Skip navigation

Suponha que você está se aproximando de um cruzamento e o semáforo fica amarelo. O que você faz? Desacelera e para, ou pisa no acelerador? A resposta para a maioria das pessoas, em última análise, é: "Depende". Qual é a minha velocidade? Qual é minha distancia até o cruzamento? Há alguém (carro, pedestre) perto de mim? Tem carro de polícia no cruzamento? Qual é a condição da pista? Eu estou com pressa para chegar ao destino? Estas são apenas algumas das considerações que passam como um flash em nossas mentes num momento – pelo menos algumas delas subconscientemente. Em seguida, é tomar uma decisão e agir sobre essa decisão.

Naquele instante, quando o semáforo muda de cor processamos uma notável quantidade de dados e analise de cenários usando qualquer modelo mental que tenhamos desenvolvido através da experiência e da educação. Em seguida, imediatamente aplicamos os resultados desta análise contra o nosso grau de tolerância para as diferentes categorias de risco que estão em jogo (saúde / segurança versus legal, etc.). Se os nossos dados e um modelo de avaliação estiverem razoavelmente completos e corretos, então provavelmente sobreviveremos a estes acontecimentos com uma probabilidade aceitável e magnitude pequena da perda ou prejuízo.

Esse “modelo mental” é uma construção que representa a nossa compreensão de como o conjunto de diferentes elementos no jogo nos levam a uma decisão. Se estiver faltando elementos no nosso modelo mental, por exemplo, o efeito das condições da pista em caso de gelo, sobre a nossa capacidade de parar, então é muito mais provável que a nossa decisão nos leve a um resultado indesejável. O mesmo é verdade se o nosso modelo contém elementos estruturais ou de relacionamentos errados ou imprecisos, por exemplo, a crença de que as estradas geladas melhoram nossa habilidade de frear um carro.

Quando somos confrontados com uma decisão a respeito da Segurança da Informação, também aplicamos um modelo. O modelo pode ser um modelo mental informal ou algo mais formal como FAIR, OCTAVE ou quaisquer outros frameworks. Portanto, a questão que quero colocar é: "Como é exatamente o modelo que estamos usando para representar o problema que estamos tentando entender?”.

Aonde e como os Modelos se encaixam?

Os modelos de risco estratégico desempenham papel importante na capacidade de uma organização para ser bem sucedida quando complementam as frases abaixo:

  • Nossas decisões de gestão eficaz se baseiam em…
  • A comparação efetiva entre as questões/opções que estão em jogo, que estão baseadas em…
  • A capacidade de medir as questões/opções de uma forma significativa, está baseada no …
  • Um modelo exato (compreensão) do problema e seus elementos serão utilizados em…

As premissas acima são verdadeiras, independentemente de você estar usando um modelo mental informal ou algo formalmente definido. Consequentemente, você não pode esperar gerir eficazmente um problema complexo se o modelo de base para a medição e comparação está impreciso ou partir de premissas falsas.

Um exemplo de como um modelo impreciso quase impacta negativamente na empresa onde eu atuava como Security Officer.

Nós tínhamos contratado uma empresa de consultoria especializada em Segurança da Informação para realizar um teste de penetração contra nós. Em algum ponto no desenrolar do exercício, chegou à minha mesa um analista da empresa, alegando que eles identificaram uma série de questões de "alto risco" que precisavam ser tratadas imediatamente. Dei uma olhada nessas questões, aplicado um teste mental rápido (aconselho a leitura do livro Blink – A Decisão num Piscar de Olhos, de Malcom Gladwell), e disse que eles estavam errados. Eu não acredito que nenhum desses problemas apresentados representa um nível de risco que resulte num impacto elevado para o negócio. Eles concordaram em sentar e analisar as questões comigo, para que pudessem me mostrar o erro do meu raciocínio. No entanto, depois que desmembramos todas as questões em detalhe usando a metodologia FAIR (Factor Analysis of Information Risk, em http://www.riskmanagementinsight.com), eles admitiram que nenhuma das questões eram realmente de alto impacto, merecendo uma resposta imediata.

A análise original (medição) realizada pela empresa de consultoria sobre as questões foi executada sobre um modelo impreciso do problema (risco). Esta medida levou a uma falha na comparação (imprecisão) dessas questões em relação a outras questões e prioridades da empresa analisada, o que teria resultado num efeito negativo significativo para o negocio.

Agora, por favor, não interprete isso como uma insatisfação ou reclamação de que as empresas de consultoria em Segurança da Informação não são confiáveis. Eles têm dezenas de pessoas brilhantes que realizam um trabalho fantástico. E, além disso, tenho certeza de que o cenário teria sido o mesmo em qualquer outra empresa, porque a empresa de consultoria fez uso de um método de avaliação muito comum no mercado. O ponto é, se o seu modelo está impreciso ou mal suportado pelas premissas do negocio avaliado, os resultados podem afetar significativamente a sua organização.

Existem MODELOS e “modelos”

A meu ver, existem três tipos de modelos utilizados comumente em nosso mercado.

  • Checklists (ISO, PCI, etc)
  • Modelos de Maturidade (SEI CMMI, CobiT, ISM3, etc)
  • Modelos analíticos (FAIR, OCTAVE, etc)

É uma questão de ponto de vista (tipo debate futebolístico) se os checklists se qualificam ou não como modelos. Não me importa do que eles são chamados, contanto que nós entendamos o eles são. Para mim, checklists são simplesmente um conjunto elementos de gestão de segurança e/ou de avaliação de risco que alguém acredita ser pertinente e importante naquele contexto. Vamos colocar alguns pontos: se você seguir um checklist qualquer, é melhor do que não seguir nenhum checklist; se você está procurando uma maneira rápida para responder perguntas tipo "estamos fazendo o tipo de coisas que deveríamos fazer" e testes de conceito, então use os checklists. Eles também são muito bons para comparar uma empresa com outra do mesmo segmento de mercado, ou mostrando o progresso , por exemplo, do ano passado em relação a este ano. A desvantagem dos checklists é que eles tendem a ser one-size-fits-all, não nos ajudam a priorizar, ou comparar as nossas opções, e eles não nos ajudam a entender por que os diferentes elementos de uma avaliação são importantes, ou como eles são importantes no contexto do negocio.

Modelos de maturidade tendem a se concentrar em medir a eficácia e melhoria de processos em uma base relativa – o que por si só já são dois objetivos muito uteis. O que eles não fazem é explicar o efeito prático de melhoria de processos – o "porquê melhorou" ou "quanto melhorou". Por conseguinte, semelhante aos checklists, modelos de maturidade não nos ajudam a priorizar, ou comparar as opções.

Os modelos analíticos (alguns podem chama-los de científicos) tentam descrever como as coisas funcionam. Se forem bem concebidos e bem utilizados, permitem obter a medida prática e útil de sistemas complexos (sistemas no sentido científico contra o sentido de TI), a explicação de causa e efeito, e em alguns casos mais sofisticados, o que se analisa. Em outras palavras – se você quer respostas para perguntas como:

  • Quanto risco nós temos?
  • Quanto risco teremos a menos que…?
  • Quais destes riscos são os mais significativos e por quanto tempo?
  • Qual das opções disponíveis de mitigação são os mais rentáveis em termos de custo/benefício?

… Então eu acho que os modelos analíticos são o melhor caminho a percorrer. Se, no entanto, eles forem mal concebidos ou mal utilizados, poderão muito facilmente levar a conclusões imprecisas e decisões erradas.

Passando a régua: todas as três abordagens têm suas vantagens e limitações. Para a maioria das organizações, uma combinação delas é a melhor aposta para a gestão eficaz dos riscos.

E já que estamos falando em riscos, Steve Dotson levantou uma questão muito boa em seu comentário em Lipstick – Parte 2. Parafraseando – ele me perguntou se organizações mais maduras são mais capazes de responder/analisar questões relacionadas com o risco. A resposta curta e direta é "provavelmente".: -)

Organizações com grau de maturidade mais elevado geralmente têm um quadro mais completo do mapa de risco – ou seja, elas provavelmente têm melhor visibilidade sobre quais são os seus ativos de informação, onde estão os seus bens, as condições de controle dos seus bens, cenários de ameaças, e as implicações da perda/prejuízo em caso de ocorrência de eventos indesejados. Este conjunto de informações fornece dados mais precisos para as análises, com mais confiança do que em organizações menos maduras. Dito isto, as organizações menos maduras ainda podem obter resultados precisos e úteis a partir de análises – muitas vezes apenas com menos precisão. E, tendo passado por uma análise, a organização mais madura obtém uma ideia muito clara de onde está suas fraquezas e vulnerabilidades no gerenciamento da sua informação, o significado dessas fraquezas e vulnerabilidades, e que pode ser feito para se proteger e prevenir contra as ameaças.

Maturidade organizacional também pode desempenhar um papel de ênfase numa organização, provavelmente no lugar de checklists contra modelos de maturidade versus modelos analíticos. Uma organização muito imatura pode dar ênfase à checklists, apenas para iniciar o movimento das coisas na direção certa. Eles só poderão utilizar modelos de maturidade para avaliar como se encontram hoje em alguns processos chave e daí definir metas preliminares de melhoria para estes processos . Eles também podem limitar inicialmente o uso de modelos analíticos somente para as principais decisões de alto impacto.

As organizações mais maduras almejam continuamente tornarem-se mais rentáveis e/ou continuamente estão criando novos business cases visando a melhoria contínua de seus processos de negocio. Análises de risco de boa qualidade podem tornar tudo isso possível. Falando da minha experiência pessoal de consultor neste assunto, se você só começa a tratar da sua Gestão de Segurança da Informação / Avaliação dos Riscos, quando a floresta está em chamas, vai ser muito difícil obter a atenção dos gestores do negocio para este assunto. E até mesmo algumas organizações avaliadas como "maduras" não têm suas diretivas de segurança/risco alinhadas, e ainda lutam para conseguir a atenção necessária da gestão para o assunto. Para essas organizações, se você for capaz de explicar o "porquê" e o "quanto" através de análises de risco, você já deu um passo muito importante na implementação dos processos necessários de gestão de segurança/risco. O outro lado da moeda é que entrar em argumentação com os gestores sem um mapa de riscos na mão pode corroer a credibilidade da sua área e tornar um futuro diálogo ainda mais difícil.

Anúncios
%d blogueiros gostam disto: