Definindo critérios para postergar prazos de mitigação de riscos de segurança da informação

Se você trabalha com riscos de segurança da informação, possivelmente já se deparou com aquele responsável solicitando postergação do prazo do plano de ação para mitigar riscos. E muito possivelmente já viu o prazo de mitigação de algum risco ser postergado bem mais de 3 vezes.

Aí, chega-se a uma incógnita: Como definir critérios para liberar prazos de postergação de riscos?

Frameworks sobre riscos de segurança da informação

Existem diversos frameworks que nos ajudam a definir e estabelecer um programa de riscos de segurança da informação, porém o NIST (National Institute of Standards and Technology) e a ISO 27005 não especificamente listam critérios para postergar prazos de riscos. Essas são referências amplas que fornecem diretrizes e frameworks para gerenciamento de riscos e segurança da informação, mas não abordam diretamente a questão da postergação de prazos.

O NIST, por exemplo, possui diversas publicações relacionadas ao gerenciamento de riscos, como o "NIST Special Publication 800-30: Guide for Conducting Risk Assessments", que aborda os princípios e processos envolvidos na avaliação e gerenciamento de riscos de segurança da informação.

Da mesma forma, a ISO 27005 estabelece diretrizes para o gerenciamento de riscos de segurança da informação com base no processo de avaliação de riscos. Ela fornece orientações sobre a identificação, análise e avaliação de riscos, bem como a seleção de medidas de tratamento adequadas.

O NIST, por exemplo, possui diversas publicações relacionadas ao gerenciamento de riscos, como o "NIST Special Publication 800-30: Guide for Conducting Risk Assessments", que aborda os princípios e processos envolvidos na avaliação e gerenciamento de riscos de segurança da informação.

Da mesma forma, a ISO 27005 estabelece diretrizes para o gerenciamento de riscos de segurança da informação com base no processo de avaliação de riscos. Ela fornece orientações sobre a identificação, análise e avaliação de riscos, bem como a seleção de medidas de tratamento adequadas.

Embora essas referências sejam valiosas para o contexto mais amplo do gerenciamento de riscos de segurança da informação, a especificidade de critérios para postergar prazos de riscos pode variar dependendo do setor, da organização e das práticas específicas adotadas.

Normalmente é recomendado consultar as diretrizes internas da organização em questão para obter critérios mais específicos relacionados à postergação de prazos de riscos.

Mas, e se você é a pessoa que precisa definir critérios para permitir postergar prazos dos planos de ações de riscos que mitiguem o risco em questão?

 

Definindo critérios para postergar o prazo do risco

Alguns critérios podemos sugerir (baseados em nossa experiência com o processo de gestão de riscos de segurança da informação) que podem ser considerados ao liberar postergações de risco:

1- Probabilidade de ocorrência: Avalie a probabilidade de o risco ocorrer. Se a probabilidade for alta ou crítica, pode ser necessário tomar medidas adicionais para mitigar o risco antes de considerar uma postergação.

2- Impacto potencial: Analise o impacto que o risco pode ter no projeto ou nas partes interessadas envolvidas dos referidos ativos. Se o impacto for significativo e puder ser evitado ou minimizado por meio de uma postergação, isso pode ser um argumento a favor da liberação.

3- Viabilidade da postergação: Verifique se é possível adiar a atividade ou a decisão relacionada ao risco sem prejudicar o andamento geral do projeto. Considere se a postergação é viável em termos de recursos, cronograma e dependências do projeto.

4- Riscos alternativos: Considere se existem riscos alternativos que possam surgir como resultado da postergação. Avalie se a postergação realmente reduz o risco geral ou se pode introduzir novos riscos ou complicações.

5- Opções de mitigação: Avalie se existem outras opções de mitigação disponíveis para lidar com o risco, além da postergação. Considere se existem medidas alternativas que possam ser implementadas para reduzir o impacto do risco sem a necessidade de adiar atividades.

6- Análise de custo-benefício: Realize uma análise de custo-benefício para determinar se os benefícios potenciais de postergar o risco superam os custos e impactos associados à postergação. Considere os custos adicionais, possíveis atrasos e implicações para outras partes do projeto. Pediram postergação? Na justificativa peçam o custo que justifique a postergação.

7- Consulta às partes interessadas: Envolver as partes interessadas relevantes na decisão de liberar uma postergação de risco. Considere as opiniões e preocupações das partes interessadas e busque um consenso sobre a melhor abordagem a ser adotada.

8- Quantidade de vezes postergadas: O risco foi postergado por mais de 3 vezes ao longo de 1 ano? Talvez o responsável do risco esteja só jogando o risco com a barriga, ganhando tempo. Aqui talvez valha exigir um termo de aceite do diretor responsável pelo ativo do risco para que a postergação seja liberada.

 

A que conclusão chegamos sobre postergar prazos de riscos?

Em nossa experiência com gestão de riscos de segurança da informação, este item vira mais um entre tantos assuntos já encaminhados pelos responsáveis, gestores ou diretores. Muitas vezes esta solicitação de postergação é só uma justificativa para se ganhar mais tempo para solucionar, ou mitigar, um problema.

É importante lembrar que a avaliação e a decisão de liberar uma postergação de risco devem ser feitas caso a caso, levando em consideração a natureza do projeto ou produto, os riscos envolvidos e o contexto específico de cada empresa.