Como saber o Nível de Maturidade dos Riscos na sua empresa?
Antonio Celso Ribeiro Brasiliano, CEGRC, CIEAC, CIEIE, CPSI, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Ciência e Engenharia da Informação e Inteligência Estratégica pela
Université Paris-Est (Marne La Vallée, Paris, França); presidente da
empresa Brasiliano INTERISK Gestão de Riscos. abrasiliano@brasiliano.com.br
Novembro | 2020
A Brasiliano INTERISK passou a utilizar um questionário padrão, dentro do Software INTERISK, com o objetivo de a empresa enxergar seu grau de Maturidade.
A solução veio da experiência da utilização do Check list da NIST, na disciplina Cibernética, onde há na respectiva norma os requisitos para que a empresa possua determinado Nível de Maturidade em Segurança Cibernética. Este nível depende do número de conformidades que a empresa possui frente aos questionamentos do questionário.
Na verdade, é um Self Risk Assessment, que acaba possuindo como produto um gráfico do tipo Radar, com as funções que organizam atividades básicas, de alto nível, de qualquer tipologia de risco. Como exemplo a NIST determina que as funções da segurança cibernética são: Identificar, Proteger, Detectar, Responder e Recuperar.
Elas auxiliam uma empresa a demonstrar seu gerenciamento de riscos de segurança cibernética, organizando as informações, possibilitando decisões de gerenciamento de riscos, tratando ameaças e aprimorando com base em atividades anteriores.
As funções também se alinham com as metodologias existentes para o gerenciamento de incidentes e ajudam a mostrar o impacto dos investimentos em segurança cibernética. Por exemplo, os investimentos em planejamento e treinamento compreendem ações de resposta e recuperação em tempo hábil, resultando em um impacto reduzido na entrega de serviços.
Empresa com baixo nível de Maturidade em Segurança Cibernética, necessita tratar com urgência.
Empresa com Maturidade considerada muito boa, devendo aprimorar. Neste caso fica claro que as funções Identificar, Proteger e Detectar possuem oportunidades de melhoria.
Com base nesta experiência, desenvolvemos questionários específicos por tipologia de riscos e segmentos. Exemplo, uma empresa com dois CD de Logística quer saber sua Maturidade em Segurança Corporativa. O Risk Self Assessment de Segurança Empresarial, para um CD de Logística, passa a possuir como funções os quesitos:
Ambiente Externo, Consequência – Emergência, Infraestrutura, Pessoal, Processo de Tecnologia. Os resultados dos dois CDs foram:
CD A
Fica claro que embora este CD esteja com um Nível de Maturidade Bom, 7,25, há oportunidades de melhorias, principalmente nas funções: Ambiente Externo, Infraestrutura, Pessoas e Processos.
CD B
Este CD também com um Nível de Maturidade em Segurança Empresarial, 7,45, também considerado Bom; possui outras melhorias do tipo Ambiente Externo, Pessoas e Consequência.
Podemos observar que através de um Self Risk Assessment, com o gráfico do Radar, em qualquer tipologia de riscos, o gestor tem condições de enxergar seus pontos de maior fragilidade, focando diretamente nas vulnerabilidades.
A maneira prática e objetiva do Self Risk Assessment do Software INTERISK fornece esta ferramenta prática e eficaz, pois direciona as ações de prevenção ou mitigação necessárias para colocar a empresa no Nível de Maturidade desejável, dentro de seu apetite de risco.
Interpretando os Níveis de Maturidade acima podemos concluir que esta empresa possui como problemas sistêmicos o seu Ambiente Externo, que deve ser agressivo para suas operações e Pessoal, que direciona para capacitação, competência, distribuição do efetivo na planta ou até quantidade. Estes são os quesitos comuns entre os CD’s, que se não fores resolvidos, podem se tornar fonte geradora de riscos.
O Software INTERISK, através de seu Módulo Self Risk Assessment, e de mais de 40 tipos de disciplinas de riscos, pode ajudar sua empresa, em qualquer segmento de negócio, a enxergar de forma holística sua Maturidade em Riscos.
Um processo estruturado de Self Risk Assessment coloca a empresa, de uma maneira rápida, em grande vantagem competitiva, neste mundo VUCA - volátil, incerto, complexo e ambíguo.