Cybersecurity e Boas Práticas

5 etapas para avaliação quantitativa de riscos com o Open FAIR™

Neste artigo abordamos como o processo de avaliação de riscos do Open FAIR™ pode ser usado para medir e gerenciar riscos de maneira quantitativa, usando seu modelo de fatores em camadas e análise baseada em métodos estatísticos. Este processo encontra-se descrito com detalhes no documento Análise de Riscos (O-RA) do Opengroup que em conjunto com a Taxonomia de Riscos (O-RT) compõe o Body of Knowledge do Open FAIR™.


Segundo a ISO 31000, o processo de avaliação de riscos engloba a identificação, análise e avaliação dos riscos que podem afetar a realização dos objetivos de uma organização.


Conforme o documento, elementos fundamentais de uma abordagem de análise de riscos são:


  • definição do escopo com a identificação e caracterização clara dos ativos, ameaças, controles e elementos de impacto no cenário de risco que está sendo avaliado.
  • compreensão do contexto organizacional, incluindo as expectativas e considerações das partes interessadas.
  • estimativa dos vários fatores de riscos utilizando uma taxonomia lógica e bem definida.
  • cálculo dos riscos com base nas estimativas dos fatores de riscos.


Neste sentido, a metodologia do Open FAIR™ é composta de 5 etapas fundamentais:


  1. Identificar o Cenário de Perda (Escopo da Análise)
  2. Avaliar a Frequência do Evento de Perda
  3. Avaliar a Magnitude de Perda
  4. Derivar e Enunciar o Risco
  5. Modelar o Efeito dos Controles


Assim, como primeira etapa, deve-se identificar um cenário de perda, descrevendo uma "história" definida como uma frase a partir da perspectiva de uma parte interessada primária - geralmente o proprietário do ativo identificado.


um agente de ameaças viola ou prejudica um ativo de informação, causando um evento de perda perceptível que tem consequências econômicas diretas (perda primária) e pode ter consequências econômicas iniciadas por reações de outros (perda secundária)






Agente de Ameaça é a pessoa, lugar ou qualquer coisa capaz de realizar uma Ameaça contra os Ativos de maneira que resulte em uma Perda. No caso da segurança da informação, ao violar ou prejudicar os ativos ocasiona uma perda relacionada com a confidencialidade, integridade ou disponibilidade da informação.


Cada organização pode criar sua própria lista de ameaças e reutilizar em várias análises de riscos, baseadas em características comuns tais como motivo, objetivo, método de acesso, tolerância ao risco pessoal e visibilidade desejada.


Estas ameaças podem ser de vários tipos, incluindo ameaças maliciosas (pessoas ou grupos com intenções prejudiciais, como roubo ou sabotagem), erros (atos não planejados que resultam em danos, como digitar um comando errado em um teclado), falhas (que resultam em consequências não intencionais, com processos ou sistemas não tendo o desempenho esperado) e naturais (resultantes de eventos da natureza, como tempestades ou terremotos).


Um Cenário de Perda deve ter também sua consequência avaliada, considerando o custo econômico direto associado (Perda Primária) a perda, e ainda o eventual impacto indireto em perdas adicionais resultante de ações de Partes Secundárias como notificação de violação de consumidor, relatórios regulatórios do incidente, ações judiciais ou "má imprensa".


Após descrever o Cenário de Perda, o próximo passo é coletar dados e estimativas para mensurar o risco a partir dos vários fatores do Open FAIR™. Para tal, o analista deve avaliar a Frequência e Magnitude de Perda.

P

ara mais informações sobre esta atividade, veja o artigo anterior: "Open FAIR™: o futuro da gestão quantitativa de riscos".

Podemos então agora executar a última das etapas definindo opções de tratamento e estimando seus respectivos efeitos na medida do risco através da implementação de controles. No Open FAIR™, controles são classificados em quatro categorias que afetam os diferentes fatores: evasivos, dissuasivos, de resistência e responsivos.


Cada categoria tem um objetivo específico e afeta diferentes aspectos do risco. Os controles evasivos são utilizados para evitar que os agentes de ameaça entrem em contato com os ativos. Já os controles dissuasivos visam diminuir a probabilidade de um evento de contato se tornar um evento de ameaça. Os controles de resistência, por sua vez, são usados para aumentar a força de resistência dos ativos e reduzir a probabilidade de um evento de ameaça se tornar um evento de perda. Finalmente, os controles responsivos para limitar o impacto de uma perda, seja reduzindo sua magnitude ou diminuindo a frequência ou magnitude de perdas secundárias.





Estas categorias de controle do Open FAIR™ podem ser mapeadas para as normas e padrões do setor para categorizar e conceituar funções de segurança, por exemplo com os Controles CIS, NIST ou ISO 27001.


Conclusão


O Padrão de Análise de Riscos (O-RA) é uma ferramenta importante para analistas de riscos que buscam realizar uma análise eficaz de riscos usando o Open FAIR™. Quando usado em conjunto com a Taxonomia de Riscos (O-RT), estabelece uma linguagem comum para a gestão de riscos e fornece os processos específicos necessários para realizar uma análise de riscos precisa e eficiente.


Abraços e até a próxima,


Alberto Bastos

Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato