1

Análise de Risco em Ambientes Corporativos na Área de Tecnologia da Informação
Laerte Peotta Universidade de Brasília - UNB Paulo Gondim

RESUMO Um tema que vem sendo muito discutido é a governança em TI (Tecnologia da informação), no entanto existem muitos métodos e técnicas de gestão que podem ser adotadas para se implementá-la. Um bom ponto de partida seria elaborar um plano para análise de risco em TI, controlando e conhecendo a infra-estrutura, agilizando a tomada de decisão visando reduzir ou mitigar o risco. Neste artigo será descrito uma metodologia para efetuar uma análise de risco eficiente.
Palavras-Chave: Gestão de risco, Segurança da informação, Governança, Compliance.

1. INTRODUÇÃO A premissa básica para uma boa governança em TI é o fato de que deve se conhecer o ambiente interno para uma tomada de decisão acertada, pois o que não se conhece não pode ser gerenciado. Em uma empresa a área de TI pode ser tratada apenas como commodities, mas essa decisão pode transformar o modo como a empresa opera, sendo pouco acertado em alguns casos tratar a TI como não sendo área fim do negócio. A situação se agrava, pois muitas empresas mantêm negócios na internet e mesmo assim a área de TI fica terceirizada, podendo incorrer diversos riscos que acabam indo além das previsões da empresa e seus controles. Atualmente as empresas estão bastante preocupadas com o tema segurança da informação, no entanto é necessário encontrar um método que avalie constantemente os ativos internos, auxiliando não somente a análise de risco, mas toda a gestão de TI, pois o conhecimento da infra-estrutura e dos ativos gera conseqüente reflexo na gestão. A visão de um analista de risco em TI é poder identificar uma vulnerabilidade, calcular um score sobre a vulnerabilidade, verificar se essa falha afeta o negócio da empresa e por fim atuar de maneira a corrigir o problema, devendo o trabalho ser efetuado no menor tempo possível. Aparentemente o trabalho é simples, pois são