Empresas de segurança têm como objetivo final garantir a proteção do patrimônio dos seus clientes. Isso é de extrema importância, pois garante que o cliente possa continuar suas atividades e atingir seus objetivos sem prejuízos ou danos graves. Porém, não quer dizer que se deva eliminar todos os riscos de danos à organização.
Dificilmente seria viável ou até possível proteger todo o patrimônio de uma organização de maneira igual ou eficiente. Assim, o mais recomendado é identificar quais são as prioridades. Ou seja: o que merece uma atenção maior da segurança.
Como se pode perceber, a resposta não é tão simples. É para isso que existe a gestão e análise de riscos. Ela olha para as prioridades do cliente, para as ameaças que aquele patrimônio sofre, e avalia quanto e como eles precisam ser protegidos.
Essa análise é importante tanto para fazer uma estratégia de segurança, quanto para justificar os investimentos na proteção.
O processo segue algumas etapas e métodos que explicamos a seguir
Identificação dos riscos
A identificação dos riscos é o primeiro passo para criar a estratégia de segurança. Para isso é preciso definir quais são os ativos da empresa que são mais relevantes para garantir a manutenção das atividades. Esses ativos podem incluir pessoas, infraestrutura, instalações, equipamentos, informações, atividades e operações. Essas informações dependem do tipo de empresa e das suas atividades. Por isso, as melhores pessoas para fornecerem essas informações são os gerentes e gestores.
A ameaça pode ser um evento isolado ou uma circunstância ou tendência. Eventos isolados são, roubos, assaltos, sequestros, espionagem ou incêndio. Já a circunstância ou tendência são, por exemplo, o aumento da criminalidade, o crescimento dos crimes cibernéticos, a localização da organização e a satisfação dos funcionários.
O processo de identificação de riscos também passa pela observação das vulnerabilidades da empresa. Deve-se olhar para como os ativos estão atualmente protegidos. Por exemplo, há segurança para os funcionários e executivos da empresa? Os equipamentos passam por manutenção preventiva, que evita danos súbitos? As instalações são asseguradas? Há um bom serviço de segurança das informações?
Com base nessas informações, é possível definir quais os riscos potenciais para a organização. A segunda etapa é analisar esses riscos, ou seja, identificar quais deles são mais críticos para a empresa.
Análise dos riscos
A etapa da análise dos riscos tem como objetivo determinar o que é mais ou menos crítico para a empresa. É a partir dessa análise que a empresa de segurança terá base concreta para argumentar a sua estratégia de ação e justificar o investimento.
Existem dois métodos principais para analisar os riscos: o Método Mosler e o Método Willian T. Fine. Ambos utilizam uma metodologia que combina uma avaliação subjetiva dos critérios com um cálculo que permite a priorização das ações de segurança.
Vamos a eles…
Método Mosler
O método Mosler avalia os riscos organizacionais com base no impacto que teriam caso se concretizassem e a probabilidade de acontecerem. Para cada um deles, há uma escala de 1 a 5 pontos, do mínimo ao máximo. Esses pontos são usados para fazer o cálculo de magnitude, probabilidade e grandeza do risco.
Os critérios são:
Função: caso o risco se concretize, o quão graves são as consequências negativas ou danos para a atividade principal da empresa?
Substituição: caso o risco se concretize e os bens sejam afetados, o quanto eles podem ser substituídos?
Profundidade: caso o risco se concretize, quais os efeitos para os funcionários e para a imagem da empresa?
Extensão: caso o risco se concretize, qual o alcance e extensão do dano na organização?
Agressão: qual a possibilidade de o risco ou dano acontecer?
Vulnerabilidade: caso o risco se concretize, qual o tamanho da perda financeira?
Os critérios de função, substituição, profundidade e extensão são usados para calcular a magnitude do risco. Já os critérios de agressão e vulnerabilidade definem a probabilidade do risco. A relação entre os magnitude e a probabilidade do risco é o que define a grandeza do risco. Quanto mais elevada, maior a necessidade de medidas de segurança.
Método William T. Fine
Assim como o Método Mosler, o Método Willliam T. Fine determina os riscos mais ou menos críticos da organização levando em consideração a gravidade do risco e a probabilidade de ele acontecer. O chamado grau de criticidade é avaliado com base em três fatores: consequência, exposição ao risco e probabilidade. Cada um tem um objetivo e parâmetros distintos:
Consequência: refere-se aos impactos mais prováveis caso o risco analisado venha a acontecer. Esses impactos são medidos em termos financeiros, ou seja, desde um prejuízo de “pequenos danos” até um “dano superior a 1 milhão de dólares”.
Exposição ao risco: analisa a frequência com que o risco costuma se manifestar na organização. É medida em tempo, ou seja, desde “remotamente possível” até “várias vezes ao dia”.
Probabilidade: é a real chance de o risco acontecer. Esse fator varia de “praticamente impossível de acontecer” até “espera-se que aconteça”
Para cada resposta dentro dos fatores há uma pontuação. Os pontos dos três fatores são multiplicados para definir o grau de criticidade do risco. Assim, é possível analisar, quantitativamente, qual risco merece maior atenção.
O Método William T. Fine também inclui uma Justificativa de Investimentos. Trata-se de uma fórmula que confronta o grau de criticidade do risco com os custos da solução escolhida para reduzi-lo e a real eficácia daquela solução. Essa fórmula busca encontrar um equilíbrio entre o investimento e a redução do risco para ver se aquele investimento realmente vale a pena.
Após a análise dos riscos, é feita a avaliação dos riscos em que se decide, finalmente, qual será o procedimento para cada uma das ameaças encontradas.
O que podemos concluir sobre a análise de riscos?
A análise de risco é um processo muito importante para mostrar o quanto o serviço de segurança é valioso. Ele ajuda a identificar quais são os reais riscos para uma organização e qual a dimensão das perdas, caso o risco venha a acontecer. Por isso, serve para formular uma estratégia de segurança e também para justificar os investimentos naquele serviço. Em uma empresa de segurança, é um processo essencial para fornecer aos clientes.