Apetite ao risco nos dias de hoje
Este recente artigo publicado no dia 05/02/21 no site Continuity Central (https://www.continuitycentral.com/index.php/news/erm-news/5928-searching-for-risk-in-all-the-wrong-places) descreve, ainda que de forma reduzida, a necessidade da continua evolução das técnicas de identificação e mitigação e, consequentemente, do apetite ao risco, à medida que novos riscos surgem e os controles aplicados aos riscos existentes vão se tornando cada vez menos eficientes, à medida que o tempo passa.
Na prática a teoria é outra (título de autoria de Joelmir Beting)
- O risco não é estático, é fluído.
- O risco “busca” fraquezas a serem exploradas.
- O risco só pode ser mitigado temporariamente e nunca realmente eliminado.
- Com o passar do tempo a mitigação do risco se degrada e perde eficácia conforme o risco é modificado, criando novas situações risco.
Consequentemente o apetite ao risco assim como todo o modelo holístico de gestão de riscos também precisa ser fluído, isto é, revisto sistematicamente.
Últimas notícias da gestão de riscos
Na página com as últimas notícias sobre gestão de riscos (https://www.continuitycentral.com/index.php/news/erm-news) do site Continuity Central temos como principais manchetes:
- Survey looks at IT cyber risk management trends (https://www.continuitycentral.com/index.php/news/erm-news/5942-survey-looks-at-it-cyber-risk-management-trends)
- Data leakage attacks grew by 93 percent in 2020 shows Imperva research (https://www.continuitycentral.com/index.php/news/erm-news/5902-data-leakage-attacks-grew-by-93-percent-in-2020-shows-imperva-research)
- Boards will increasingly establish a dedicated cyber security committee says Gartner (https://www.continuitycentral.com/index.php/news/erm-news/5906-boards-will-increasingly-establish-a-dedicated-cyber-security-committee-says-gartner)
- Businesses increasingly concerned about reputational risk: survey (https://www.continuitycentral.com/index.php/news/erm-news/5876-businesses-increasingly-concerned-about-reputational-risk-survey)
Dos 9 artigos desta página, sendo um deles sobre a gestão fluída de riscos, 3 são relativos à riscos de segurança da informação ou ataques cibernéticos e o último da lista acima, relacionado à riscos de reputação (danos à imagem) também pode estar relacionado à riscos de segurança da informação ou ataques cibernéticos.
O apetite ao risco hoje
A prática do home office, ou teletrabalho se preferirem, e a migração de muitos serviços de TI para o ambiente de “nuvem” contribuiu para o aumento da resiliência das organizações, consequentemente melhorando a relação do apetite ao risco quando comparado com a situação pré quarentena.
Entretanto, para os riscos de segurança da informação ou ataques cibernéticos a prática do home office talvez tenha piorado a exposição a este tipo de risco (veja este outro post https://strohlbrasil.com.br/allah-la-o-nao-e-que-o-ransomware-me-pegou/ ) enquanto a migração de alguns serviços de TI para o ambiente de “nuvem” talvez tenha reduzido um pouco esta exposição.
Nos projetos de Continuidade de Negócios realizados ou em andamento pela STROHL Brasil desde o início da quarentena a nossa visão baseada nas várias reuniões realizadas com a alta direção das organizações, é que há uma percepção executiva de que muitos riscos foram mitigados até mesmo eliminados, por exemplo, a necessidade de um local alternativo de trabalho, ou até mesmo do DR – Disaster Recovery uma vez que o serviço foi migrado para a nuvem.
As várias áreas de riscos
Com frequência encontramos uma área de Riscos Corporativos, em geral nas instituições financeiras como resposta à Resolução 4.557 do BACEN, frouxamente integrada à área de Administração/Segurança Patrimonial com todos os seus riscos de administração e de infraestrutura predial, praticamente apartada da área de riscos de TI com sua lista quase infinita de riscos e sem conexão com a área de Segurança da Informação, com novos riscos quase que diariamente.
Estas áreas atuam de forma não holística, numa visão da respectiva vertical e eventualmente consolidada em muito alto nível fazendo com que muitos riscos desapareçam pelo caminho.
Conclusões
Ignorar ou na noutra ponta do espectro supervalorizar os riscos pode causar graves riscos às organizações.
É mais importante desenvolver a capacidade de responder aos riscos do que ficar tentando prevê-los.
Os riscos devem ser abordados e mitigados de forma holística.
Os modelos tradicionais de classificação de risco baseados numa suposta frequência estatística (baixa, média ou alta) e nos eventuais impactos subjetivos (baixo, médio ou alto) quantificados pelos gestores de negócios estão ultrapassados. A frequência é irrelevante, basta que aconteça uma única vez na sua organização para ocorrerem graves impactos, muitos irreversíveis. E para quantificar impactos nós já sabemos, temos a Análise de Impacto nos Negócios – BIA – bem-feita.
Definir apetite ao risco sem ter realizado uma Análise de Impacto nos Negócios – BIA é o mesmo que definir as chances do gatinho da imagem atravessar toda aquela quantidade de cachorros sem sofrer nenhum dano baseado numa visita a uma vidente em transe.
Alea jacta est, possivelmente você poderá até ser bonificado pela redução nas despesas decorrentes pela não mitigação de vários riscos identificados mas, no dia em que algum deles se materializar e os impactos forem significativos, você sabe qual será a pergunta a ser respondida: “Quem foi que assumiu este apetite ao risco?”.
Quer saber mais sobre como implantar Resposta a Incidentes e Emergências, Gestão de Crise, o Programa de Continuidade de Negócios ou só realizar uma Análise de Impacto nos Negócios – BIA? Por favor, preencha o formulário abaixo e entreremos em contato.
#businesscontinuity #continuidadedenegocios #crisis #resilience #crise #DRP #incidente #$4557BACEN #BACEN4557 #segurancacibernetica #riskmanagement #gestaoderiscos