Skip navigation

Quando você estiver no negócio da Segurança de TI há tanto tempo quanto eu estou, você começa a perceber alguns modismos e conclui que este movimento pode ser descrito como pendulo. Por muito tempo, a segurança era “a bola da vez” no mercado. Todos queriam ser CSO; as empresas injetavam capital provindo de seus orçamentos na criação dos Security Officers e manutenção de seus cargos e equipes, e estes eram considerados os xerifes da empresa, com poderes quase ilimitados sobre pessoas, tecnologia e processos.

Então, em determinado momento da historia, os CFOs começaram a questionar todo este “investimento” em Segurança da Informação. Os CEOs descobriram que suas empresas não estão mais seguras agora do que estavam há cinco anos passados. Se qualquer evento acontecesse, eles se sentem inseguros na condução do Negocio. Nós, como a própria indústria, tornamo-nos enamorados com a tecnologia e esquecemo-nos de focalizar em como a Segurança da Informação pode afetar os objetivos da organização. Finalmente, o grande impacto que nós sofremos como os profissionais da Segurança da Informação têm a ver com o dinheiro: Ou nós agregamos valor ao negocio ou nós somos perdulários com o dinheiro dos acionistas.

Agora o pêndulo está balançando para o Risco. Nosso foco mudou de eliminar vulnerabilidades ou ameaças; agora estamos pensando em mitigação de riscos. Por quê? Porque o risco pode ser determinado por métricas financeiras/econômicas, e como eu mencionei antes, para os executivos, tudo no Negocio deve ser baseado sobre o assunto dinheiro.

Os CFOs, acionistas e investidores querem – com razão – ver nosso trabalho de forma quantificada. Nós dizemos que nós temos o risco “reduzido, mitigado, sob controle”, mas o que exatamente isso quer dizer? Como se fala a linguagem do risco com os executivos? Acho que a coisa mais difícil para nós, profissionais de Segurança e de Risco precisamos aprender, é como quantificar o que fazemos.

Tradicionalmente, a equação do risco é “Risco = Perda x Ameaça x Freqüência” onde:

  • Perda é o valor financeiro/econômico do capital perdido devido a uma falha de segurança;
  • Ameaça é a probabilidade que um evento indesejado aconteça;
  • Freqüência é como frequentemente tal evento aconteceria.

Alguns modelos do risco apregoam que faz o sentido a Avaliação de Riscos nos recursos e ativos chaves, e no trabalho necessário para reduzir a ameaça ou a freqüência do evento. Alguns frameworks foram desenvolvidos para modelar e quantificar o risco, entre eles o OCTAVE e FAIR:

  • OCTAVE — Como descrito em seu site, a Avaliação de Riscos em Ativos Operacionalmente Críticos (tradução minha), ou OCTAVE, foca na mitigação do risco organizacional e estratégico da empresa, balanceando o risco operacional com as praticas de Segurança da Informação somente para reduzir o risco sobre os ativos mais importantes da empresa. É focado em ativos e pode ser implementado pela própria empresa, com necessidade de suporte terceirizado ou especializado somente para explicar o processo.
  • FAIR – Factor Analysis of Information Risc (Análise do Fator de Risco da Informação) é uma metodologia focada no entendimento, analise e medição do risco da informação. Isolando os fatores que compreendem o risco, se mede, simula e analisa o que poderia acontecer através de um número de cenários do risco, a partir daí a metodologia fornece um contexto favorável para discutir o risco em uma organização.

Despender recursos financeiros para construir um modelo do risco pode não ser o melhor uso dos recursos (tempo, pessoal, tecnologia) de uma organização. A realidade é que quase toda abordagem de modelagem de riscos força você estimar algo baseado em premissas que por sua vez estão baseadas em estimativas. Nossa, isso parece como construir a casa no brejo!

Você necessita entender que os números são apenas números. Sério, o número do risco pode ser 25 ou poderia ser 125.000, não importa. O que realmente importa é se a organização pode trabalhar com uma métrica consistente aos objetivos do Negocio e que podemos exibir melhorias ao longo do tempo. Não existe precisão na quantificação do risco, estamos falando o tempo todo sobre medir o risco relativo.

Os muitos fanáticos (ou beatos) do risco acreditam que é possível recolher uma grande quantidade de dados para trabalhar uma tendência boa para números de Freqüência e de Ameaça. Eles apregoam que o pessoal que trabalha com seguros faz isso: porque não nós também? Os agentes sabem que eu cometerei 3,7 acidentes de carro em minha vida baseada nos locais por onde eu dirijo, que tipo do carro eu tenho e a demografia geral de onde eu resido. Nós, da Segurança da Informação, entretanto, não temos esta quantidade e tipos de dados disponíveis, nem temos orçamento para tentar obtê-los.

O ponto real aqui é que o risco é um meio para se chegar num fim. O foco deve estar em porque você está calculando realmente seu risco. É para obter capital para uma nova iniciativa? É para ajustar processo para que a organização possa realizar uma mudança? Eu recomendo fazer menos modelagem a fim conseguir seus objetivos e começar a executar. Calcular risco ao grau “N” não vai manter seu desastre longe de casa.

O que os gestores de segurança devem esforçar-se por obter é uma idéia relativa do risco em cada sistema principal do negócio. E qualquer um que atua na área da segurança da informação sabe quanto vale um sistema (principal ou secundário), quais são os mais importantes e quais são seus riscos potenciais. Estou falando de TI como exemplo, mas podemos estender este raciocínio para riscos estratégicos, financeiros, negocio, operacionais… vamos, abram suas mentes.

A modelagem do risco fornece ao grupo e à gerência da segurança da informação uma metáfora comum para se discutir quais os investimentos necessários para evitar riscos. Ponto. Falando em termos do negócio, podemos dizer: “se nós realizarmos tal investimento, podemos reduzir a probabilidade de um evento ruim acontecer aqui em tantos pontos percentuais.” Os executivos examinarão seus números e, se acreditarem (confiarem) em você, então você terá a verba aprovada.

Para finalizar, não caia na armadilha de pensar que a Gestão e a quantificação de Riscos são a salvação para resolver todos os seus problemas. A Gestão e a quantificação de Riscos permitem que a segurança seja discutida em uma linguagem que os executivos de negocio compreendam, e nisso – definitivamente – já há valor agregado! Nenhuma modelagem de Riscos irá nos ajudar enquanto nós, profissionais da Segurança da informação, estivermos trabalhando somente para apagar incêndios.

Anúncios
%d blogueiros gostam disto: