Gestão de riscos em TI
De Wikipedia, a enciclopédia encyclopedia
A Gestão de riscos em TI (em inglês, IT Risk Management) diz respeito ao conjunto de métodos/processos adotados para alcançar um equilíbrio entre os riscos e custos de operações. Os processos e rotinas organizacionais estão se tornando cada vez mais dependentes dos recursos e ferramentas tecnológicas, e juntamente com essas novas tecnologias são introduzidos os riscos que elas podem acarretar à organização. De acordo com Ashwin Pal, diretor de cibersegurança na Unisys, a segurança e o gerenciamento de riscos em Ti devem fazer parte do próprio "tecido" de qualquer organização, independentemente do seu tamanho[1].
Uma gestão de riscos bem efetivada possibilita tomadas de decisões mais assertivas, as quais trazem resultados financeiros melhores e uma melhoria no relacionamento com o cliente.[2]. As atividades operacionais da empresam também são beneficiadas, pois ficam menos sujeitas a interrupções e paradas devido a ataques ou erros no sistema.[3]
A melhor forma de se calcular um risco atualmente é baseada no TIK Framework, sendo obtido através da fórmula:
Risco = ((Vulnerabilidade * Ameaça) / Contramedida) * Valor do ativo em risco[1]
Em outras palavras, um risco(no geral) é calculado levando-se em consideração a vulnerabilidade da empresa, a ameaça que o risco proporciona à organização, a eficiência da contramedida usada para anular esse risco e o valor que está jogo por causa desse risco.