Com a evolução das práticas de gestão de riscos, cada vez mais as decisões são tomadas com base em modelos estruturados para análise e avaliação de riscos, sejam de forma qualitativa ou quantitativa (em alguns casos também semiquantitativa). Ambas as abordagens são recomendadas pelas principais normas e padrões de gestão de riscos, sendo que pela simplicidade ou mesmo falta de informações, as organizações têm utilizado com mais frequência os modelos qualitativos.
A ABNT NBR IEC 31010 - Gestão de Riscos - Técnicas para o processo de avaliação de riscos orienta que ao decidir se é mais apropriada uma técnica qualitativa ou quantitativa, os principais critérios a serem considerados são a forma de saída mais útil para as partes interessadas e a disponibilidade e confiabilidade dos dados.
A norma também esclarece que para fornecer resultados significativos, as técnicas quantitativas geralmente requerem dados de maior qualidade e costumam fornecer uma melhor compreensão do risco. Para cálculo quantitativo, utilizam-se valores numéricos para as probabilidades, como uma frequência durante um determinado período de tempo e para as consequências, valores monetários como perdas em unidades apropriadas.
Operações matemáticas devem ser usadas apenas se as métricas escolhidas permitirem, tomando o devido cuidado caso sejam usadas com escalas ordinais. É necessário ainda estabelecer um nível de acurácia e precisão para as estimativas, e que os resultados sejam consistentes com os dados e métodos empregados.
O uso de distribuições e intervalos aumenta a probabilidade de uma estimativa ser acurada, quando o resultado futuro é correto, dentro do intervalo da estimativa original. Já a precisão de uma estimativa é o seu intervalo. Estimativas muito precisas – ou seja, com um intervalo muito estreito, podem diminuir a acurácia e induzir os tomadores de decisão a pensar que existe mais rigor na análise de riscos do que há.
A maior parte (26) das 42 técnicas para avaliação de riscos apresentadas na ABNT NBR IEC 31010, permitem o uso de métodos quantitativos ou semiquantitativos.
Também na nova ISO/IEC 27005:2022 - Gestão de Riscos de Segurança da Informação, o processo de avaliação de riscos pode utilizar estimativas e critérios que podem ser definidos, medidos ou determinados objetivamente ou subjetivamente, qualitativamente ou quantitativamente, e descritos usando termos gerais ou matematicamente.
Para a abordagem qualitativa, a ISO 27005 apresenta exemplos de escalas para consequências com rótulos como "catastrófico", "crítica", "sério", "significativo" e "menor" bem como descrições para probabilidade como "quase certo", "muito provável", "provável", "bastante improvável" e "improvável".
Para abordagem quantitativa, a ISO 27005 aponta que escalas de consequências monetárias ou frequências são tipicamente baseadas em fatores de 10 (100 a 1.000; 1.000 a 10.000, etc.) e representadas por índices de escala exponencial (ou seja, logaritmos dos valores na escala).
Em todas as abordagens, os atributos para definir os parâmetros da matriz de riscos e critérios para aceitação e tratamento precisam se ajustar à modelagem escolhida.
Independente da abordagem, a gestão de riscos é hoje uma prática essencial para os gestores, que precisam identificar e avaliar ameaças e oportunidades e com o apoio de métodos e ferramentas, apoiar a tomada de decisão com base em dados confiáveis e fundamentados.
Especificamente para a gestão quantitativa de riscos cibernéticos (em inglês, CRQ - Cyber Risk Quantification), mais informações no artigo "Como mensurar o risco cibernético em R$"
Abraços e até a próxima,
