja claro e objetivo, de forma que seja fácil o entendimento, para aqueles que não sejam da área técnica, como a diretoria por exemplo. O essencial é que seja bem feito. Uma boa documentação deve falar sozinha. Se for bem feita, não precisa ser explicada.

Temos que ter consciência que a gestão de riscos deve ser um processo contínuo e em constante desenvolvimento aplicado à estratégia da organização e à implementação da mesma. Devemos analisar metodicamente todos os riscos inerentes às atividades passadas, presentes e, em especial, futuras. Deve ser integrada na cultura da organização com uma política eficaz e um programa conduzido pela direção, traduzindo a estratégia em objetivos tácticos e operacionais, atribuindo responsabilidades por toda a organização. Esta prática sustenta a responsabilização, a avaliação do desempenho e respectiva recompensa, promovendo desta forma a eficiência operacional em todos os níveis da organização.