Cybersecurity e Boas Práticas

Quantificando risco cibernético com o Open FAIR™

CRQ - Cyber Risk Quantification é a nova tendência em segurança cibernética, apoiando as decisões com base em métodos quantitativos para mensurar os riscos.



Uma referência para análise quantitativa de riscos é o padrão Open FAIR™ (Factor Analysis of Information Risk), publicado pelo Security Forum do Open Group, que fornece um processo sistemático para avaliar o risco a partir de fatores de frequência e magnitude de eventuais perdas.


Originalmente desenvolvido para riscos da informação, o FAIR (abreviatura de Análise de Fatores de Riscos da Informação) permite se adotar um processo padronizado para análise quantitativa de riscos, criando linguagem comum para a comunicação dos riscos e embasando as decisões na implementação das várias opções de segurança com base na análise custo/benefício.


Utilizando um modelo testado e usado no mundo inteiro, o Open FAIR™ não se limita à área de segurança da informação, podendo ser aplicado a qualquer cenário de risco em domínios variados. É composto por dois padrões principais que formam o Open FAIR™ Body of Knowledge:


  • Taxonomia de Riscos (O-RT) que descreve os termos, definições e relacionamentos usados na análise de riscos e,
  • Análise de Riscos (O-RA) que define um processo e principais aspectos relacionados para se realizar uma análise de riscos eficaz.


Estes documentos vem evoluindo desde sua publicação original, fruto de feedback dos seus praticantes, como especialistas em segurança da informação, gestão de riscos, auditores, reguladores e gestores.


Alguns de seus objetivos são:


  • Estabelecer linguagem comum e educar profissionais de segurança da informação, gestão de riscos, gestores e auditoria
  • Introduzir rigor e consistência nas análises e conclusões
  • Criar novos métodos de avaliação e análise de riscos e fortalecer os existentes
  • Estabelecer padrões de métricas e fontes de dados


Os documentos estão disponíveis para download no site do OpenGroup e a boa notícia é que foram traduzidos para português e agora prontos para uso em nosso idioma.


Os padrões do Open FAIR™ foram traduzidos para português e agora estão prontos para uso em nosso idioma.


Taxonomia de Riscos (O-RT)


Em sua versão 3.0.1, a Taxonomia de Riscos do Open FAIR™ fornece uma definição padrão e taxonomia para riscos de segurança da informação, bem como informações sobre o uso.


Em resumo, a taxonomia descreve os fatores que direcionam riscos, suas definições e relacionamentos. A relação entre os fatores permite que funções matemáticas sejam definidas e utilizadas para realizar cálculos quantitativos. Desta forma, escalas de medição, cálculos e metodologias podem ser desenvolvidas com abordagens específicas conforme os objetivos da análise.


"Você não pode gerenciar de forma eficaz e consistente o que não se pode medir, e não se pode medir o que você não definiu."


Na visão geral da Taxonomia de Riscos, o principal conceito é a própria definição de risco como a provável frequência e a provável magnitude de perda futura em um período de tempo definido. Assim, o ponto de partida para análise é sempre a estimativa destes dois primeiros fatores de riscos que são a Frequência do Evento de Perda e a Magnitude de Perda. Para refinar ainda mais o risco e seus componentes, a taxonomia desenvolve cada um dos fatores em subfatores, com relações claras de causa e efeito entre si, que podem ser visualizadas graficamente:






Além dos fatores apresentados, existem ainda camadas mais profundas de abstração que, teoricamente, podem continuar indefinidamente. No entanto, estas camadas mais profundas podem até ser úteis para a compreensão, mas nem sempre são necessárias para realizar análises eficazes. Por exemplo, a estimativa da Magnitude de Perda pode ser decomposta em seis possíveis formas de perda: produtividade, resposta, substituição, multas e ações legais, competitividade e reputação.


Análise de Riscos (O-RA)


Em sua versão 2.0.1, o documento Análise de Riscos do Open FAIR™ complementa a Taxonomia com processos específicos para se realizar uma análise quantitativa de riscos.


Um dos elementos fundamentais do processo é a definição do "escopo da análise", estabelecendo o contexto organizacional e identificando de forma clara os ativos, ameaças, controles e elementos do cenário de risco que será avaliado. No contexto, deve-se estabelecer ainda as métricas a serem utilizadas para a estimativa dos fatores, bem como os métodos e fórmulas de como o cálculo do risco será feito.


Em resumo, a metodologia abrange 5 etapas fundamentais:


  1. Identificar o Cenário de Perda (Escopo da Análise)
  2. Avaliar a Frequência do Evento de Perda
  3. Avaliar a Magnitude de Perda
  4. Derivar e Enunciar o Risco
  5. Modelar o Efeito dos Controles


Alguns conceitos e técnicas também são abordados sobre a confiança nas estimativas dos fatores, incluindo as diferenças entre acurácia e precisão bem como os cuidados necessários com informações objetivas (dados reais ou padrão do setor) versus informações únicas ou definidas por instintos subjetivos e influenciadas com vieses ou suposições.






Gestão de riscos é sobre tomada de decisões – sobre quais questões de riscos são mais críticas (priorização), quais não valem a pena se preocupar (aceitação de riscos) e quanto gastar nas questões que precisam ser tratadas (orçamento). Para eficácia na tomada das decisões, é preciso comparar os problemas e opções de soluções disponíveis, utilizando medição baseada em uma definição consistente.


O modelo Open FAIR™ não é, por si só, um "livro de receitas" que descreve como realizar uma avaliação de riscos, pode ser aplicado de forma modular e usado em conjunto com outros frameworks e normas de gestão de riscos, como o CIS, ISO 31000 e ISO 27005. Da mesma forma, os métodos estatísticos e simulações para se chegar à medição do risco devem ser feitos utilizando-se ferramentas e sistemas próprios, como por exemplo o QuantRisk da Módulo Security.


Mais informações sobre CRQ - Cyber Risk Quantification acesse o artigo "Como mensurar o risco cibernético em R$". Participarei também do Encontro sobre Segurança Digital do OpenGroup apresentando questões práticas e tendências sobre o tema, fiquem a vontade para participar ou encaminhar o convite para suas equipes.


Abraços, Alberto Bastos

ISO 27005 Gestão de Riscos Segurança Cibernética
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato