FATO, métricas não quantificam o risco da informação.

A vertical de mercado que põe mais pressão em seus profissionais de segurança é a do setor financeiro. A exigência dos executivos de negocio é para você quantificar os riscos da informação e o grau de exposição a que a informação está submetida.

Por quê? Nenhuma outra vertical de mercado sabe mais sobre riscos do que a vertical de serviços financeiros, e vocês, profissionais de segurança da informação, são permanentemente pressionados para trabalhar com mais rigor no âmbito da segurança da informação. No entanto, até o momento, as tentativas para se atender este nível de exigência tem sido, na melhor das hipóteses, (desculpe) medíocres.

Muitos dos modelos utilizados para se quantificar o risco da informação estão baseados em estimativas de modelos de estimativas (não está repetido, é isso mesmo!). A precisão é sempre mais um desafio que uma meta, e existe uma corrente de profissionais (colegas nossos) que acreditam que o verdadeiro risco de negocio não pode ser quantificado porque o que realmente está prejudicando o negocio é classificado como desconhecido por vocês, especialistas no assunto (ou então teríamos pelo menos uma resposta para cada um destes riscos).

É claro que se você estiver trabalhando no mercado financeiro, deve estar me considerando um cético, mas o fato é que no fundo você não está convencido de que realmente pode quantificar o risco da informação, mas também ainda precisa ser convencido de que não pode.

Acompanhe-me no raciocínio: Porque as grandes inteligências do mercado, com seus complexos modelos de risco, não conseguiram prever o estouro da bolha da internet? E o que dizer do desenrolar da festa de crédito fácil no fim de 2008? Se por um lado, o negativismo (ou pessimismo, como queiram) é ruim para o negócio, até aqueles especialistas respaldados por suas métricas foram pegos de surpresa (foram mesmo?), porque prever algo bom é que nem falar sobre a beleza de uma mulher atraente, ou seja, previsão sem embasamento é um exercício fútil e inútil.

O cisne negro Eu li “O Cisne Negro”, publicado em 2007 pelo ensaísta e pesquisador libanês radicado nos Estados Unidos, Nassim Taleb. Ele possui este título porque, até o ano de 1697, os cientistas acreditavam que existiam apenas cisnes brancos, mas neste ano que descobriram um cisne negro na Austrália.

Nassim define no livro que o cisne negro é um acontecimento improvável e que depois do ocorrido, as pessoas procuram fazer com que ele pareça mais previsível do que ele realmente foi. No livro Nassim escreve que é impossível tentar antecipar e prever o futuro, já que aquilo que conhecemos é muito menor em relação ao que não conhecemos. Ele também explica como uma pessoa deve lidar com eventos inesperados em um mundo imprevisível e que elas tenham a consciência e aceitem que esses eventos acontecerão numa hora ou noutra.

Nassim também usa alguns exemplos históricos para ilustrar os cisnes negros, como o atentado de 11 de setembro ao World Trade Center. Este tipo de acontecimento possui três características principais: é imprevisível, causa um impacto enorme e depois de ter ocorrido surgem frequentemente diversas explicações que tentam afirma-lo como menos aleatório e mais previsível do que na realidade é. Segundo Nassim, não temos consciência prévia destes fenômenos, dado que os seres humanos estão programados para aprender coisas especificas e não pensar em generalidades. Assim não conseguimos avaliar claramente as oportunidades, nem somos suficientemente abertos para fazermos fé naqueles que conseguem imaginar o impossível.

Fechando este parênteses, muito do que se discute, como a natureza da incerteza, tem a ver com o que estamos discutindo sobre métricas de segurança. Na ausência de um modelo preditivo verdadeiramente relevante, os especialistas passam muito tempo criando indicadores para todo tipo de riscos. A boa notícia é que existem muitos indicadores de riscos para contar, mas isso não significa que devemos contar todos eles.

Gente, eu não estou acusando as sofisticadas abordagens de modelagem de risco nem indo contra outras abordagens quantificativas como a FAIR (FACTOR ANALYSIS OF INFORMATION RISK). Para empresas conscientes de que suas informações são importantes e necessitam ser protegidas, modelos como este podem ser uteis. Eu estudei FAIR e conheço o mercado para pensar que menos de 5% das instituições financeiras se enquadram nesta categoria. Desculpe se a pedra quebrou sua vidraça, mas antes de implementar sofisticados modelos de gestão de riscos, um pouco de bloqueio e combate faz bem e mostra serviço mais rápido.

Eu considero o uso de métricas em três categorias:

1. Relevância para o Negocio

Estes riscos são mais qualitativos do que realmente quantitativos, mas podem ajudar aos executivos entenderem como e onde você está investindo seu tempo. A idéia aqui é fazer uso destas métricas para ganhar credibilidade e mostrar que você está no controle do programa de segurança. Aqui não se busca a excelência em registros operacionais; faremos isso mais abaixo.

Seu conjunto de métricas deve incluir o tempo de inatividade devido a problemas de segurança, numero de dispositivos reinicializados após a ocorrência de um incidente, percentagem de código de programação que teve de ser revisado, etc. Lembre-se de que os executivos não querem saber dos detalhes mórbidos do incidente, a menos que explicitamente queiram. Geralmente, o que eles querem mesmo, é que você de uma pincelada do que você fez nas áreas atingidas pelo evento.

2. Resposta a incidentes

É aqui que a cobra torce o rabo porque, como você, profissional de segurança  responde a um incidente, tem tudo a ver com a manutenção do seu emprego amanha. Todos nós sabemos que incidentes acontecem, mas seu trabalho é conter os danos e reduzir a sobrecarga de responsabilidade que vai recair sobre a empresa. Claro que podemos fazer alguma coisa para prevenir que algo aconteça, mas quando acontecer você precisa saber o que fazer quando o numero do indicador aparecer na mesa do executivo de negocio, e o que conta agora é o valor que vai ser atribuído a este numero, mais do que sua capacidade de resposta e do fato de que você deu o melhor de si para mitigar aquela situação.

As métricas aqui incluem o tempo médio para resolver um incidente, custo médio de um incidente, etc. Sob o ponto de vista de tendências, sua vontade é poder apresentar curvas decrescentes de tempo médio de resposta e custo médio de um incidente na medida em que você ganha experiência no assunto. Claro, você deseja também que o numero absoluto de incidentes decaia, mas, sejamos realistas… esquece, nunca vi isso acontecer!

3. Métricas Operacionais

Em última analise, grande parte do tempo de um profissional de segurança é dedicado a realizar as coisas que se ele sabe que funcionam. Por exemplo, instalando configurações de segurança em estações e servidores, instalando patches e hotfix (e isto toma muito tempo), monitorando redes e sistemas, etc. Reiterando o que eu escrevi acima, estas métricas são operacionais em sua natureza e prestam-se a fornecer indicadores cuja tendência deve ser melhorar ao longo do tempo.

Entenda que esse conjunto de métricas é para você, não para eles, os executivos. Sua gestão de negocio não se importa se você levou dois ou três dias para solucionar um problema com os servidores, contanto que nenhuma informação tenha sido exposta ou perdida. Essas métricas são úteis sim, mas para melhorar o seu desempenho e sua eficiência. Já que temos que fazer essas coisas, pelo menos vamos fazer bem feito.

Me diga, como você “vende” estes tipos de métricas para os executivos de negocio? Será que eles estão interessados em ver seus sofisticados e complicados modelos de risco tal como admiram os modelos comerciais de negocio, por exemplo? Como é que os fundamentos de seu atual programa de segurança podem competir com métricas orientadas ao negócio?

Respostas:

Os executivos de negocio tem de acreditar e confiar em você, e você só vai ganhar esta credibilidade fazendo aquilo que se comprometeu a fazer para proteger a informação deles. Se você cometer erros, será descoberto em pouco tempo (tal como seu antecessor foi), mas se fizer a coisa certa ganhará a credibilidade de seus gestores, poderá melhorar seu conjunto de métricas para apontar os riscos realmente importantes para o negocio e não apenas indicadores para serem apresentados.

Lembre-se, tudo é baseado em credibilidade. Credibilidade se constrói com qualidade de serviço, não com quantidade de indicadores.

Anúncios