Guia de Gestão de Riscos de Sistemas de Tecnologia da Informação

As empresas de hoje enfrentam muitos riscos, incluindo desastres naturais, catástrofes provocadas pelo homem intencionais e não intencionais, e falhas nos sistemas catastróficas. Qualquer um desses desastres podem afetar seriamente os sistemas de tecnologia da informação (TI) de uma organização. A gestão de riscos é o processo de gestão e adequadamente responder a esses riscos com o objetivo de manter as operações de negócios durante um evento que ameaça a vida de uma empresa. Um bom programa de gestão de risco pode determinar a verdadeira exposição a sistemas de tecnologia da informação de uma empresa a um determinado conjunto de riscos e contribuir para o desenvolvimento de estratégias para lidar com os riscos.

A gestão de riscos é parte de um processo de nível superior chamado de planejamento de continuidade de negócios, que engloba uma série de atividades que todos têm os mesmos objetivos: proteger a capacidade da organização para continuar suas funções de negócios e para minimizar o impacto de um evento perturbador. A maioria das empresas de qualquer tamanho dependem fortemente de seus sistemas de TI, e esses sistemas devem estar funcionando para continuar as operações de negócios. O processo de gestão de risco engloba necessariamente e grande parte do esforço de gestão de risco vai ser gasto o desenvolvimento de estratégias para proteger e recuperar sistemas de informação e tecnologia.

A análise de risco é uma parte vital de um programa de gestão de risco. A organização deve identificar, avaliar e atribuir um valor para a ocorrência de um evento. Trata-se de determinar a probabilidade real de um evento, em seguida, determinar o impacto para o negócio e atribuir um valor em dólares a esse impacto. Isso ajuda a determinar uma estratégia para abordar o risco. Por exemplo, uma tempestade pode desactivar um centro de dados durante um período prolongado de tempo, dependendo da quantidade de danos. Se os sistemas de informação são para baixo, vendas, atendimento ao cliente, comunicação e qualquer número de funções de negócios são impactados negativamente. Isso se traduz em dólares perdidos para a empresa.

Há muitos riscos que enfrentam qualquer grupo de tecnologia da informação e análise de risco adequada procura trazer à tona todos eles. De catástrofes naturais para as catástrofes provocadas pelo homem para falhas de hardware e software catastróficos, todos os riscos potenciais devem ser documentadas e analisadas para determinar a probabilidade real de uma ocorrência.

Uma vez que os riscos são identificados, analisados ​​e avaliados, a organização deve abordar o risco de alguma forma. Há três respostas básicas a um risco identificado: eliminar a mitigar riscos (ou ação) a riscos ou aceitar o risco. A decisão é fortemente influenciado pelo custo da estratégia contra o impacto do dólar se o risco de se materializar em um evento.

Se o risco é alto eo impacto é alto, o negócio pode decidir investir pesadamente em eliminar ou mitigar o risco. Se o risco é baixo e o impacto é baixo, o negócio pode decidir aceitar o risco. Por exemplo, se há um alto risco de tornados devido à localização geográfica de um negócio, há uma ameaça reconhecida ao centro de dados que abriga os sistemas de tecnologia da informação. O risco é alta e o impacto pode ser muito caro. Neste caso, a empresa pode decidir fazer várias coisas: implementar uma boa estratégia de backup com dados de backup movida off-site-se inscrever em um site-de recuperação alternativo e tirar uma apólice de seguro de interrupção de negócios. estratégias de sistemas de tecnologia da informação normalmente dependem fortemente da capacidade de restaurar dados de backups, por isso é vital que a estratégia de backup e restaurar ser testado várias vezes por ano.

Uma organização pode mitigar ou reduzir o risco de seus sistemas de informação de várias maneiras. Um deles é para implementar controles que reduzem o risco. Por exemplo, se um risco identificado envolve a segurança física de uma sala de servidores, a empresa pode optar por instalar o acesso ao cartão ou até mesmo portas de acesso biométricos. Esta acção iria reduzir muito o risco de uma intrusão física.

Cyber ​​ataque é outro risco comum. Se uma empresa está conectado à Internet, ele está sujeito a ataques cibernéticos. A empresa pode optar por reduzir este risco através da instalação de um firewall na ligação à Internet para manter os intrusos fora. Estas opções de mitigação são geralmente implementadas como controles.

controles de risco para tecnologia da informação incluem suporte controles, preventivas e de recuperação. controles de apoio incluem sistemas de hardware e software, sistemas de identificação de usuário, criptografia e ferramentas de administração de segurança. controles preventivos incluem segurança física, sistemas de proteção de intrusão, autenticação e sistemas de autorização e sistemas de controle de acesso. controles de recuperação estão em andamento para atender um evento que está em andamento, ou já ocorreu. Essas ferramentas incluem auditorias, sistemas de detecção de intrusão, sistemas de registro e de backup e restauração do sistema.

Além desses controles técnicos, uma empresa pode implementar controles de gestão, incluindo a separação de funções, formação, exercícios de recuperação de desastres e auditorias de TI periódica. Todos esses controles são fundamentais e necessárias para a protecção dos sistemas de tecnologia da informação da empresa.