Cybersecurity e Boas Práticas

Como medir o impacto monetário do Risco: as 6 formas de perda do FAIR

Vivemos em um mundo onde a incerteza é a única certeza. Esta realidade para as empresas requer, como em um jogo de xadrez, o planejamento, estratégia e, acima de tudo, uma gestão de riscos eficaz, inerente a cada tomada de decisão.


A norma ISO 31000 define risco como "o efeito da incerteza nos objetivos".


Para gerenciar as incertezas e fazer escolhas informadas, é vital medir os riscos, que independente do método utilizado, é compreendido e estimado a partir de dois fatores fundamentais: a probabilidade e o impacto.


No modelo FAIR (Factor Analysis Information Risk), esses fatores são calculados e tratados como frequência e magnitude, respectivamente. A frequência nos dá a medida da probabilidade de a perda se materializar durante um determinado período, enquanto a magnitude avalia o impacto financeiro se a perda ocorrer.

Para facilitar a estimativa, o FAIR divide esta magnitude em seis formas de perda distintas, que representam as diferentes maneiras pelas quais uma organização pode sofrer prejuízos em consequência de um evento de risco:


  • Produtividade: Eventos de risco podem provocar interrupções que prejudicam a eficiência operacional, afetando a geração de valor, como a redução das vendas, inatividade de funcionários, ou aumento de custos ao se adotar processos manuais para substituir processos interrompidos. Por exemplo, um ataque de DDoS que torna o site de uma empresa inacessível pode interromper as operações de comércio eletrônico, levando a perdas de vendas e afetando a produtividade dos funcionários.
  • Resposta: Custos diretos associados à gestão de um evento de risco, pode envolver gastos com atividades como investigação do incidente, remediação, assessoria legal e de relações públicas, bem como despesas logísticas. Por exemplo, após uma violação de dados, pode ser necessário contratar uma empresa de segurança cibernética para investigação, advogados para responder a litígios, e especialistas em comunicação para gerenciar a interação com clientes e meios de comunicação.
  • Substituição: Despesas diretas vinculadas à substituição de ativos que foram danificados ou perdidos. Normalmente, custos associados à necessidade de substituir ou reconstruir infraestruturas físicas, sistemas ou equipamentos. Por exemplo, um ataque de ransomware que danifica os servidores de uma empresa pode requerer a aquisição e instalação de novos sistemas, que podem ainda incluir a substituição de pessoal ou cobertura de perdas causadas por fraude.
  • Multas e Ações Legais: Custos decorrentes de penalidades regulatórias ou ações legais. Por exemplo, uma empresa que sofre uma violação de dados que resulta na exposição de informações pessoais de clientes pode enfrentar multas pesadas sob regulamentos como a LGPD.
  • Competitivade: Perdas futuras que podem ocorrer quando um evento de risco afeta a posição da empresa em relação aos concorrentes. Por exemplo, se o desenvolvimento de um novo produto for atrasado por problemas de segurança ou dados sigilosos tenham sido vazados, os concorrentes podem ter a oportunidade de lançar produtos similares primeiro, reduzindo a vantagem competitiva da empresa.
  • Reputação: Danos intangíveis que podem ocorrer quando a percepção das partes interessadas externas sobre a empresa é negativamente afetada. Por exemplo, caso ocorra uma violação de dados que se torne pública, a confiança dos clientes na empresa pode ser abalada, levando a uma redução da participação no mercado, diminuição do valor das ações, ou aumento do custo de capital, resultando em perdas financeiras.


Como Aplicar as Seis Formas de Perda na Prática


Aplicar as formas de perda envolve um processo passo a passo que começa com a identificação do evento de risco, seguido por uma análise e quantificação detalhada do impacto potencial de cada forma de perda.

Exemplos de cenários que podem ter impacto nas formas de perda são:


  • Falha de equipamento crítico: Suponha que uma máquina importante em uma linha de montagem falhe, interrompendo a produção. Haverá custos para substituir ou reparar a máquina, bem como possíveis perdas de produtividade durante o tempo de inatividade. A empresa também pode sofrer perda de competitividade se não cumprir prazos, e perdas de reputação se resultar em atrasos na entrega aos clientes.
  • Falha em cumprir regulamentações: Se uma empresa não cumprir leis e regulamentos, como normas ambientais ou de privacidade de dados, pode enfrentar multas e sanções significativas. Além disso, pode sofrer danos à sua reputação, resultando em perda de vantagem competitiva.
  • Fraude interna: Se um funcionário cometer fraude, pode gerar perdas financeiras diretas, além de custos de resposta, como investigações internas e possivelmente custos legais. A competitividade também pode ser afetada se o incidente afetar a operação normal dos negócios, e a reputação da empresa pode ser prejudicada.
  • Desastres naturais: Inundações, incêndios, terremotos ou outros desastres naturais podem causar danos físicos significativos que resultam em custos de substituição. Eles também podem interromper as operações, levando a perdas de produtividade, e possivelmente prejudicar a reputação da empresa se os clientes forem afetados.


Em todos esses cenários, é possível que as formas de perda sejam impactadas de maneiras diferentes. O tamanho e a natureza desses impactos dependerão de muitos fatores, incluindo a natureza do incidente, a resposta da empresa e as circunstâncias específicas do mercado e da indústria. Exemplos de parâmetros e premissas para cada uma das formas de perda são:




Esta tabela é apenas uma estrutura genérica com exemplos de premissas e parâmetros. Serve como ponto de partida para que cada organização desenvolva suas próprias premissas e parâmetros, adaptados de acordo com suas operações específicas, seu setor e outros fatores.


Em resumo, o registro e a análise da Magnitude de Perda permanecem desafiadores devido à limitação de dados disponíveis. A prática de documentar as perdas ainda não é comumente adotada nas empresas, ou muitas vezes se limita a poucos aspectos mais diretos, como tempo perdido e custos de substituição de equipamentos. A falta de uma estrutura padronizada dificulta ainda mais a comparação e a normalização desses dados entre organizações.


É onde entra o modelo FAIR, que possibilita uma compreensão mais precisa sobre as possíveis formas de perda, oferecendo às organizações uma visão mais detalhada do potencial impacto financeiro dos riscos.


Abraços e até a próxima,


Alberto Bastos

Gestão de Riscos
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato