Informativo SGPI: Gestão de Riscos
Autor
Roberto Gonçalves
Na eBox, segurança da informação e proteção de dados são pilares essenciais do nosso compromisso com a excelência e a confiança. Este conteúdo foi originalmente desenvolvido como parte do nosso informativo interno do SGPI (Sistema de Gestão e Privacidade da Informação), com o objetivo de conscientizar, engajar e manter nossos colaboradores atualizados sobre boas práticas, processos e responsabilidades que envolvem a segurança da informação.
Agora, ampliamos o alcance desse material para que nossos parceiros, clientes e todos que se interessam pelo tema também possam acompanhar e aprender com o que desenvolvemos por aqui. Neste informativo, falamos sobre gestão de riscos — uma prática fundamental para garantir que nossas operações estejam protegidas contra ameaças e vulnerabilidades, assegurando não apenas a conformidade com normas como a ISO 27001 e 27701, mas principalmente a confiança nas relações que construímos todos os dias.
A Gestão de Riscos de Segurança da Informação e Privacidade de Dados na eBox, envolve aspectos internos e externos da organização, considerando os requisitos e expectativas das partes interessadas conforme o SGSPI (Sistema de Gestão de Segurança e Privacidade da Informação). O processo abrange análise, avaliação, tratamento.
Análise I - Avaliação de riscos: A equipe indicada pelo CGSI realizará a análise e avaliação dos riscos de forma qualitativa, classificando-os com base em probabilidade, propriedades da informação afetada e impactos (financeiro, operacional, imagem e legal).
Tratamento do Risco: O tratamento dos riscos deve considerar o nível de risco e o custo-benefício. A equipe responsável deve elaborar um plano, que, após aprovação do CGSI, será executado. O CGSI valida se o tratamento foi satisfatório ou, se necessário, adota controles adicionais. As opções para o tratamento de riscos são:
- Reduzir: Aplicação de um controle para que o Risco seja reavaliado como aceitável.
- Aceitar: Caso o Risco atenda os critérios para aceitação o mesmo poderá ser retido.
- Evitar: O Risco pode ser evitado através da eliminação da atividade ou processo de negócio ou de uma mudança significativa no ambiente.
- Transferir: O Risco pode ser transferido para uma outra entidade (e.g. Contratação de um seguro, terceirizar). É importante lembrar que não se pode transferir completamente a responsabilidade pela segurança da informação.
- Reter: Manter o nível de risco independentemente do valor, quando o benefício da redução não justificar o investimento.
As Análises e Avaliações de Riscos deverão ser realizadas pelo menos uma vez por ano ou quando ocorrerem mudanças significativas no ambiente da organização.
