Resumo
tem como objetivo diminuir ou eliminar os riscos de acidentes no trabalho.
Passo 1 ? Desenvolver a consciência dos riscos de TI
A mitigação dos riscos de TI começa com um levantamento completo, incluindo:
- estabelecimento do escopo do programa (Até que ponto a identificação dos riscos de TI é apropriada?)
- construção de um perfil de riscos para a organização baseado em suas prioridades totais
- identificação das áreas de risco da TI
Essa avaliação deve considerar também os requerimentos, capacidades e vulnerabilidades atuais da organização. Por último, esta etapa envolve a identificação e classificação de suas ameaças, vulnerabilidades e fraquezas com conseqüente associação de prioridades a estas de acordo com o risco.
Passo 2 ? Quantificar os impactos aos negócios
A quantificação dos impactos aos negócios é normalmente o passo mais difícil - e o mais importante. Até que estes impactos sejam quantificados, positiva ou negativamente, a gestão da TI deve ser capaz de priorizá-los juntamente a seus pares e obter os recursos necessários à suas mitigações.
A quantificação do impacto aos negócios pode ser estabelecida de duas formas:
1) Através da priorização dos riscos baseado em seus potenciais de impacto aos negócios de acordo com o perfil de riscos da organização e a facilidade ou dificuldade de suas mitigações, medidas em tempo, recursos funcionais e investimentos.
2) Através da construção de argumentos de negócios detalhados somente para aqueles riscos identificados como de alto impacto.
Passo 3 ? Desenvolvimento de soluções
Neste ponto, a organização conhece o escopo e os componentes do programa de gerenciamento de riscos de TI, seu status atual e a priorização de cada área dos riscos de TI.
O próximo passo é desenvolver um conjunto de soluções de remediação, considerando os elementos clássicos: pessoas, processos e tecnologias. Cada um com seus respectivos requerimentos, especificações,