sexta-feira, 15 de abril de 2011

Lecture - 34 Project Quality Management

Fundamentals of Risk Management

Risk Management - Part 1

Risk Assessment

Engenharia Social, para obtenção de informações sigilosas.

A engenharia social é um dos meios mais utilizados de obtenção de informações sigilosas e importantes. Isso porque explora com muita sofisticação as "falhas de segurança dos humanos". As empresas investem fortunas em tecnologias de segurança de informações e protegem fisicamente seus sistemas, mas a maioria não possui métodos que protegem seus funcionários das armadilhas de engenharia social. A questão se torna mais séria quando usuários domésticos e que não trabalham com informática são envolvidos.
Uma definição aceitável do que é a engenharia social é a seguinte: engenharia social é qualquer método usado para enganação ou exploração da confiança das pessoas para a obtenção de informações sigilosas e importantes. Para isso, o enganador pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc.
Os ataques de engenharia social são muito freqüentes, não só na Internet, mas no dia-a-dia das pessoas. Mas, pelo fato do InfoWester ser um site ligado à computação, este artigo tratará apenas dos ataques que envolvem a Internet. Sendo assim, vejamos alguns casos comuns:
Vírus que se espalham por e-mail: criadores de vírus geralmente usam e-mail para a propagação de suas criações. Na maioria dos casos, é necessário que o usuário que receber o e-mail execute o arquivo em anexo para que seu computador seja contaminado. O criador do vírus pensa então em uma maneira de fazer com que o usuário clique no anexo. Uma dos métodos mais usados é colocar um texto que desperte a curiosidade do internauta. Assim, o texto pode tratar de sexo, de amor, de notícias atuais, etc. Um dos exemplos mais clássicos é o vírus I Love You, que chegava ao e-mail das pessoas usando este mesmo nome. Ao receber a mensagem, muitos pensavam que tinham um(a) admirador(a) secreto(a) e na expectativa de descobrir quem era, clicavam no anexo e contaminam o computador. Repare que neste caso, o autor explorou um assunto que mexe com qualquer pessoa.
Alguns vírus possuem a característica de se espalhar muito facilmente e por isso recebem o nome de worms (vermes). Aqui, a engenharia social também pode ser aplicada. Imagine, por exemplo, que um worm se espalha por e-mail usando como tema cartões virtuais de amizade. O internauta que acreditar na mensagem vai contaminar seu computador e o worm, para se propagar, envia cópias da mesma mensagem para a lista de contatos da vítima e coloca o endereço de e-mail dela como remetente. Quando alguém da lista receber a mensagem, vai pensar que foi um conhecido que enviou aquele e-mail e como o assunto é amizade, pode acreditar que está mesmo recebendo um cartão virtual de seu amigo. A tática de engenharia social para este caso, explora um assunto cabível a qualquer pessoa: a amizade.
E-mails falsos (scam): este é um dos tipos de ataque de engenharia social mais comuns e é usado principalmente para obter informações financeiras da pessoa, como número de conta-corrente e senha. Neste caso, o aspecto explorado é a confiança. Boa parte dos criadores desses e-mails são criminosos que desejam roubar o dinheiro presente em contas bancárias. Porém, os sistemas dos bancos são muito bem protegidos e quase que invioláveis! Como é inviável tentar burlar a seguranças dos sistemas bancários, é mais fácil ao criminoso tentar enganar as pessoas para que elas forneçam suas informações bancárias. A tática usada é a seguinte: o criminoso adquire uma lista de e-mails usados para SPAM que contém milhões de endereços, depois vai a um site de um banco muito conhecido, copia o layout da página e o salva em um site provisório, que tem a url semelhante ao site do banco. Por exemplo, imagine que o nome do banco seja Banco InfoWester e o site seja www.infowester.com. O criminoso cria um site semelhante: www.infoweste.com ou www.imfowester.com ou www.infowezter.com, enfim. Neste site, ele disponibiliza campos específicos para o usuário digitar seus dados confidenciais. O passo seguinte é enviar um e-mail à lista adquirida usando um layout semelhante ao do site. Esse e-mail é acompanhado por um link que leva ao site falso. Para fazer com que o internauta clique no link, o texto da mensagem pode, por exemplo, sugerir uma premiação: "Você acaba de ser premiado com 10 mil reais. Clique no link para atualizar seu cadastro e receber o prêmio". Como a instituição bancária escolhida geralmente é muito conhecida, as chances de que o internauta que recebeu o e-mail seja cliente do banco são grandes. Assim, ele pode pensar que de fato foi o banco que enviou aquela mensagem, afinal, o e-mail e o site do link tem o layout da instituição. Como conseqüência, a vítima ingenuamente digita seus dados e dias depois percebe que todo o dinheiro da sua conta sumiu! Repare que em casos assim, o golpista usa a imagem de confiabilidade que o banco tem para enganar as pessoas.
Quando a questão é e-mail falso, as possibilidades de enganação são grandes, pois as pessoas gostam de receber e-mails. Assim, mensagens falsas que dizem que o internauta recebeu um cartão virtual ou ganhou um prêmio de uma empresa grande são comuns. Independente do assunto tratado em e-mails desse tipo, todos tentam convencer o internauta a clicar em um link ou no anexo. A forma utilizada para convencer o usuário a fazer isso é uma tática de engenharia social.
Salas de bate-papo (chat): esse é um dos meios mais perigosos de enganação e costumam vitimar principalmente crianças e adolescentes. O perigo ocorre porque a conseqüência do golpe pode trazer danos físicos e morais à pessoa. Nas salas de bate-papo, os golpistas vão ganhando a confiança da futura vítima através da conversa. Por este meio, ele aos poucos vai convencendo a pessoa a fornecer seus dados, como telefone, endereço residencial, endereço escolar, etc. Um criminoso pode, por exemplo, entrar em uma sala de bate-papo para jovens e dizer coisas que convencem uma adolescente de 13 anos de que ele pode ser seu namorado perfeito. Ela então fornece seus dados ou marca um encontro na expectativa de ver seu "príncipe encantado". Outro exemplo pode ocorrer com um garoto que, não vendo a hora de ter sua primeira relação sexual, acredita na conversa de uma suposta garota bonita que está louco para conhecê-lo. Em ambos os casos, as conseqüências podem ser terríveis. Golpes assim também podem ser aplicados em adultos. Por exemplo, com uma mulher divorciada e que usa um chat esperando encontrar um novo parceiro.
Existem outros tipos de ataque de engenharia social além dos citados acima. A questão é séria e mesmo uma pessoa dotada de muita inteligência pode ser vítima. Só para dar uma noção da dimensão do problema, muitos hackers atingem seus objetivos através de técnicas de engenharia social. E tudo porque o humano é um ser que, ao contrário dos computadores, é constantemente afetado por aspectos emocionais.
A melhor arma contra a engenharia social é a informação. De nada adiante as empresas usarem sistemas ultra-protegidos se seus funcionários não tiverem ciência dos golpes que podem sofrer (repare que neste caso, os golpes de engenharia social podem ocorrer não só pela Internet, mas principalmente no próprio ambiente de trabalho). No caso dos usuários domésticos, os pais devem informar a seus filhos sobre os perigos existentes e de igual forma, devem tomar cuidado quando estiverem navegando na Internet.
O grande problema é que muitos internautas, independente da idade, estão "dando seus primeiros passos na Internet" e não têm noção dos perigos existentes nela. Muitos ficam maravilhados com a "grande rede" e tendem a acreditar em tudo que lêem nesse meio. Felizmente, muitos provedores de acesso à Internet e a mídia como um todo tem dado atenção aos golpes existentes na Internet e ajudado na divulgação das formas de prevenção. Mas ainda há muito a ser feito e se governos e entidades especializadas não levarem o assunto a sério, a Internet será tão perigosa quanto andar sozinho num lugar escuro e desconhecido

.

quinta-feira, 14 de abril de 2011

Cartilha de segurança para internet CHECKLIST MANUAL

Este checklist resume as principais recomendações contidas na Cartilha de Segurança para Internet. A numeração adotada neste checklist não possui relação com a adotada nas outras partes da Cartilha.


http://www.ebooksevangelicos.com/Cursos/Cartilha_Seguranca/cartilha-checklist.pdf

Segurança da Informação - O perigo vem de Dentro



Nos dias de hoje, todas as informações estão ou passam pelos computadores. Sejam elas dados sigilosos, informações de cliente, faturamento da empresa ou até uma simples conversa para combinar o jantar. Em um mundo tão globalizado e dinâmico, todos estes computadores estão em rede, sejam nas redes internas com aquelas que criamos em nossa empresa, ou conectadas a tão falada internet, a grande rede mundial de computadores interconectados.
Por isso é fácil para um usuário com algum conhecimento de informática invadir uma rede privativa e acessar dados sigilosos que deveriam estar guardados a sete chaves. Assim, empresas investem um bom dinheiro em programa que fecham as portas de entrada de suas máquinas (Os chamados firewalls) e em antivírus, programas infiltrados pelos invasores.
Existe também outro risco. Muito Informações consideradas sigilosas estão ao alcance de qualquer funcionário, deixado a possibilidade que tais dados sejam usados de forma indevida. E não é necessário ir muito longe, já que até mesmo as informações necessárias para o colaborador exercer a sua função podem ser utilizadas dessa forma.
Só que apenas isso não resolve. Pode parecer um contra-senso para alguns, mas o maior risco para os sistemas de Tecnologia de informação (TI) não são os invasores externos, mas os internos. Sim, o maior perigo vem de dentro da própria empresa.
Há casos de invasores que se valem da chamada engenharia social, que consiste do mais antigo truque para enganar alguém: Vale-se da boa vontade do usuário. Por isso é comum aquele já manjado e-mail que pede para clicar em algum link para abrir uma foto ou documento, mas que na verdade abre as portas do computador ao invasor. Para este perigo não bastam apenas os programas antivírus ou proteção contra invasões, mas sim a instrução de todos os funcionários para quem saibam como agir nestes casos.
Existe também outro risco. Muito Informações consideradas sigilosas estão ao alcance de qualquer funcionário, deixado a possibilidade que tais dados sejam usados de forma indevida. E não é necessário ir muito longe, já que até mesmo as informações necessárias para o colaborador exercer a sua função podem ser utilizadas dessa forma. Por isso, é necessário que o empresário invista em doa análise de Risco para que possam identificar as informações consideradas sigilosas, que as acessa, qual a ferramenta que existe para identificar estes acessos e mensurar o impacto do roubo da informação. Só assim haverá um tiro certeiro que protegerá os dados e tornará possível a identificação de um possível invasor.
Entre outras ferramentas de segurança, a análise de risco consiste em identificar todos os processos do negócio, verificando o funcionamento da empresa, como é feita essa operacionalização passam, que acessa os bancos de dados, incluindo uma identificação das informações sigilosas. Após esta primeira análise, é necessário também verificar quais dados estão vulneráveis e acessíveis a possíveis usuários maliciosos, ou até mesmo àqueles que podem soltar a informação acidentalmente, e quais os riscos que a empresa sofre. A partir daí são implantadas soluções como a proteção das informações e a identificação dos usuários.
Infelizmente, muitas empresas não percebem a necessidade do investimento em Segurança da informação. A pressão por resultados é muito grande e quase sempre é necessário que a empresa faça girar o capital e obtenha lucro o mais rápido possível, deixando os cuidados em segundo plano. Só que esse descaso pode ocasionar um bom prejuízo depois se informações sigilosas forem acessadas.
Um caso famoso, que ocorreu em meados de 2007 foi o de um administrador de banco de dados de uma empresa subsidiária da processadora de serviços financeiros FIS (Fidelity Natinal Information Services), que juntou dados de mais de dois milhões de pessoas cadastradas na corporação e os vendeu para companhia de marketing. Com os dados, um imenso maling contendo informações como nome, endereço, datas de nascimento, informações sobre contas bancárias e cartões de crédito foi criado e parcialmente revendido para outra empresa de marketing.
Mesmo que estas informações não sejam utilizadas para crimes, como certeza os clientes da FIS não ficam nada satisfeitos ao saber que seus nomes e telefones agora estão nas mãos de inúmeras empresas de marketing ativo.
Até empresas que trabalham diretamente na internet não percebem o perigo de algumas atitudes, que nem sempre são cometidas por má-fé. Em agosto de 2006, o site de busca Yahoo! Um dos mais antigos de rede liberou sem maiores cuidados uma lista de registro de buscas efetuadas no site durante três meses. Eram dados de centenas de milhares de assinantes, que foram disponibilizadas para pesquisa não-comercial, mas que estavam acessíveis para qualquer um. A situação foi tão crítica que dois repórteres do jornal norte-americano The New York Times conseguiram até localizar um desses usuários apenas com os dados divulgados pelo Yahoo!. Apesar das informações terem sido retiradas do ar rapidamente, é impossível calcular agora quantas pessoas em todo o mundo as acessaram e gravaram em suas próprias máquinas. Isto mostra como é importante saber o que fazer quando se trata de segurança.
Por isso é importante não ficar pra trás. A falta de segurança hoje pode trazer muita dor de cabeça amanhã.

Hugo Ferreira Leitão é especialista em segurança da informação, diretor técnico e fundador da Foco Security.

Palestra sobre Inteligência Estratégica na Segurança Corporativa

 Palestra sobre Inteligência Estratégica na Segurança Corporativa

EVENTO GRATUITO para os ASSINANTES DO JORNAL DA SEGURANÇA e alunos da
UNICID - Gratuito
Assuntos abordados:
 - Conceitos de Inteligência e Estratégia;
 - Aplicações de Inteligência;
 - A Inteligência a serviço das empresas;
 - A Inteligência Estratégica Integrada; 
 - A implantação da Inteligência Estratégica nas empresas

Palestrante: 
 Aureo Miraglia de Almeida, CES. Operador de Inteligência
Especializando em Inteligência Estratégica e Gestão de Crises 
Corporativas pela   Universidade Gama Filho; Graduado em 
Gestão de Segurança Patrimonial e Empresarial  pela Anhembi Morumbi; 
Especialista no Curso Avançado em Segurança Empresarial

  – Master Business Security - MBS pela Faculdade FECAP ; possui 
diversos cursos de Fraudes & Investigações Empresariais pela Faculdade 
FECAP; Security Officer - I.S.D.S. - Rehovot em Israel; Intelligence Operations - 
Condor - Herzliya em Israel; Analysis Risk Of Security Systems - Condor;
  é consultor de segurança e diretor executivo da Poliguard Risk Intelligence.

Data:

 
 28 ABR 2011 (QUI)
  Horário: 19:30 horas
  

 Local:
  Universidade Cidade de São Paulo – UNICID
  Bloco Alfa - Auditório Prof. Remo Rinaldi Naddeo
   Rua Cesário Galeno 448 – Vila Carrão – Duas   quadras da Estação Carrão do Metrô

  


Inscrições:
   As inscrições deverão ser feitas através do Jornal da Segurança
  Fone 3666-9893

  Formulário de inscrição

Palestra gratuita gestão de riscos - Processo de comunicação

Como proteger as organizações dos riscos Corporativos e acabar com as crises de comunicação, essa é o tema de mais uma palestra gratuita na FESP atenção vagas limitadas.


quarta-feira, 13 de abril de 2011

Palestra Gestão de Riscos na Cadeia de Logística com base na ISO 28000 e 28002.

Olá pessoal amanhã é a palestra Gestão de Riscos na Cadeia Logística  com base na ISO 28000 eu estarei lá, acredito ser muito interessante, obter maiores informações sobre esta nova ferramenta que vem para nos auxiliar a gerir riscos com segurança.

Shoppings podem ser responsabilizados por roubos em estacionamentos | Manaus | Acritica.com - Manaus - Amazonas

Com a aprovação do projeto, que tramita na ALE/AM, os proprietários dos estabelecimentos comerciais serão obrigados a prestar assistência médica, jurídica e financeira aos proprietários desses veículos.

Shoppings podem ser responsabilizados por roubos em estacionamentos | Manaus | Acritica.com - Manaus - Amazonas

CFA: registro para tecnólogo passa a ser aceito em novos cursos

Cursos foram incluídos na Resolução Normativa nº 374 que trata do Registro de Tecnólogo no Sistema Conselhos Federal e Regionais de Administração



Os profissionais graduados nos Cursos Superiores de Tecnologia em Transporte Terrestre, Informática para Gestão de Negócios; Segurança Pessoal e Patrimonial; Investigação e Perícia Judicial; e Saúde e Segurança do Trabalho já podem solicitar o registro profissional junto aos Conselhos Regionais de Administração (CRAs).

Os cursos foram incluídos na Resolução Normativa nº 374 que trata do Registro de Tecnólogo no Sistema Conselhos Federal e Regionais de Administração (CFA/CRAs). Uma das vantagens de ser um profissional registrado é ser reconhecido no mercado de trabalho como uma pessoa qualificada e apta a exercer a profissão. Além disso, contará com o respaldo do Sistema CFA/CRAs para proteger os diretos profissionais e pelo reconhecimento da profissão.


O diplomado em curso superior de tecnologia pode solicitar o seu registro no CRA do seu estado. Além dos documentos pessoais como identidade e CPF, o interessado precisa apresentar o requerimento de registro preenchido e o diploma de conclusão.


Contudo, é importante ressaltar que o curso esteja reconhecido pelo MEC. Para saber quais são eles, basta acessar o Catálogo Nacional dos Cursos Superiores de Tecnologia. Atualmente existem muitas opções de cursos tecnológicos na área de Administração aprovados como, por exemplo, "Gestão Financeira", "Gestão Pública", "Gestão de Cooperativa" e "Gestão da Qualidade".

METODOLOGIA PARA ELABORAÇÃO DE METAS DE REDUÇÃO DE PERDAS NO PLANO DIRETOR DE SEGURANÇA

 METODOLOGIA PARA ELABORAÇÃO DE METAS DE REDUÇÃO DE PERDAS NO PLANO DIRETOR DE SEGURANÇA

ANTONIO CELSO RIBEIRO BRASILIANO*

1. INTRODUÇÃO
O Plano Diretor de Segurança Empresarial – PDSE e ou um Plano Diretor de Gestão de Riscos Corporativos – PDGRC é um documento que deve fazer parte do Planejamento Estratégico das Empresas, onde seu primordial objetivo é levantar quais são os riscos corporativos, que podem, em caso de concretização, impactar as metas definidas pela corporação.
O Plano Diretor deve suportar a tomada de decisão da alta gestão, no que tange a forma como a empresa vai tratar seus riscos. Dentro deste enfoque o Plano Diretor trata somente dos riscos estratégicos, ou seja, aqueles que de fato podem prejudicar os fatores críticos de sucesso da corporação.
As empresas de hoje para obterem vantagem competitiva, devem buscar minimizar as ameaças ambientais e maximizar as oportunidades de mercado. Ou seja, a empresa tem de saber se adaptar rapidamente às mutações ambientais, sendo rápida e flexível. A essência da vantagem competitiva é a velocidade de decisão estratégica no menor tempo.
O Plano Diretor ajuda a empresa a manter a vantagem competitiva, tratando da melhor forma os riscos que prejudicam que comprometam a reação rápida da empresa e por sua vez sua respectiva vantagem competitiva.
Uma das fases da elaboração de um PDSE e ou PDGRC é a elaboração das metas de redução do impacto financeiro. Recordando as fases da elaboração, descrevemos abaixo, de forma reduzida o Método Brasiliano:
PRIMEIRA FASE - ELABORAÇÃO DE CENÁRIOS PROSPECTIVOS DE RISCOS
Esta primeira fase visa identificar variáveis externas da empresa, que possam trazer conseqüências negativas ou positivas à nossa empresa, tendo em vista a conjuntura macro de riscos.
Nesta fase elaboramos cenários específicos de riscos, procurando “levantar” rupturas de tendências. Quando isto acontece ou possui grandes chances de vir a acontecer, a empresa deve avaliar quais serão as ações que pode ser tomada para enfrentar ou tentar influenciar. Desta forma a empresa não fica passiva, podendo agir sempre de forma preventiva. Por esta razão é que a construção de cenários deve estar inserida no processo de planejamento de um gerenciamento de riscos.
SEGUNDA FASE – IDENTIFICAÇÃO DOS FATORES CRÍTICOS DE SUCESSO - FCS
Nesta fase realizamos o levantamento, junto ao planejamento estratégico da empresa, quais são os Fatores Críticos de Sucesso – FCS.
O conceito de FCS pode ser descrito: “como condições ou variáveis que, caso não sejam devidamente gerenciadas, podem causar um impacto significativo sobre o sucesso de uma empresa, considerando seu ambiente de atuação”.
Há a necessidade deste levantamento, pois devemos saber quais são as variáveis estratégicas que se forem afetadas por determinados riscos, estes irão prejudicar as metas empresariais, e por dedução sua vantagem competitiva.
TERCEIRA FASE - DIAGNÓSTICO
O diagnóstico é a fase do planejamento visando comparar as condições existentes preventivas, frente aos riscos que a empresa está exposta.
QUARTA FASE – LEVANTAMENTO DOS RISCOS E SUAS ORIGENS
Esta quarta fase é o levantamento dos riscos corporativos que a empresa possui e o porque, ou seja, as suas origens.
O estudo da origem do risco é saber porque a empresa se encontra exposta, pois entendendo sua origem podemos elaborar soluções e implantar sistemas integrados que sejam realmente preventivos.
QUINTA FASE – ANÁLISE DE RISCO
Esta fase possui duas sub-etapas: a primeira calculamos, através das variadas metodologias existentes, a probabilidade do risco acontecer. Na segunda estudamos e calculamos o impacto financeiro que estes, independente de sua probabilidade, causam na empresa e nas suas metas.
Ao levantar a probabilidade de ocorrência e seu respectivo impacto financeiro, temos com sua multiplicação (Pb x Impacto R$) como resultado a Perda Esperada – PE.
A perda esperada – PE equilibra o impacto financeiro com sua probabilidade, sendo esta o limite de investimento na prevenção de riscos.
SEXTA FASE – MATRIZ DE VULNERABILIDADE
Nesta fase elaboramos a matriz de vulnerabilidade, onde será cruzado o impacto financeiro no negócio, por risco e sua probabilidade de concretização. O resultado da matriz de vulnerabilidade é o grau de criticidade, ou seja, qual é a priorização que a empresa deve tratar cada risco, frente à perda esperada de cada risco.
A matriz é dividida em quadrantes e para cada quadrante que o risco estiver locado, há uma forma como a empresa deve tratar aquele risco, ou seja, a matriz prioriza o tratamento de cada risco.
SÉTIMA FASE – POLÍTICAS DE RISCOS
Com base nos resultados das Matrizes, Vulnerabilidade, sugere-se nesta fase a política de risco, ou seja, de como a empresa deve lidar com cada ameaça. A política de riscos cria parâmetros, que irão aumentar a agilidade e rapidez nas respostas e ações do gerenciamento de riscos.
OITAVA FASE - SOLUÇÕES ESTRATÉGICAS
Em seguida elabora-se a Solução Estratégica (SE), com base na política e na perda esperada. A Solução Estratégica é o conjunto de medidas organizacionais, sistemas técnicos de prevenção e monitoração, recursos humanos que gerenciarão os riscos. A solução estratégica é elaborada com base na experiência do departamento de gerenciamento de riscos, seja ele próprio ou terceiro, projetando também os investimentos necessários para a implantação.
NONA FASE - METAS
Elabora-se nesta nona fase as metas a serem atingidas, não por tipo de risco, mas sim por solução estratégica. Esta engloba a empresa como um todo e seus respectivos riscos. As metas são as reduções das perdas esperadas, tendo em vista a implantação de sistemas e medidas. São expressas em percentuais e são projetadas com base na experiência, histórico, lógica e conjuntura.
DÉCIMA FASE – ANÁLISE DO INVESTIMENTO
Com base nas metas, faz-se a relação custo x benefício, utilizando-se a técnica do Valor Presente Líquido – VPL. Este método financeiro utiliza a taxa de oportunidade, que é uma técnica de impor a empresa uma taxa de mercado, além do real do projeto. É o preço que o projeto deverá pagar. A VPL pode ser calculada em semanas, meses ou anos, dependendo dos objetivos da empresa e do tipo de riscos que a corporação possui.  
Esta fase demonstra onde a empresa pode ganhar, em termos de redução de risco e, após sua implantação poder-se-á obter uma fotografia da posição de cada risco na matriz de vulnerabilidade.
DÉCIMA PRIMEIRA FASE – PRIORIZAÇÃO E CRITÉRIOS DE CONTROLE E AVALIAÇÃO
A última fase do PDGRC é a priorização dos riscos a serem tratados e os sistemas a serem implantados, tendo em vista a matriz de vulnerabilidade. É nesta fase também que elabora a forma que o projeto pretende monitorar os resultados e acompanhar a evolução de cada risco.
2. OBJETIVO DE REDUÇÃO
Os objetivos de redução são nossos alvos a serem atingidos e perseguidos. Dentro de uma estrutura empresarial todos os departamentos recebem suas metas, que é uma forma de controlar e motivar os colaboradores, que serão cumpridas durante um determinado período.
A gestão de riscos corporativos e a segurança empresarial, hoje em dia em função da dinamicidade do mercado, também recebem suas metas, alicerçadas nos objetivos financeiros da empresa.
O estabelecimento destes objetivos devem ser bem definidos e mensuráveis, por esta razão que o objetivo de cada risco deve ser “quantitativo”. Através de critérios quantitativos o gestor de riscos poderá identificar e selecionar os pontos considerados críticos para monitorar, visando adequar as soluções estratégicas durante o período avaliado.
Devemos nos preocupar em evitar sugerir objetivos qualitativos como forma de parâmetro, pois desta maneira fica difícil à empresa poder medir de forma prática a eficácia da gestão de riscos. Só a título de exemplo, se uma empresa dedica-se à distribuição de mercadorias atrativas para roubos, um objetivo qualitativo “indefinido” pode ser: "Proporcionar segurança efetiva - minimizar o roubo da carga - com a incorporação da mais moderna tecnologia.”
3. OBJETIVOS QUANTITATIVOS
A base de cálculo deve ser a redução efetiva da perda esperada por evento estudado e levantado. Recordamos que a Perda Esperada – PE é o resultado da multiplicação entre a Probabilidade – Pb do risco vir a acontecer versus seu Impacto Financeiro – If (Pb x If = PE).
Dentro desta visão o gestor de riscos deve levantar qual o grau de criticidade que cada perda esperada de cada risco impacta sua empresa. Este levantamento deve estar alicerçado na classificação que a empresa possui, quanto ao impacto financeiro.
Podemos citar como exemplo uma empresa com a seguinte classificação de impacto: CLASSIFICAÇÃO
IMPACTO EM R$ - ANO
Nenhum
00,00 a 30.000,00
Nenhum a leve
Maior que 30.000,00 até 200.000,00
Leve a moderado
Maior que 200.000,00 até 2.500.000,00
Moderado a severo
Maior que 2.500.000,00 até 7.000.000,00
Severo a Catastrófico
Maior que 7.000.000,00 até 20.000.000,00

Dentro da tabela de criticidade o gestor de riscos reduz as perdas esperadas até o nível de moderado e leve para todos os riscos. Desta forma a área de riscos possuirá seu objetivo de redução de forma clara, utilizando a fórmula da Perda Esperada – PE: Pb x IF, e aplicando a regra de três identificamos as metas quantitativas. Lembramos que o impacto financeiro não muda, pois no geral estamos mitigando os riscos, reduzindo a probabilidade de concretização. As metas devem ser, sempre, pois não existe risco que não seja mensurável, expressas de forma quantitativa e tendo como fator de redução à perda esperada.
Podemos exemplificar a elaboração de metas de redução de perdas seguindo a tabela abaixo: RISCOS
Probabilidade
Impacto em R$
Perda Esperada em R$ - Pe
Classificação
Da Perda Esperada
1. Assalto
60%
500.000,00
300.000,00
Moderado
2. Incêndio
98%
35.000.000,00
29.400.000,00
catastrófico
3. Fuga de Informação
80%
7.000.000,00
5.600.000,00
Moderado
4. Roubo de Carga
100%
7.000.000,00
7.000.000,00
Moderado

Utilizando a fórmula da PE e aplicando a regra de três temos o objetivo de redução igual a divisão entre a nova perda esperada dividida pelo impacto financeiro.
Nova PE em R$
Objetivo de Redução em % = ___________________
If em R$
Podemos exemplificar, utilizando a tabela de riscos acima e tendo como objetivo trazer as perdas esperadas para os níveis leve e ou moderado.
1. Assalto
R$ 200.000,00
Pb = __________________= 0,40 = 40%, ou seja a redução foi de 20%, pois a Pb
R$ 500.000,00 original era de 60%.
2. Incêndio
R$ 600.000,00
Pb = __________________= 0,02 = 2%, ou seja a redução foi de 96%, pois a Pb
R$ 35.000.000,00 original era de 98%.
3. Fuga de Informação
R$ 700.000,00
Pb = __________________= 0,10 = 10%, ou seja a redução foi de 70%, pois a Pb
R$ 7.000.000,00 original era de 80%.
4. Roubo de Carga
R$ 900.000,00
Pb = __________________= 0,13 = 13%, ou seja a redução foi de 67%, pois a Pb
R$ 7.000.000,00 original era de 80%.
4. CONCLUSÃO
Com base nesta redução é que o gestor de riscos poderá realizar sua análise de investimento. Não podemos esquecer que a receita da área de gestão de riscos corporativos, um de seus elementos é a não perda, ou seja, a redução passa a ser uma receita a ser colocada no fluxo de caixa do departamento.
Com base na classificação e tendo as respectivas perdas esperadas o gestor de riscos e a área financeira projetaram as reduções.  
O exemplo dado está dimensionado para um ano, podendo ser dividido em meses ou trimestres, de tal forma que o gestor de riscos possa implantar metas crescentes ao longo do período estudado.
Segundo nossa experiência, esta formatação é a melhor maneira de demonstrar a alta gestão da empresa quais serão os ganhos financeiros com a prevenção de perdas. A empresa passa a ter uma visão de receita e não mais só de gasto com a mitigação de riscos.
A gestão de riscos passa a ter outra imagem, focada no negócio da organização, integrando seus objetivos, políticas e soluções, alicerçadas cientificamente com a análise de riscos.