É com grande satisfação que a Plataforma t-Risk disponibiliza a tradução para o português da entrevista de nosso CEO, Tácito Augusto Silva Leite, originalmente publicada no International Security Journal, Reino Unido. Esta entrevista, que agora tornamos acessível em português, oferece insights profundos sobre a evolução da gestão de riscos de segurança e destaca a importância das tecnologias emergentes no campo. Tácito discute o impacto significativo da Inteligência Artificial e do Aprendizado de Máquina na previsão e mitigação de riscos, proporcionando ferramentas que antecipam potenciais ameaças com precisão surpreendente.
A entrevista completa, disponível nas páginas 62-65 da edição digital do ISJ, explora temas como a importância do software no gerenciamento de riscos, o papel crucial das normas ISO 31000 e ISO 31050 na segurança corporativa, e a necessidade de uma maturidade organizacional avançada em gestão de riscos para enfrentar os desafios contemporâneos.
Convidamos todos a acessar o conteúdo completo desta edição do ISJ clicando aqui e mergulhar nos detalhes da entrevista que ampliamos para melhor contextualizar o cenário atual de segurança global. Este material é essencial para todos os profissionais que buscam aprimorar seus conhecimentos e técnicas na área de gestão de riscos.
Se houver alguma dúvida específica sobre a entrevista ou como ela foi ampliada, não hesite em perguntar para que possamos esclarecer e enriquecer ainda mais a discussão sobre este tema tão crucial.
ISJ - International Security Journal | Acesse a revista na íntegra clicando aqui!
1. Evolução da gestão de riscos de segurança
ISJ: Como você entende que ocorreu a evolução da gestão de riscos de segurança ao longo da trajetória humana e quais são os principais desafios atuais enfrentados pelas organizações?
Tácito Leite - Resposta 1: A gestão de riscos de segurança tem evoluído significativamente ao longo do tempo, refletindo as mudanças nas sociedades e nas economias. Inicialmente, com uma economia agrícola e sociedade coletora/produtora, o foco da segurança era primordialmente familiar e voltado para a preservação do território. A segurança patrimonial e a proteção do meio de produção ganharam destaque com a revolução industrial, onde o homem passou a interagir mais com máquinas em uma sociedade urbana.
Atualmente, na era da informação e economia intangível, onde o conhecimento é o principal ativo, a segurança integral tornou-se um imperativo. Isso significa uma abordagem holística que engloba a segurança física, cibernética, intelectual e reputacional. A gestão de riscos agora demanda uma perspectiva que transcende o operacional e se alinha estrategicamente aos objetivos corporativos, abordando riscos de várias naturezas de forma integrada.
Os principais desafios enfrentados pelas organizações hoje incluem a rápida evolução tecnológica, que traz tanto novos riscos quanto novas soluções de mitigação; a globalização, que expõe as empresas a uma complexidade maior de riscos transfronteiriços; e as crescentes expectativas dos stakeholders em relação à governança de riscos. Ademais, a pandemia de COVID-19 ilustrou a necessidade de resiliência e adaptabilidade nas estratégias de gestão de riscos, com ênfase na preparação para crises e na continuidade dos negócios. Com essa complexidade, torna-se vital que as organizações desenvolvam uma compreensão profunda dos riscos a que estão expostas e criem estratégias robustas para sua gestão.
2. Importância do software no gerenciamento de riscos
ISJ: Como as soluções de software transformaram o campo do gerenciamento de riscos de segurança corporativa? Quais são os principais benefícios e limitações dessas ferramentas?
Tácito Leite - Resposta 2: As soluções de software revolucionaram o campo do gerenciamento de riscos de segurança corporativa, oferecendo uma série de benefícios significativos. Estas ferramentas proporcionaram um ganho substancial em eficiência, permitindo que consultores e analistas de riscos realizem avaliações de riscos de maneira mais rápida, reduzindo o tempo de conclusão do processo em até 80%. A padronização do processo de gestão de riscos e dos relatórios finais tornou-se possível, aumentando a qualidade e a confiabilidade dos dados analisados e, consequentemente, das decisões tomadas com base nesses dados.
Os softwares de gestão de riscos, especialmente aqueles que seguem padrões internacionais como as ISO 31000 e ISO 31050, ajudam as organizações a harmonizar a segurança patrimonial com o desenvolvimento do negócio, minimizando vulnerabilidades que impactam os fatores críticos de sucesso e objetivos empresariais. A possibilidade de demonstrar o Retorno sobre o Investimento (ROI) em controles de segurança é fundamental para garantir a continuidade dos projetos de segurança, justificando-os perante gestores financeiros e outros stakeholders.
Ademais, a disponibilidade dessas ferramentas em múltiplos idiomas, como inglês, espanhol e português, facilita a adoção global e garante que os usuários possam utilizá-las em seu idioma nativo, removendo barreiras linguísticas e culturais que poderiam prejudicar a eficácia na gestão de riscos.
Contudo, as soluções de software apresentam limitações, sobretudo relacionadas à maturidade dos profissionais que as utilizam. Ferramentas avançadas não compensam a falta de maturidade em gestão de riscos de uma organização. Portanto, muitas vezes é necessário acompanhar a implantação do software com programas de mentoria e capacitação para os profissionais, elevando o nível de compreensão e prática da gestão de riscos na empresa. A resistência à mudança é outra barreira significativa, pois a adoção de novas tecnologias exige adaptação e pode encontrar oposição por parte daqueles apegados a métodos tradicionais.
Em síntese, enquanto as ferramentas de software em gestão de riscos são poderosas aliadas para as organizações, a sua eficácia está diretamente ligada à capacidade e disposição da equipe em utilizá-las eficientemente e integrá-las à cultura organizacional de gestão de riscos.
3. Maturidade na gestão de riscos
ISJ: Na sua perspectiva, qual o nível de maturidade das organizações brasileiras em termos de gestão de riscos? Quais são os principais indicadores desta maturidade?
Tácito Leite - Resposta 3: Em uma visão mais realista e abrangente, considerando a diversidade do tecido empresarial brasileiro, estima-se que o nível médio de maturidade das organizações brasileiras em gestão de riscos situa-se entre 'Inicial' e 'Gerenciado'. Isso sugere que, enquanto algumas empresas estão começando a reconhecer e implementar práticas de gestão de riscos de forma sistemática, muitas ainda estão em estágios iniciais, desenvolvendo políticas de riscos informais e não documentadas e estabelecendo estruturas de gestão de riscos.
Para saber mais sobre nível de maturidade em gestão de riscos de sua organização, clique aqui!
Os desafios para essas organizações incluem a superação de barreiras culturais e educacionais, a necessidade de maior comprometimento por parte da liderança, e a adoção de uma abordagem de gestão de riscos mais integrada e processual. As empresas no nível 'Inicial' de maturidade estão começando a estabelecer estratégias de riscos e a designar responsabilidades, enquanto aquelas no nível 'Gerenciado' já possuem práticas de gestão de riscos formalizadas e documentadas, refletindo um envolvimento mais ativo da liderança e um compromisso com a gestão integrada de riscos.
É verdade que existem áreas de excelência dentro das empresas, nas quais práticas de gestão de riscos são conduzidas em níveis elevados, revelando processos bem estruturados e alinhados com as melhores práticas globais. Contudo, esses níveis de excelência muitas vezes estão confinados a setores específicos e não refletem uma cultura de gestão de riscos disseminada por toda a organização. A gestão de riscos ainda não está inserida de maneira uniforme em todos os processos organizacionais, mas sim em alguns processos de áreas pontuais.
É fundamental que as organizações reconheçam que a maturidade em gestão de riscos não é homogênea e que é comum encontrar níveis variados de maturidade em diferentes dimensões da gestão de riscos dentro da mesma organização. Portanto, uma abordagem equilibrada e realista é crucial, priorizando áreas que ofereçam o maior benefício para os objetivos e desafios específicos da organização. Este foco permitirá uma evolução mais eficaz e sustentável nas práticas de gestão de riscos, fortalecendo a resiliência organizacional e apoiando uma tomada de decisão estratégica mais informada.
4. Adoção de tecnologias emergentes
ISJ: Quais tecnologias emergentes são mais promissoras para a gestão de riscos de segurança e como podem ser implementadas de forma eficaz?
Tácito Leite - Resposta 4: No cenário atual da gestão de riscos de segurança, as tecnologias emergentes estão surgindo como ferramentas vitais, oferecendo novas capacidades e ampliação das eficiências. A Inteligência Artificial (IA) e o Aprendizado de Máquina estão na vanguarda desta transformação, proporcionando análises avançadas capazes de prever e identificar potenciais riscos com base em padrões e tendências históricas. Estas tecnologias permitem a automação na detecção de ameaças e a aceleração das respostas a incidentes, além de melhorar o monitoramento contínua de riscos.
Paralelamente, a tecnologia Blockchain está ganhando atenção por sua capacidade de fornecer transparência e segurança em transações. No contexto da gestão de riscos, ela pode ser aplicada para criar um registro imutável de transações e atividades, reforçando a integridade dos dados e a rastreabilidade dos ativos. Além disso, a Internet das Coisas (IoT) está revolucionando o monitoramento do ambiente operacional, graças à vasta quantidade de dados gerados por dispositivos IoT que, uma vez analisados, podem revelar insights valiosos sobre potenciais riscos de segurança.
A análise preditiva, utilizando modelos estatísticos e de mineração de dados, está ajudando organizações a antecipar eventos futuros, permitindo-lhes preparar medidas proativas de mitigação e resposta a cenários de riscos potenciais. Para implementar essas tecnologias emergentes de forma eficaz, as organizações devem focar na integração de dados, garantindo que as novas tecnologias sejam compatíveis com os sistemas existentes para maximizar a utilidade dos dados coletados. A qualidade dos dados é outro ponto crucial, requerendo investimento em sistemas que assegurem dados precisos e de alta qualidade, fundamentais para análises acuradas.
Desenvolver competências internas é também essencial, pois a equipe precisa ser capaz de gerir e operar as novas tecnologias de maneira eficiente.
Estabelecer parcerias estratégicas com provedores de tecnologia é igualmente importante, pois eles podem oferecer suporte especializado e atualizações contínuas.
Por fim, as organizações devem implementar um ciclo de feedback contínuo, onde as tecnologias são regularmente avaliadas e aprimoradas para responder a ameaças emergentes.
5. Desafios na implementação de software de gerenciamento de riscos
ISJ: Quais são os principais desafios que as organizações enfrentam ao implementar software para gerenciamento de riscos de segurança?
Tácito Leite - Resposta 5: A implementação de softwares de gerenciamento de riscos de segurança nas organizações envolve múltiplos desafios, que abrangem aspectos técnicos, culturais e organizacionais. A integração do software com sistemas existentes é um desafio técnico significativo, exigindo adaptações tanto no software quanto nas práticas de negócio. Neste contexto, softwares como Serviço (SaaS) tendem a ter uma melhor aceitação e aderência imediata, pois eliminam a necessidade de instalações complexas na infraestrutura do cliente, facilitando a integração e uso.
A resistência à mudança é uma barreira cultural comum, particularmente em ambientes onde prevalecem abordagens reativas à gestão de riscos. Em países latinos, por exemplo, a cultura de riscos mais reativa dificulta a adoção de práticas proativas e antecipatórias. Alterar essa cultura histórica representa um desafio significativo para a implementação eficaz de softwares de gerenciamento de riscos.
Um desafio adicional é o nível de maturidade em riscos dos profissionais envolvidos. Se os funcionários não tiverem uma compreensão adequada da gestão de riscos, a utilização plena do software pode ser comprometida. A cultura de riscos da organização também é crucial, pois uma cultura que subvaloriza o planejamento estratégico e a gestão de riscos pode limitar o impacto positivo do software.
As questões de segurança da informação são essenciais para proteger os dados sensíveis. Um aspecto importante na escolha de um fornecedor de software é verificar seu portfólio de clientes. Empresas que atendem clientes no setor financeiro, por exemplo, tendem a ter padrões de segurança mais elevados devido às exigências regulatórias desse setor.
Finalmente, o idioma do software é fundamental. Em ambientes multiculturais, é crucial que o software esteja disponível no idioma nativo dos usuários. Traduções automáticas, como as oferecidas por tradutores de páginas web, muitas vezes não são adequadas para termos técnicos e podem levar a mal-entendidos. Portanto, a escolha de um software que ofereça suporte nativo em múltiplos idiomas é uma consideração importante para garantir sua eficácia e aceitação.
A superação desses desafios requer um planejamento cuidadoso, desenvolvimento de uma cultura organizacional que valorize a gestão proativa de riscos, treinamento adequado dos funcionários e a escolha de um software que seja tecnicamente compatível, fácil de usar e disponível no idioma correto.
ISJ - International Security Journal | Acesse a revista na íntegra clicando aqui!
6. ISO 31000, ISO 31050 e a segurança corporativa
ISJ: Como as normas ISO 31000 e ISO 31050 podem ser aplicadas na prática para melhorar o gerenciamento de riscos de segurança?
Tácito Leite - Resposta 6: As normas ISO 31000 e ISO 31050 desempenham um papel fundamental no aprimoramento do gerenciamento de riscos de segurança nas organizações. A ISO 31000, que fornece diretrizes para a gestão de riscos, e a ISO 31050, que oferece princípios e orientações para o gerenciamento de riscos emergentes, podem ser aplicadas de forma prática e complementares para melhorar a eficácia e a eficiência dos processos de segurança corporativa.
Primeiramente, a ISO 31000 ajuda as organizações a estabelecer uma abordagem sistemática e estruturada para a gestão de riscos. Ela orienta a identificação, análise, avaliação e tratamento de riscos, além de enfatizar a importância da comunicação e consulta contínua com as partes interessadas. Implementar a ISO 31000 envolve a integração da gestão de riscos nas decisões estratégicas, garantindo que os riscos de segurança sejam considerados em todos os níveis da organização.
A ISO 31050, por outro lado, foca em riscos emergentes, incluindo aqueles relacionados à segurança, que podem não ser totalmente conhecidos ou compreendidos. Esta norma guia as organizações na identificação e gestão de riscos emergentes, promovendo uma cultura que valoriza a proatividade e a inovação na resposta a riscos desconhecidos ou em rápida evolução.
A implementação prática das normas ISO 31000 e ISO 31050 na gestão de riscos de segurança envolve inicialmente o estabelecimento de um contexto, onde o escopo e os objetivos são definidos considerando o ambiente interno e externo da organização. Segue-se a identificação de riscos, incluindo emergentes, utilizando técnicas como brainstorming, análise SWOT e outras definidas na ISO 31010. Após a identificação, os riscos são analisados e avaliados em termos de probabilidade, impacto e diversos outros critérios para determinar a prioridade de tratamento. Estratégias são então desenvolvidas para tratar os riscos com base nessas avaliações, como por exemplo: mitigar, transferir ou evitar riscos. O processo inclui monitoramento e revisão contínuos, além de manter comunicação efetiva com as partes interessadas para garantir clareza e eficácia nas estratégias de tratamento de riscos. A melhoria constante desse processo também é recomendada.
A aplicação das normas ISO 31000 e ISO 31050 permite que as organizações desenvolvam uma abordagem robusta e adaptativa para a gestão de riscos de segurança, melhorando a prevenção, a resposta a incidentes e a resiliência organizacional.
7. Cultura de gestão de riscos
ISJ: Como as empresas podem desenvolver e manter uma forte cultura de gestão de riscos de segurança? Qual o papel da liderança neste processo?
Tácito Leite - Resposta 7: Desenvolver e manter uma forte cultura de gestão de riscos de segurança é fundamental para a eficácia e a sustentabilidade das práticas de segurança em uma organização. Este processo começa com o comprometimento da liderança, que deve atuar como o principal defensor da gestão de riscos, estabelecendo uma clara visão e diretrizes sobre a importância e a abordagem para a gestão de riscos de segurança.
Um passo crucial é a integração da gestão de riscos nas estratégias e nas operações diárias da empresa. Isso significa que a gestão de riscos não deve ser vista como uma função isolada, mas como uma parte integrante de todas as decisões e processos organizacionais. A liderança deve garantir que os riscos sejam considerados em todas as etapas do planejamento e da execução das atividades da empresa.
Para desenvolver uma cultura de gestão de riscos de segurança, é essencial investir em treinamento e conscientização. Todos os funcionários, independentemente do nível hierárquico, devem entender os conceitos básicos de gestão de riscos e como suas ações podem influenciar a segurança geral da organização. Isso inclui a formação contínua e o desenvolvimento de habilidades em gestão de riscos.
Outro aspecto importante é a comunicação e a transparência. A liderança deve promover um ambiente onde a comunicação sobre riscos seja clara, aberta e encorajada. Isso inclui não apenas a comunicação descendente dos riscos identificados pela liderança, mas também a comunicação ascendente, onde os funcionários se sentem seguros para reportar preocupações e observações sobre possíveis riscos.
Finalmente, é crucial estabelecer mecanismos de feedback e melhoria contínua. Isso implica em avaliar regularmente a eficácia das práticas de gestão de riscos e fazer ajustes conforme necessário. A liderança deve estar aberta para aprender com os erros e disposta a adaptar as estratégias de gestão de riscos com base nas lições aprendidas.
Em resumo, a liderança tem um papel fundamental no desenvolvimento e manutenção de uma cultura de gestão de riscos de segurança, através do comprometimento, integração da gestão de riscos nas práticas diárias, investimento em treinamento, comunicação efetiva e fomento de um ambiente de melhoria contínua.
8. Integração entre segurança e gerenciamento de riscos
ISJ: Como você vê a integração da segurança e do gerenciamento de riscos nas organizações? Como isso pode ser melhorado?
Tácito Leite - Resposta 8: A integração entre segurança e gerenciamento de riscos nas organizações é um aspecto crítico para garantir uma abordagem abrangente e eficaz na mitigação de riscos. Vejo essa integração como um processo contínuo, onde a segurança não é tratada isoladamente, mas como parte integrante da gestão de riscos da organização. Essa abordagem permite uma visão holística dos riscos, garantindo que todos os aspectos, incluindo os de segurança física, cibernética, de informações e operacionais, sejam considerados na análise e tratamento de riscos.
Para melhorar essa integração, as organizações devem adotar algumas estratégias:
A integração eficaz entre segurança e gerenciamento de riscos resulta em uma organização mais resiliente, capaz de responder de forma proativa a ameaças e desafios, protegendo assim seus ativos, reputação e pessoas.
9. Formação em gestão de riscos
ISJ: Qual a importância da formação contínua e da capacitação em gestão de riscos para profissionais de segurança?
Tácito Leite - Resposta 9: A formação contínua e a capacitação em gestão de riscos são cruciais para os profissionais de segurança, especialmente no contexto atual, onde os riscos emergentes e a rápida evolução do cenário de segurança representam desafios constantes. Em complemento à ISO 31000, a capacitação na ISO 31050, que aborda a gestão de riscos emergentes, é particularmente importante, pois equipa os profissionais com as ferramentas e conhecimentos necessários para identificar e gerenciar riscos que estão surgindo ou que ainda não são amplamente reconhecidos.
Além da familiaridade com normas e práticas atuais, é essencial que os profissionais de segurança desenvolvam uma visão estratégica alinhada aos objetivos da organização. Isso significa ser capaz de antever e planejar para riscos futuros, mantendo uma visão de futuro que identifique potenciais riscos e oportunidades antes que eles se materializem. Essa abordagem proativa é vital para garantir que a organização esteja preparada para enfrentar desafios desconhecidos e emergentes.
Outro aspecto importante da formação em gestão de riscos é o desenvolvimento de um pensamento financeiro baseado em ROI (Retorno sobre Investimento). Isso implica na capacidade de avaliar e argumentar sobre a implementação de controles de segurança do ponto de vista financeiro, demonstrando como as decisões de gestão de riscos podem contribuir para a eficiência econômica e para o alcance dos objetivos estratégicos da organização. A formação contínua em gestão de riscos também contribui para a criação e manutenção de uma cultura de riscos em toda a organização.
A formação contínua, portanto, não é apenas sobre manter os profissionais atualizados com as últimas tendências e regulamentações; trata-se de desenvolver uma mentalidade abrangente que integre conhecimento técnico, visão estratégica, capacidade de previsão e acúmen financeiro. Isso permite que os profissionais de segurança não só respondam aos riscos atuais, mas também antecipem e gerenciem eficazmente os riscos futuros, contribuindo significativamente para a resiliência e o sucesso a longo prazo da organização."
10. Futuro do gerenciamento de riscos de segurança
ISJ: Como você vê o futuro do gerenciamento de riscos de segurança em ambientes corporativos? Que tendências e inovações provavelmente moldarão este cenário nos próximos anos?
Tácito Leite - Resposta 10: O futuro do gerenciamento de riscos de segurança em ambientes corporativos está se encaminhando para uma abordagem mais integrada e tecnologicamente avançada. À medida que as organizações se tornam cada vez mais digitais e interconectadas, os riscos de segurança evoluem rapidamente, exigindo uma resposta ágil e inovadora. Há 20 anos já escrevia e anunciava a integração entre as áreas de segurança. Atualmente, prevejo que essa integração entre a segurança cibernética e a segurança física se tornará mais proeminente, com uma ênfase crescente na proteção de ativos digitais e físicos de forma holística. Foco na prevenção, continuidade de negócio e resiliência.
A adoção de tecnologias emergentes, como inteligência artificial, aprendizado de máquina e análise de big data, será fundamental para identificar, avaliar e mitigar riscos de segurança de maneira proativa. Estas tecnologias permitirão análises preditivas mais precisas e a identificação de padrões complexos, capacitando as organizações a antecipar e responder rapidamente a ameaças de segurança.
Além disso, espero que a conscientização sobre a importância da gestão de riscos de segurança continue crescendo, levando a um maior investimento em treinamento e desenvolvimento de competências nesta área. Isso incluirá não apenas a formação técnica, mas também o desenvolvimento de habilidades em pensamento crítico, análise de cenários e tomada de decisão estratégica.
A governança de riscos também se tornará mais centralizada, com o gerenciamento de riscos de segurança cada vez mais integrado à estratégia corporativa geral. Isso garantirá que a gestão de riscos seja um elemento fundamental na tomada de decisões em todos os níveis da organização.
Finalmente, a colaboração e o compartilhamento de informações sobre riscos de segurança entre diferentes setores e organizações ganharão importância. Essa colaboração será essencial para enfrentar ameaças comuns e desenvolver soluções coletivas para os desafios de segurança.
Em resumo, o futuro do gerenciamento de riscos de segurança em ambientes corporativos será marcado por uma maior integração de práticas, adoção de tecnologias avançadas, desenvolvimento contínuo de competências, centralização na governança e colaboração entre diferentes entidades.
Conclusão
Agradecemos por dedicar seu tempo à leitura desta entrevista com nosso CEO, Tácito Augusto Silva Leite, onde ele compartilha insights valiosos sobre a gestão de riscos na era moderna. Esperamos que as discussões e perspectivas apresentadas aqui inspirem e provoquem reflexões profundas sobre as práticas de segurança e gestão de riscos em seu próprio contexto profissional.
Convidamos você a continuar explorando e aprofundando seus conhecimentos em gestão de riscos acessando outros artigos e textos especializados em nosso blog, disponível em totalrisk.com.br/pt_BR/blog. Lá, você encontrará uma variedade de recursos que podem auxiliar no desenvolvimento de estratégias de gestão de riscos de segurança mais robustas e adaptadas às demandas atuais.
Além disso, continue acompanhando nossa página aqui no LinkedIn para mais atualizações, artigos e discussões sobre as últimas tendências e inovações no campo da gestão de riscos. Juntos, podemos avançar na construção de um ambiente corporativo mais seguro e resiliente.
Participe da conversa, traga suas experiências e aprendizados. Sua interação é fundamental para enriquecer ainda mais nossa comunidade de profissionais dedicados à excelência em gestão de riscos. Esperamos ver você em nossos futuros posts!
_____
Acesse a revista na íntegra clicando aqui!