Wednesday, October 17, 2007

Gestão de Risco e Compliance: O que vem antes?

A grande dúvida que paira no ar, e que certamente ocupa o pensamento dos CIOs e CSOs em todo mundo é: o que vem antes, gestão de risco ou compliance? A resposta não é simples, mas é lógica. Convido vocês leitores a investir alguns minutos e desbravar comigo ponto-a-ponto, quais são os parametros que condicionam e direcionam esta decisão.

Compliance e Gestão de Risco são dos hits do momento. Nunca se falou tanto em manter a conformidade com padrões internacionais, ao mesmo tempo que estruturar processos para antecipar problemas (gerenciar o risco) parece ser a nova ordem. Como em tudo que é novo e onde falta informação, acabamos cometendo alguns enganos que podem comprometer o cumprimento de nossas metas.

Gestão de Risco

É mais simples do que parece. Gerenciar riscos é um processo que deve ser executado continuamente, deve ter pai e mãe (alguém tem que ficar formalmente responsável por conduzí-lo), e deve ser institucionalizado. A gerência do risco se divide em quatro partes: (i) identificar e avaliar os riscos (risk assessment), (ii) tratar os riscos (risk treatment), (iii) aceitar os riscos abaixo da linha de corte (risk acceptance) e (iv) comunicar os riscos (risk communication). Muita gente é boa em identificar e avaliar os riscos, mas peca na hora de definir controles para tratar os riscos e também na hora de comunicar aos interlocutores certos.

O que eu fiz de errado?

Como já escrevi em outros artigos, e sintetizo aqui, os erros mais comuns no gerenciamento do risco são:

Criar super planilhas com cálculos complexos para medição do índice do risco: em análise de risco, menos é mais. Simplifique ao máximo sua matriz, pois só assim você conseguirá transformar este processo em parte do dia-a-dia das pessoas. Não esqueça, risco é evento associado a sua probabilidade e seu impacto. Nada a mais, nada a menos.

Tomar as decisões sobre impacto e probabilidade, e sobre o tratamento do risco sem envolver os gestores e a alta direção: a decisão por tratar ou não um risco é da Alta Direção e das pessoas que responderão legalmente caso o risco torne-se um incidente. Esqueca análise de risco de gabinete, onde você identifica e você decide. Envolva as pessoas se você quer que elas participem do processo!

Confundir análise de risco com análise de vulnerabilidades: trate as vulnerabilidades como vulnerabilidades. Para corrigir bugs e aplicar patches, utilize o controle “gestão de vulnerabilidades” da ISO 27002 (antiga ISO 17799). Se você colocar vulnerabilidades tecnológicas e riscos em um mesmo nível, provavelmente enlouquecerá. Deixe as vulnerabilidades para as ferramentas de análise de vulnerabilidades, construa sua análise de risco em alto nível. Pense no negócio!

Compliance

Mais simples do que parece, estar “compliant” com algo é estar em conformidade. Conformidade com o que? Depende. As empresas precisam estar de acordo com a lei, sejam elas gerais ou específicas, como atos regulatórios ou acordos comerciais.

Uma norma ou lei é formada por um conjunto de asserções que indicam “boas práticas”, sejam elas recomendações ou obrigações. O procedimento através do qual sabemos se estamos ou não em conformidade com determinada lei é bem simples. Faz-se uma engenharia reversa e transformamos os itens da norma em questionamentos. Algo do tipo, digamos que a lei específica traga a seguinte resolução:

Resolução 1.1.1: A empresa deve possuir acordo de confidencialidae assinado com todos os funcionários e terceiros.

Transformamos em algo como:

A empresa possui um processo que garanta que são assinados acordos de confidencialidade com funcionários e terceiros? (Sim / Não ).

Este seria o primeiro nível da validação. Você pode ir além colocando uma escala de maturidade. Sempre tem quem quer ver para crer, ou seja, verificar se o controle está ou não aplicado para atender a norma. Cuidado para não transformar sua Gap Analysis em auditoria. A escolha é sua!

Onde encontrar checklists gratuitas?

Não entendo muito porque investir dinheiro em verificar a conformidade, acho que o dinheiro deve ser investido nos planos de ação para garantir a conformidade. Checklists de SoX, PCI-DSS, ISO 27002 entre outras, são facilmente encontradas na Internet. Dias atrás fui abordado por um conhecido em um evento de Segurança da Informação. Perguntou se eu podia ajudá-lo em um projeto de PCI-DSS e se poderíamos fazer uma Gap Analysis. Fizemos um teste e digitamos “pci-dss checklist” no Google. Logo nos primeiros links já tivemos acesso a pelo menos duas boas checklists que certamente atendiam ao seu objetivo.

Onde eu quero chegar?

Quero dizer a vocês que faz-se muito alarde em torno de processos simples. Complicamos desnecessariamente. Investimos tempo e dinheiro em tarefas que poderiam ser realizadas com três vezes menos tempo, e se fossem implementadas de forma simples, trariam um resultado muitas vezes mais visivel a Alta Direção. Não podemos querer implementar gestão de risco exigindo que nossos gestores de negócio, já preocupados com inúmeras tarefas, sejam especialistas em calcular o risco.

Finalmente, o que vem antes?

Nem um, nem outro. Conformidade e gestão de risco são complementares, e só alcançam seu resultado completo quando integrados. Como saber qual o nível de risco se eu não souber quais são os controles que eu já tenho implementado em meu ambiente? Como justificar a implementação deste ou daquele controle senão através de riscos?

Para quem não precisa atender a leis ou regulamentações específicas, tire o “compliance” de sua frente. Foque na gestão de risco. Porque querer saber se eu atendo aos controles da SoX se eu não preciso atender a SoX? Neste caso o contexto da "análise de gap" de melhores práticas pode ser direcionado aos padrões normativos internacionais, como é o caso da ISO 27002. O que não significa que eu tenho que aplicar todos os controles da norma. A análise de gap vai me dizer o quão aderente estou ao padrão, mas será a análise de risco que vai direcionar os controles que devo ou não implementar.