Com o aumento das ameaças cibernéticas e incidentes digitais que impactam diretamente os sistemas e processos, gestores elevaram esta preocupação para o nível máximo na organização, deixando de ser apenas uma questão técnica e se tornando importante assunto na agenda dos executivos, em muitos casos considerado como um risco estratégico.

Como na mensagem da charge ao lado, atualmente profissionais de segurança sendo convidados para "sentar na mesa dos adultos (executivos)".

É preciso agora reportar e conversar sobre segurança cibernética utilizando uma linguagem executiva, para apoiar decisões de negócios e priorizar investimentos com a abordagem que a ISO define como "mentalidade de risco" (risk based thinking). Este tema também tem relevância no compliance, para atender normas e regulamentações, como por exemplo a LGPD que, no artigo 50, parágrafo §2º, inciso I, alínea d, requer processo de avaliação sistemática de impactos e riscos à privacidade.

Gestão de Riscos Quantitativa x Qualitativa

Como prática comum, os riscos em geral (não apenas os cibernéticos) tem sido mensurados de forma qualitativa com escala de valores em níveis (por ex. muito baixo, baixo, médio, alto e muito alto) ou semi-quantitativa utilizando números (por ex. 1, 2, 3, 4 e 5) para representar estas métricas. O problema desta abordagem é a subjetividade que muitas vezes acontece na interpretação bem como imprecisões em se fazer cálculos utilizando estes ordinais e dificuldade em justificar as ações e controles.

Por exemplo, a tabela do Guia de Boas Práticas Lei Geral de Proteção de Dados (LGPD) do Gov.Br, fornece 14 tipos de riscos referentes ao tratamento de dados pessoais e sugestão de escalas de pontuação para probabilidade e impacto que multiplicadas fornecem o nível de risco (P x I).

Uma nova tendência no mercado internacional abreviada como CRQ - Cyber Risk Quantification é a utilização de métodos quantitativos para mensurar os riscos cibernéticos em valores monetários. Como referência, o padrão Open FAIR™ (Factor Analysis of Information Risk), do Open Group, @opengroup, que calcula o Risco a partir de fatores de Frequência de Evento de Perda e Magnitude de Perda.

E para facilitar a implementação, recomendamos que o Open FAIR™ seja incorporado no processo de gestão de riscos da ISO 31000 (ou da ISO 27005), mais especificamente nas atividades de identificação, análise e avaliação de riscos.

Utilizando métodos estatísticos e simulação de Monte Carlo estima-se a medida do risco cibernético de forma quantitativa permitindo ainda estabelecer na avaliação, valores monetários da respectiva redução com a implementação dos controles.

Simulando também a respectiva redução do risco (what-if) a partir da implementação de medidas para prevenir a ação de ameaças ou mitigar impactos dos eventos de perdas, é possível avaliar o retorno de investimento (ROI - Return of Investment) de cada controle, priorizando aqueles que fornecem a melhor relação custo x benefício.

No dia 21 de junho participarei do evento internacional de Segurança Digital do Opengroup e falarei com mais detalhes sobre o Open FAIR™.

SPOILER: Neste evento iremos anunciar também em parceria com o OpenGroup o lançamento das versões traduzidas do Open FAIR™ no Brasil! Participe!

Abraços e até a próxima!

Alberto