Durante a abertura da Conferência Gartner Segurança e Gestão de Risco 2018, analistas do Gartner, Inc., líder mundial em pesquisa e aconselhamento imparcial em tecnologia, apresentam insights para dar autoridade a esses executivos da área de segurança e encorajá-los para a ação.

Os analistas do Gartner fornecem orientações para profissionais e líderes da área de segurança e risco sobre como empoderar e adaptar suas equipes, processos e tecnologias para convergir o velho e o novo; ter autoridade para transformar sua abordagem para uma governança de risco contínua e inclusiva; e escalonar suas competências de segurança para outros caminhos, indo além da contratação de pessoas.             Muito desse empoderamento pode vir da resposta a três simples questões: O que é importante? O que é perigoso? O que é real?

Analistas do Gartner apresentam uma série de cenários para demonstrar como essas perguntas podem oferecer clareza e, em qual cenário, a interseção desses questionamentos pode alterar a percepção e levar à ação.

Adote uma perspectiva ampla de negócio

Analistas do Gartner recomendam que líderes de segurança comecem qualquer iniciativa a partir de uma perspectiva mais ampla de riscos dos negócios. Historicamente, riscos são vistos por meio de lentes mais estreitas.

“Algumas práticas podem te ajudar muito a superar esse obstáculo”, afirma Claudio Neiva, Vice-Presidente de Pesquisa do Gartner. “Primeiro, crie e suporte uma cultura de responsabilidade e funções de risco bem estabelecidas. O próximo passo é construir um amplo registro dos riscos, considerando as principais ameaças. Finalmente, ligue os riscos diretamente com os objetivos e metas do negócio, de forma clara e defensável”.

O Gartner alerta que o perigo pode vir de riscos cibernéticos, os quais representam uma parte crítica e crescente do quebra-cabeça. É quando o gerenciamento integrado de riscos (IRM - Integrated Risk Management) se torna importante. “O IRM permite a priorização simples e fácil e conexões com planos de tratamento de riscos. Recomendamos integrar a cibersegurança e os riscos tecnológicos com o risco operacional para garantir que a supervisão seja contínua e analise futuras ameaças”, afirma Neiva. “Defina e faça a medição de indicadores de riscos, identificando aqueles que podem contribuir provendo alertas antecipados”.

Crie visibilidade dos ativos e ecossistemas

À medida que um ecossistema empresarial se desenvolve, torna-se praticamente impossível entender a interligação de tudo. Quando um problema causa perturbações nesse ecossistema, consequências inesperadas são prováveis, mas analistas do Gartner afirmam que reações exageradas podem causar mais danos do que ganhos.

“No último ano, mais de 15 mil vulnerabilidades foram divulgadas. Uma pequena porção foi classificada como crítica e se apresentou como uma ameaça urgente”, informa Augusto Barros, Vice-Presidente de Pesquisa do Gartner. “Geralmente, há tempo para avaliar a situação e responder com cuidado. Mas algumas dessas ameaças são imediatamente elevadas para um nível crítico por causa da cobertura exagerada que recebem da mídia”.

Embora riscos à segurança constantemente ganhem atenção, Barros afirma que dados mostram claramente que, ao longo da última década, apenas um pequeno número de vulnerabilidades continua atualmente sendo explorada. Na verdade, apenas uma em cada oito.

Ao responder ameaças à segurança, geralmente o foco está em resolver um problema relacionado à confiança. No entanto, ao fazer isso, líderes de segurança precisam ter certeza de que não estão violando seus objetivos de resiliência. Os executivos precisam projetar para obter resiliência em múltiplos níveis, da parte organizacional até a técnica.

“Adote uma visão corporativa de resiliência de todo o negócio e trabalhe com parceiros de TI para estabelecer metas de resiliência”, diz o analista do Gartner. “Em segundo lugar, crie planos de gerenciamento e de comunicação de crise para reduzir os riscos de respostas condicionadas. Em terceiro, projete tecnologias e processos não apenas para alta disponibilidade, mas que permitam a recuperação e a continuidade dos negócios. Finalmente, garanta que os planos de continuidade e recuperação sejam testados regularmente para provar que funcionam”.

Empodere sua equipe e fornecedores para se tornarem parte do gerenciamento de riscos

Líderes de segurança precisam de controles que sejam apropriados para o ambiente de riscos. Esses executivos necessitam de estratégias que sejam aplicáveis para mais de um único fornecedor ou tecnologias, sendo capazes de modificar todo o cenário de risco e compliance.

“Controles adaptáveis são o que transformam a segurança em um facilitador de tecnologia”, explica Felix Gaehtgens, Diretor de Pesquisa do Gartner. Segundo o analista, é importante empoderar outros profissionais da organização para potencializar as chances de sucesso.

“Empresários e equipes de TI precisam oferecer conhecimento sobre suas áreas para um gerenciamento efetivo de riscos”, diz Gaehtgens. “Isso garante que profissionais da área de risco entendam as mudanças de tecnologias e a realidade dos negócios. Em troca, deveríamos encorajar outros a buscarem diretrizes e conselhos de profissionais de risco para que seja possível incorporar a mentalidade baseada em risco às suas responsabilidades. Transformar e escalonar segurança é uma estratégia vencedora para todos os envolvidos.”

Mais informações sobre segurança e gerenciamento de riscos estão disponíveis no Relatório Especial Gartner: “The Resilience Premium of Digital Business: A Gartner Trend Insight Report.” Essa coleção de pesquisas foca em como se comprometer com resiliência vai aparelhar um negócio digital com mindset, recursos e planejamento para recuperação de falhas inevitáveis.