Thursday, January 25, 2007

TI e a Corrida para o Futuro - A Gestão de Riscos como Alternativa

Por Victor Hugo Menegotto, CISSP
Geralmente a corrida inicia em direção ao caminho mais fácil, que parece ser sempre o mais adequado, o menos custoso, e mais eficiente, quase tão bom quanto os maiores players do mercado. Afinal, se a Microsoft, a Cisco e a IBM seguem estes padrões, faremos o mesmo, é perfeito. Parece perfeito.

Perdi a conta do número de projetos encerrados e sem continuidade, perdi a conta do número de executivos que não se preocupou em gerir, medir e controlar, mas apenas em atender demandas externas ou exigências internas. E de fato, seus objetivos foram atingidos, mas para um período curto de tempo, a curto prazo, pois é assim que funciona nossa cultura. Não é a toa que os indianos possuem uma grande potência em TI, eles planejam a longo prazo, e quando começam a colher os frutos, a garantia de que terão frutos para um século é quase certa. O mais grave disso tudo, não é a garantia dos frutos que talvez não tenhamos, mas a concorrência - com planejamento e organização – que sem piedade, nos atropelará.

Então basta de atender demandas e exigências, esta na hora de planejar o futuro, participar da implantação de seja qual for a normativa, e principalmente, dar continuidade aos processos implementados. Essa é uma tarefa difícil, mas longe de impossível. Com participação, organização e as ferramentas certas, o processo se torna menos complexo. E às vezes até simples.

Mas afinal, que normativa devemos seguir?

Considerando ITIL (ISO 20000) e Cobit, como muito promissores, pelo menos 1 destes 2 é um “must have” para quase qualquer organização de médio à grande porte. Mas o principal ponto de investimento, não é especificamente nenhuma norma. E sim, a gestão de riscos, sejam eles financeiros, de mercado ou de segurança. Independente do risco, sua gestão é fundamental.

Ok, esta entendido, ITIL, Cobit e Gestão de Riscos, mas por onde começo?

Quando você compra um carro, qual a primeira coisa que você se preocupa?

a) Em como vai fazer para consertar alguns detalhes da pintura;
b) Em como vai fazer para trocar o som, as rodas e etc;
c) Com o seguro.

Não sei em relação a você, mas para mim a resposta parece muito simples, no seguro é claro. E é neste ponto que assino embaixo da Gestão de Riscos, que irá nos proporcionar a alternativa para o seguro - o controle. A gestão de riscos vai nos dizer, quais são os problemas, vai elencá-los, vai tratá-los, e vai medí-los. Provendo a gerencia completa sobre nossos processos. Sem dúvida, a gestão de riscos deve ser o ponto de partida para qualquer executivo de TI.

E por favor, não esqueça: não basta analisar os riscos, você deve gerí-los, acompanhá-los, controlá-los e aí sim, terá gerência sobre Tecnologia da Informação e seus processos de negócio.

No comments: