Gestão de Riscos em Projetos de TI: um caso de Segurança da Informação

Artigo - Riscos
O gerenciamento dos riscos em projetos ou operações possibilita a chance de melhor compreender a natureza do que deve ser realizado, envolvendo os membros da equipe de modo a identificar potenciais problemas ou vulnerabilidades, as respostas e as ações preventivas.

O que torna a gestão dos riscos tão importante são fatores como o aumento da competitividade, o avanço tecnológico e as condições econômicas, que fazem com que os riscos assumam proporções incontroláveis. Portanto, a sobrevivência de qualquer empreendimento está vinculada ao conceito de trabalhar bem a situação de incertezas.

Segundo a norma de gestão de projetos PMBoK® (PMI®, 2013), o risco pode ser definido como uma ocorrência discreta que pode afetar um projeto por bem ou por mal. Já segundo a norma ISO 31000 (Associação Brasileira de Normas Técnicas – ABNT, 2009), risco é definido como efeito da incerteza nos objetivos, definido como um desvio em relação ao esperado. Nos dois casos, verifica-se a questão da incerteza e dos problemas que podem ser gerados.

Quando tratamos de projetos ou operações relacionados com a segurança da informação, devido aos potencias impactos ocasionados, os riscos podem atingir valores tão altos que passam a comprometer a própria operação ou projeto e, até mesmo, a própria organização.

Para reduzir os riscos, devem-se cumprir algumas etapas durante a fase de planejamento do projeto ou da operação. A primeira etapa consiste na identificação dos riscos que podem afetar o sucesso do projeto e verificar quais são as características, tais como causas e consequências. A segunda etapa consiste na avaliação dos riscos segundo dois critérios: a probabilidade do evento acontecer e, em acontecendo, o impacto que pode ser gerado. Essa segunda etapa deve ser feita em duas fases. A primeira é chamada de análise qualitativa de riscos onde, apesar de a avaliação dos critérios ainda ser subjetiva, será de grande utilidade para priorizar os riscos.

A segunda fase, denominada análise quantitativa de riscos, tem foco na avaliação numérica de cada risco e consiste no levantamento da probabilidade em termos percentuais e do impacto em valores financeiros ou, como é frequente em projetos de tecnologia da informação, em horas de recursos.

Uma vez avaliados os riscos, a última etapa consiste no planejamento das possíveis respostas aos riscos, com o objetivo de reduzir as chances de ocorrência ou os impactos potenciais. As respostas estabelecidas irão se tornar atividades a serem implementadas, sendo que os custos deverão fazer parte do orçamento. Como, muitas vezes, não é possível zerar todos os riscos, os eventuais resíduos que sobram após a aplicação das respostas, devem formar as reservas de contingência. Essas etapas devem ser realizadas durante o planejamento quando ainda se tem uma alta possibilidade de influenciar o escopo e um baixo custo de alterações.

Durante a execução, devemos apenas acompanhar os riscos identificados, monitorar os riscos residuais e identificar possíveis novos riscos, não previstos no início. Percebe-se que a maior parte do trabalho de análise e gestão de riscos deve ser feita durante o planejamento, pois quando já estamos em operação, o custo para fazer grandes alterações será altíssimo, sem contar o impacto imensurável que pode ser gerado nos clientes da empresa.

Por Leandro Patah

_________________________________

Leandro Patah – Engenheiro mecânico formado pela Escola de Engenharia de São Carlos-USP, com pós-graduação em administração pela EAESP-FGV, professor da Fundação Vanzolini no curso de capacitação em Gestão de Projetos, na pós-graduação em Gestão de Projetos e no MBA Executivo Gestão de Operações – Produtos & Serviços, co-autor dos livros Gerenciamento de Projetos na Prática I e II: Casos Brasileiros. É certificado como PMP® pelo PMI®.

Comentários