Gestão de riscos é parte fundamental da gestão empresarial e chave para o sucesso das organizações. Como tendência que vem ganhando força, a abordagem quantitativa permite avaliar e gerenciar os riscos de maneira mais precisa e eficiente, usando ferramentas matemáticas e modelos estatísticos para quantificá-los de maneira objetiva, com base em números e dados.
Embora concebido para gestão de riscos da informação, o padrão Open FAIR™ (Factor Analysis of Information Risk) é flexível e tem sido adotado para gerenciar qualquer tipo de risco corporativo.
Segundo o Open FAIR™, sem uma taxonomia lógica e bem definida, as abordagens de avaliação de riscos serão significativamente prejudicadas pela incapacidade de medir e/ou estimar os fatores de risco. Por sua vez, os gestores não terão as informações necessárias para fazer comparações e escolhas bem-informadas, o que levará a decisões inconsistentes e, muitas vezes, uma gestão ineficaz.
O Open FAIR™ fornece um modelo preciso de fatores em camadas que compõe a medida de risco (taxonomia) e um processo de análise baseado em métodos estatísticos.
Os documentos do Open FAIR™ em português podem ser baixados direto do site do Security Forum do OpenGroup.
Como ponto de partida para medir o risco, os dois primeiros fatores do Open FAIR™ são a Frequência do Evento de Perda e Magnitude de Perda.
Frequência do Evento de Perda é a provável frequência, em um determinado prazo, que um Agente de Ameaça infligirá danos a um Ativo.
Para que ocorra um Evento de Perda, um Agente de Ameaça tem que agir sobre um Ativo, o que leva aos próximos dois fatores: Frequência de Ameaça e Vulnerabilidade.
Frequência de Ameaça é a provável frequência, em um determinado prazo, que um Agente de Ameaça agirá contra um Ativo e Vulnerabilidade (ou seu sinônimo Suscetibilidade), é a probabilidade de que seja bem-sucedido, se tornando uma Perda.
A diferença entre a Frequência de Ameaça e a Frequência de Evento de Perda é que a Frequência de Ameaça inclui também as ações do Agente de Ameaça mesmo que não tenham sido bem-sucedidas.
E para que ocorra a Frequência de Ameaça, existem ainda dois novos fatores: Frequência de Contato e Probabilidade de Ação.
Frequência de Contato é a provável frequência, em um determinado prazo, que um Agente de Ameaça entrará em contato com um Ativo e Probabilidade de Ação é a probabilidade de que este agirá quando o contato ocorrer.
Do outro lado do cálculo para a Frequência do Evento de Perda temos a Vulnerabilidade, que é a probabilidade de que o Evento de Ameaça se torne um Evento de Perda. Para derivar a Vulnerabilidade, temos os dois fatores que são a Capacidade de Ameaça e a Força de Resistência.
Capacidade da Ameaça é o provável nível de força (como incorporado pelo tempo, recursos e capacidade tecnológica) que um Agente de Ameaça é capaz de aplicar contra um Ativo e a Força de Resistência que é a força dos Controles que protegem esse Ativo, em comparação com este provável nível de força da Ameaça.
Uma vez definida a Frequência do Evento de Perda, temos a outra metade da equação de risco com os fatores que levam a Magnitude de Perda, como a provável perda econômica resultante caso ocorra o Evento de Perda (medido em unidades de moeda), sempre avaliada na perspectiva da Parte Interessada Primária.
Para apoiar o cálculo da Magnitude de Perda, o Open FAIR™ descreve 6 tipos de formas de Perda:
- Produtividade - perdas diretas associadas à redução da capacidade de uma organização de gerar sua proposta de valor primário
- Resposta – despesas diretas associadas à gestão de um Evento de Perda
- Substituição – despesas diretas associadas à substituição de um Ativo
- Multas e Ações Legais – despesas diretas associadas a ações legais ou regulatórias impostas contra uma organização
- Competitividade – perdas futuras estimadas de negócios associadas a uma posição competitiva reduzida
- Reputação – perdas futuras estimadas associadas à percepção de uma parte interessada externa de que a proposta de valor de uma organização é diminuída e/ou que a organização representa responsabilidade para a parte interessada
Um Evento de Perda Primária também pode causar um efeito sobre as Partes Interessadas Secundárias, como clientes, reguladores, mídia, etc., que podem reagir contra a Parte Interessada Primária. Neste caso, se tornam novos Agentes de Ameaça contra a organização (como reputação, despesas legais, etc.), o que pode afetar novamente a Parte Interessada Primária – chamado então de Evento de Perda Secundária.
Acima, abordamos os principais fatores da taxonomia do Open FAIR™, lembrando que nenhum modelo é perfeito, por mais formal e detalhado que seja. Assim, é preciso levar em conta suas limitações ao tentar representar o mundo real. Por outro lado, modelos simplificados e informais costumam resultar em suposições pouco claras e inconsistentes, levando a conclusões falhas e recomendações incorretas.
Por fim, temos observado que as organizações que adotam o Open FAIR™ tendem a seguir um modelo de implementação gradativo, utilizando ferramentas automatizadas para auxiliar nos cálculos estatísticos e agilizar o processo. De forma contínua, vão aumentando sua capacidade de estimar valores com base em premissas validadas ao longo do tempo e incorporando as práticas em suas atividades.
Gestão quantitativa de riscos é mais do que um projeto, é uma jornada e uma mudança de mentalidade. Desejamos sucesso nesta empreitada.
Abraços e até a próxima,
