Skip navigation

Nós todos sabemos que existem uma série de definições de "risco" por aí, e a maioria de nossos colegas gravita em torno de uma definição que se relaciona com a probabilidade (ou frequência) e as consequências (ou magnitude da perda). Então, com esta definição em mente, vou fazer uma pergunta sobre algo que me incomoda já por um longo tempo – o que é "UM RISCO"? Da mesma forma, quais são os "RISCOS" (o plural de "risco")?
Se você consultar pessoas que lidam com o risco ou a segurança da informação (dentro ou fora do INFOSEC) e perguntar-lhes para listar os "riscos" chave no seu âmbito de responsabilidades, o resultado tende a restringir-se a este conjunto de respostas. Por exemplo, a lista que começa a partir de um profissional INFOSEC poderia ser algo como:
. Insiders
. Falta de conscientização do usuário
. Vazamento de dados
. Não conformidade
. Reputação
. Aplicações Web

Claro, por que realmente estes riscos são importantes, mas… 
Obviamente, se todas essas questões são dignas de interesse para uma organização, então qual é o problema? Bem, talvez nenhum. Se tudo o que você está procurando é uma lista de problemas que contribuem para o montante de risco de uma organização, terá em mãos uma lista parecida com esta e, provavelmente, está tudo muito bom. O problema vai aparecer quando se tentar medir, comparar e/ou dar prioridade a algum item da lista por (pelo menos) duas razões:

. Os itens não são o mesmo tipo de coisa – por exemplo, um grupo Insiders é uma ameaça, a falta de conscientização dos usuários é uma deficiência de controle, vazamento de dados é um tipo de evento de perda, não conformidade é uma condição, a reputação (dano) é um resultados e aplicações web são um tipo de ativo. Parece que sua macieira tem problemas com laranjas.
. Os itens da listas não são únicos ou isolados em sua contribuição para o risco. Em outras palavras, dois ou mais deles podem ser combinados de maneiras diferentes para descrever diferentes cenários de risco , com diferentes probabilidades e consequências. Como resultado, qualquer medida individual de significado em termos de risco não será válida.
A definição de risco mencionada acima implica uma medição de alguma sorte – ou seja, um par de valores (uma versão de probabilidade e consequência) – e ainda assim, usar os termos "risco" e "riscos" de uma forma que implica uma referência a um ou mais objetos ou "coisas" em vez de um valor.
Meus amigos, tenho testemunhado um monte de casos em que as pessoas têm tentado caracterizar os "riscos" em termos de probabilidade e consequência, e no final nunca dá certo porque os resultados ficam muito difíceis de defender, e logicamente, esta postura contribui para a noção que as pessoas tem de que lidar com o risco é sempre uma tarefa difícil. Minha experiência tem demonstrado que, uma vez que você começa a tratar com clareza a terminologia de risco, este tipo de confusão que vem de "RISCOS" se dissipa e os problemas se tornam muito mais fáceis para serem resolvidos e defendidos. Bom suco!
Um Abraço.

Anúncios
%d blogueiros gostam disto: