Garantir que uma organização mantenha suas operações críticas durante e após uma interrupção é o objetivo da Gestão de Continuidade de Negócios (GCN). Utilizando o método FAIR (Factor Analysis of Information Risk), é possível aplicar uma abordagem inovadora para analisar e quantificar riscos, fornecendo uma base para decisões informadas. Este artigo apresenta a aplicação do FAIR em cenários que impactam a continuidade dos negócios e destacando como pode transformar a gestão de riscos e a resiliência organizacional.

No contexto do FAIR, aMagnitude de Perdaé a provável magnitude da perda econômica resultante de um Evento de Perda, medida em unidades monetárias.

Na aplicação específica para a continuidade de negócios, o FAIR pode ser utilizado para avaliar o impacto financeiro dos eventos de interrupção através de suas seis formas de perda:

1. Produtividade: Perdas diretas associadas à redução da capacidade de gerar valor, incluindo perda de receita devido a paralisações operacionais e custos associados a funcionários que não conseguem desempenhar suas funções. Por exemplo, um call center que fica fora do ar, impedindo os funcionários de trabalharem, mas ainda recebendo salários.
2. Resposta: Despesas diretas para gerenciar um incidente, como custos com horas de trabalho, despesas logísticas, defesa legal e relações públicas. Por exemplo, a resposta de uma empresa que sofreu um ataque de ransomware que criptografa seus dados, com pagamento de horas extras para a equipe na recuperação dos dados, contratação de consultores externos para resolver o problema, e despesas com relações públicas para gerenciar a comunicação com os clientes afetados.
3. Substituição: Custos para substituir ativos perdidos ou danificados, como reconstrução de instalações, compra de novos equipamentos e cobertura de perdas diversas. Por exemplo despesas diretas associadas a uma enchente que atinge o datacenter de uma empresa, destruindo servidores e equipamentos essenciais para suas operações e que precisarão ser readquiridos.
4. Multas e Ações Legais: Despesas relacionadas a ações legais ou regulatórias, incluindo multas, acordos e fianças. Por exemplo, um hospital que sofre uma violação de dados, expondo informações sensíveis dos pacientes, além dos custos imediatos para conter a violação e notificar os pacientes afetados, enfrenta multas regulatórias impostas pelas autoridades de saúde e processos movidos pelos pacientes cujas informações foram comprometidas.
5. Competitividade: Perdas futuras de negócios devido a uma posição competitiva reduzida, associada a ativos que proporcionam diferenciação competitiva, como segredos comerciais ou eficiências operacionais. Por exemplo, uma empresa de software que perde segredos comerciais importantes devido a uma violação de segurança, com perda estimada de negócios futuros devido à sua posição competitiva reduzida.
6. Reputação: Perdas futuras de negócios devido à percepção negativa de partes interessadas externas, resultando em redução da participação de mercado, diminuição na cooperação em empreendimentos conjuntos ou aumento dos custos de capital. Por exemplo, uma empresa financeira que sofre violação de dados, afetando diretamente a confiança de clientes e investidores e acaba perdendo clientes e queda no preço das ações.

Compreender essas formas de perda permite quantificar e tratar cenários de riscos de possíveis incidentes, assegurando uma resposta adequada a continuidade das operações críticas. Assim, as organizações devem monitorar e registrar dados de eventos de perda de forma consistente, incluindo todas as seis formas de perda mencionadas. Adotar também uma taxonomia padrão para classificar e normalizar estes dados de perda, facilita a comparação e a análise entre diferentes eventos e organizações.

Desafios na Estimativa da Magnitude de Perda

Risco é o efeito da incerteza nos objetivos, e é essa incerteza que nos obriga a fazer estimativas, baseadas em suposições que podem ser imprecisas, levando a decisões inadequadas. Assim, medir os valores reais quando um incidente ocorre permite calibrar nossa capacidade de estimar e verificar se nossas previsões estão dentro da margem de confiança esperada. Esta coleta de dados reais ajusta nossos modelos preditivos, melhora a precisão das avaliações futuras e nos ajuda a entender se estamos errando muito.

Historicamente, a estimativa da Magnitude de Perda tem sido desafiadora devido à escassez de dados e à falta de uma taxonomia padrão. Muitas organizações não medem adequadamente as perdas quando ocorrem eventos e tendem a focar apenas em aspectos mais fáceis de quantificar, como horas de trabalho perdidas ou custos de substituição de equipamentos.

Complementando a ISO 22301, que fornece uma estrutura para a implementação e manutenção de um SGCN, o FAIR oferece uma análise detalhada e quantificada dos riscos, permitindo uma abordagem mais precisa e informada. Integrar esses dois frameworks fortalece a capacidade de uma organização de se preparar, responder e se recuperar de interrupções.

O FAIR na GCN também pode ser usado para análise de cenários baseados em eventos passados e projeções futuras. Por exemplo simulando variações para o RTO (Recovery Time Objective) e o RPO (Recovery Point Objective), para quantificar as possíveis perdas associadas a diferentes tempos e pontos de recuperação. Essa abordagem ajuda a definir objetivos de recuperação que sejam realistas e economicamente eficientes.

Concluindo, a abordagem estruturada e baseada em dados utilizando o FAIR, permite identificar e quantificar o impacto financeiro das diversas formas de perda de um cenário de interrupção. Este tipo de análise é a base para a tomada de decisões informadas na Gestão de Continuidade de Negócios, ajudando as organizações a dimensionarem melhor seus possíveis eventos de interrupção e assim planejarem responder de maneira eficaz a estes eventos disruptivos.

Abraços, e até a próxima!

Alberto Bastos, @albastos