Nesse sentido, a gestão de riscos tornou-se a principal aliada das empresas, auxiliando-as na tomada de decisões e na identificação de oportunidades. Nas últimas décadas, diversas ferramentas e técnicas têm sido utilizadas para identificar, analisar, avaliar e tratar os riscos aos quais as organizações estão submetidas. Muitas delas, no entanto, são pouco práticas e de difícil compreensão e, com isso, são usadas incorretamente ou tornam-se obsoletas com o tempo (conheça aqui a nova NBR IEC 31010:2021 que aborda esses aspectos).
Uma técnica relacionada ao processo de avaliação de riscos, que permite um entendimento completo dos riscos, de suas causas e consequências e tem sido cada vez mais utilizada para aprimorar a gestão de riscos, é a Análise BowTie (BTA).
A BTA é uma representação gráfica simples usada para analisar e comunicar cenários de risco. A ferramenta leva o nome da forma criada pelo diagrama, similar a uma gravata-borboleta, e possui duas funções principais.
Um diferencial muito importante da Análise BowTie é a possibilidade de gerenciar a eficácia dos controles e comunicar aos responsáveis a melhor forma de tratar os riscos.
O exemplo a seguir mostra como esta técnica pode ser utilizada de forma simples para gerenciar riscos na área de segurança da informação (dentre tantas outras).
Um exemplo de aplicação da BowTie na segurança da informação
Atualmente, um número crescente de organizações tem se mostrado dependente de seus sistemas de TI. Muitos processos vem sendo automatizados ou gerenciados remotamente, e a proteção de dados e informações ganha cada vez mais importância para a sobrevivência dos negócios.
Não raramente, brechas na segurança da informação e falta de conscientização das pessoas sobre os riscos relacionados aos sistemas de informação possibilitam ataques de hackers, que se apropriam de informações confidenciais das empresas e de seus funcionários.
No diagrama abaixo, tem-se um exemplo de risco bastante comum na área da segurança da informação, detalhado com a aplicação da Análise BowTie.
Não raramente, brechas na segurança da informação e falta de conscientização das pessoas sobre os riscos relacionados aos sistemas de informação possibilitam ataques de hackers, que se apropriam de informações confidenciais das empresas e de seus funcionários.
No diagrama abaixo, tem-se um exemplo de risco bastante comum na área da segurança da informação, detalhado com a aplicação da Análise BowTie.
*Clique na imagem para expandir
NOTA: este diagrama foi traduzido e construído pelo QSP com auxílio do software BowTieXP da CGE Risk Management Solutions, a maior empresa de soluções para gestão de riscos baseadas na Análise BowTie.
O diagrama foi desenhado da seguinte forma:
• O evento de interesse ("Acesso não autorizado ao sistema de TI") foi representado pelo nó central da bowtie.
• As causas foram listadas do lado esquerdo do nó e unidas ao nó por linhas que representam os diferentes mecanismos pelos quais tais causas podem levar ao evento.
• Controles (ou barreiras) para cada mecanismo foram mostrados como barras verticais nas linhas.
• Do lado direito do nó, foram desenhadas linhas que partem do evento em direção a cada consequência potencial.
• Após o evento, as barras verticais representam os controles reativos ou barreiras que modificam as consequências.
Poderiam ter sido adicionados ao diagrama mais fatores que têm o potencial de causar falhas nos controles (fatores de intensificação), juntamente com os controles relacionados a esses fatores. Da mesma forma, poderiam ter sido mostradas as funções de gestão que suportam os respectivos controles (como treinamento e inspeção).
O software BowTieXP permite ir além, ajudando a definir o nível de criticidade de cada controle e mostrando os responsáveis por atuar em cada situação, bem como as ações a serem tomadas para monitorar a eficácia de cada controle.
* Veja aqui quais são os elementos de uma BowTie e como eles se relacionam.
Outras aplicações da Análise BowTie
A BTA pode ser utilizada em todas as situações que envolvam algum tipo de risco. No mundo corporativo, além da área da segurança da informação, diversos outros setores e projetos utilizam essa técnica para compreender melhor seus riscos e propor alternativas para tratá-los.
Vale destacar que a BTA, além de sua tradicional utilização para gerenciar riscos que podem ter consequências negativas (ou seja, perdas e danos), também pode ser empregada para gerenciar oportunidades ("combinação de circunstâncias que se espera que sejam favoráveis aos objetivos", segundo a nova NBR IEC 31010:2021). No entanto, devido à conotação negativa atribuída à maioria dos riscos, esta é uma característica ainda pouco explorada pelas organizações, mas que muito poderia auxiliá-las a vislumbrar novos caminhos para seu sucesso e crescimento.