• Segware

Análise de Riscos para Empresas de Segurança

Atualizado: Set 17

Empresas de segurança têm como objetivo final garantir a proteção do patrimônio dos seus clientes. Isso é de extrema importância, pois garante que o cliente possa continuar suas atividades e atingir seus objetivos sem prejuízos ou danos graves. Porém, não quer dizer que se deva eliminar todos os riscos de danos à organização.


Dificilmente seria viável ou até possível proteger todo o patrimônio de uma organização de maneira igual ou eficiente. Assim, o mais recomendado é identificar quais são as prioridades. Ou seja: o que merece uma atenção maior da segurança.


Como se pode perceber, a resposta não é tão simples. É para isso que existe a gestão e análise de riscos. Ela olha para as prioridades do cliente, para as ameaças que aquele patrimônio sofre, e avalia quanto e como eles precisam ser protegidos.


Essa análise é importante tanto para fazer uma estratégia de segurança, quanto para justificar os investimentos na proteção.


O processo segue algumas etapas e métodos que explicamos a seguir


Identificação dos riscos


A identificação dos riscos é o primeiro passo para criar a estratégia de segurança. Para isso é preciso definir quais são os ativos da empresa que são mais relevantes para garantir a manutenção das atividades. Esses ativos podem incluir pessoas, infraestrutura, instalações, equipamentos, informações, atividades e operações. Essas informações dependem do tipo de empresa e das suas atividades. Por isso, as melhores pessoas para fornecerem essas informações são os gerentes e gestores.


A ameaça pode ser um evento isolado ou uma circunstância ou tendência. Eventos isolados são, roubos, assaltos, sequestros, espionagem ou incêndio. Já a circunstância ou tendência são, por exemplo, o aumento da criminalidade, o crescimento dos crimes cibernéticos, a localização da organização e a satisfação dos funcionários.


O processo de identificação de riscos também passa pela observação das vulnerabilidades da empresa. Deve-se olhar para como os ativos estão atualmente protegidos. Por exemplo, há segurança para os funcionários e executivos da empresa? Os equipamentos passam por manutenção preventiva, que evita danos súbitos? As instalações são asseguradas? Há um bom serviço de segurança das informações?


Com base nessas informações, é possível definir quais os riscos potenciais para a organização. A segunda etapa é analisar esses riscos, ou seja, identificar quais deles são mais críticos para a empresa.


Análise dos riscos


A etapa da análise dos riscos tem como objetivo determinar o que é mais ou menos crítico para a empresa. É a partir dessa análise que a empresa de segurança terá base concreta para argumentar a sua estratégia de ação e justificar o investimento.

Existem dois métodos principais para analisar os riscos: o Método Mosler e o Método Willian T. Fine. Ambos utilizam uma metodologia que combina uma avaliação subjetiva dos critérios com um cálculo que permite a priorização das ações de segurança.

Vamos a eles...


Método Mosler

O método Mosler avalia os riscos organizacionais com base no impacto que teriam caso se concretizassem e a probabilidade de acontecerem. Para cada um deles, há uma escala de 1 a 5 pontos, do mínimo ao máximo. Esses pontos são usados para fazer o cálculo de magnitude, probabilidade e grandeza do risco.

Os critérios são:

Função: caso o risco se concretize, o quão graves são as consequências negativas ou danos para a atividade principal da empresa?

Substituição: caso o risco se concretize e os bens sejam afetados, o quanto eles podem ser substituídos?

Profundidade: caso o risco se concretize, quais os efeitos para os funcionários e para a imagem da empresa?

Extensão: caso o risco se concretize, qual o alcance e extensão do dano na organização?

Agressão: qual a possibilidade de o risco ou dano acontecer?

Vulnerabilidade: caso o risco se concretize, qual o tamanho da perda financeira?

Os critérios de função, substituição, profundidade e extensão são usados para calcular a magnitude do risco. Já os critérios de agressão e vulnerabilidade definem a probabilidade do risco. A relação entre os magnitude e a probabilidade do risco é o que define a grandeza do risco. Quanto mais elevada, maior a necessidade de medidas de segurança.


Método William T. Fine

Assim como o Método Mosler, o Método Willliam T. Fine determina os riscos mais ou menos críticos da organização levando em consideração a gravidade do risco e a probabilidade de ele acontecer. O chamado grau de criticidade é avaliado com base em três fatores: consequência, exposição ao risco e probabilidade. Cada um tem um objetivo e parâmetros distintos:


Consequência:  refere-se aos impactos mais prováveis caso o risco analisado venha a acontecer. Esses impactos são medidos em termos financeiros, ou seja, desde um prejuízo de “pequenos danos” até um “dano superior a 1 milhão de dólares”.


Exposição ao risco: analisa a frequência com que o risco costuma se manifestar na organização. É medida em tempo, ou seja, desde “remotamente possível” até “várias vezes ao dia”.


Probabilidade: é a real chance de o risco acontecer. Esse fator varia de “praticamente impossível de acontecer” até “espera-se que aconteça”

Para cada resposta dentro dos fatores há uma pontuação. Os pontos dos três fatores são multiplicados para definir o grau de criticidade do risco. Assim, é possível analisar, quantitativamente, qual risco merece maior atenção.


O Método William T. Fine também inclui uma Justificativa de Investimentos. Trata-se de uma fórmula que confronta o grau de criticidade do risco com os custos da solução escolhida para reduzi-lo e a real eficácia daquela solução. Essa fórmula busca encontrar um equilíbrio entre o investimento e a redução do risco para ver se aquele investimento realmente vale a pena.


Após a análise dos riscos, é feita a avaliação dos riscos em que se decide, finalmente, qual será o procedimento para cada uma das ameaças encontradas. 


O que podemos concluir sobre a análise de riscos?


A análise de risco é um processo muito importante para mostrar o quanto o serviço de segurança é valioso. Ele ajuda a identificar quais são os reais riscos para uma organização e qual a dimensão das perdas, caso o risco venha a acontecer. Por isso, serve para formular uma estratégia de segurança e também para justificar os investimentos naquele serviço. Em uma empresa de segurança, é um processo essencial para fornecer aos clientes.

5 visualizações
Segware
  • Instagram
  • Facebook
  • YouTube
  • LinkedIn

Brasil/SC: +55 48 32310000
Brasil/SP:  +55 19 31139450

EUA: +1 305 7671552
México: +52 55 41708415
Argentina: +54 11 52195583
Colombia: +57 2 8912730
Chile: +56 2 29381412
Venezuela: +58 212 7202193

Copyright © 2020 Segware Security Performance. Todos os direitos reservados.