Esclareço desde o início: nada contra a Gestão de Riscos. Pelo contrário. Uma governança adequada dos riscos é peça fundamental em diversas áreas da nossa sociedade. Além da ciber segurança, que é o nosso foco aqui, a Gestão de Riscos é crucial para a gestão de projetos, finanças, meio ambiente, saúde etc. Colocando em termos simples, o mundo é melhor com ela do que sem ela.
Mas sejamos honestos: Gestão de Riscos é um modelo que busca lidar com uma realidade complexa, um alvo móvel em constante transformação. Disso resulta que a Gestão de Riscos apresenta limitações. E pode nos induzir ao erro, se nos dá uma falsa sensação de conforto e de segurança. Os inúmeros ataques cibernéticos bem-sucedidos noticiados frequentemente são uma prova de que algo não está funcionando, apesar de contínuos esforços em Gestão de Riscos e implementação de controles.
Há ao menos três limitações dignas de serem comentadas.
Quando existem falhas nos processos de Gestão de Risco. Falta de patrocínio de stakeholders; processo ou ferramentas inadequadas; treinamento insuficiente; escopo incorreto; controles imprecisos ou inadequadamente usados; entre outros. É um problema comum, afinal uma Gestão de Riscos que siga à risca as melhores práticas é, sem dúvida, utópica em organizações do mundo real. Não é racional buscar um sistema perfeito e almejar que o risco residual seja zero. Limitações práticas de ordem técnica e econômica conspiram contra os gestores de segurança.
Outro tema é o tempo de resposta do modelo. Ainda que o gestor de segurança conseguisse aperfeiçoar sua Gestão de Riscos no limite, o mesmo alimentará a empresa periodicamente com indicações de novos riscos, que exigirão a tomada de ações para sua mitigação (tipicamente mitigar, transferir, evitar ou aceitar). Dada a dinâmica das tecnologias e do surgimento de novos riscos, é provável que haverá um hiato de tempo entre o surgimento de um risco e sua identificação. Há ainda pelo menos outro lapso similar: o tempo entre a identificação do risco e o seu tratamento. Afinal, entre a identificação e o tratamento há a tomada de decisão e, posteriormente, questões como orçamento, definição e implementação do projeto. A organização fica exposta por um período que pode ser de dias, meses ou anos.
Finalmente, temos os "Cisnes Negros". O termo foi criado por Nassim Taleb, filósofo, matemático e investidor libanês, para denominar grandes acontecimentos que são inesperados e que trazem grandes consequências. Pode acolher riscos desconhecidos no momento da análise, ou conhecidos mas negligenciados por serem demasiado baixos. Como exemplos temos os atentados de 11 de setembro, a crise financeira de 2008 e o tsunami de 2011 no Japão.
Nas nossas organizações podemos ser surpreendidos a qualquer momento por "Cisnes Negros Tecnológicos". Um novo e avançado ataque, ou a concretização de um risco considerado baixo e aceitável. Se Risco = Impacto x Probabilidade, a lógica é negligenciar eventos de alto impacto, se a probabilidade é baixíssima. Os recursos da empresa precisam ser otimizados, até que ponto faz sentido proteger-se de eventos que nunca acontecem? No processo, fantasmas são criados quando decisões racionais são tomadas.
Como evitar que essas limitações causem danos irreparáveis à sua empresa e à sua carreira?
Antes de mais nada é preciso reconhecer as limitações da Gestão de Riscos e seus controles. Assim podemos focar na preparação para o pior, ou seja, direcionar nossos esforços em ações que assegurem resiliência à empresa quando o risco concretizar-se. As práticas de Continuidade de Negócios preenchem parte dessa lacuna, ao responder às perguntas "E se…?" e assegurar medidas de resposta e recuperação.
A micro segmentação é outra medida importante nessa direção. Ao isolar sistemas com diferentes requerimentos de segurança, atua na contenção dos impactos causados por ameaças que se concretizam. Não importa a natureza do que vier. Em suas versões mais avançadas, é definida por software – o que permite a implementação em infraestrutura heterogênea, reduz o risco e o tempo de implementação, e acelera o retorno do investimento. Também oferece criptografia que torna os sistemas de cada segmento inacessíveis a atacantes, internos ou externos.
O mundo acelera rapidamente para maior complexidade em todos os aspectos das nossas vidas. Entender e gerenciar os riscos será cada vez mais desafiador. Ainda que imprescindível, a Gestão de Riscos precisa ser complementada com "redes de proteção", para assegurar que os negócios sejam resilientes a quaisquer riscos que se transformem em ameaças reais. A Continuidade de Negócios é conhecida aliada neste processo, mas agora recebe um reforço à altura com a inovadora abordagem de micro segmentação.
Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.
Parabéns pelo artigo Leonardo.
Faço apenas três observações, que espero contribua para a discussão:
1) A Gestão de Riscos não se propõe a eliminar o Risco, mas sim monitorá-lo e tratá-lo diminuindo sua probabilidade ou seu impacto caso se torne uma issue.
2) O Risco residual é sempre maior do que zero. Caso seja zero não existe risco.
3) A Gestão de Riscos engloba a Gestão de Continuidade de Negócios, portanto todo processo desenvolvido destro deste, está pela natureza do conjunto dentro da Gestão de Riscos.
Abraços
Leandro Godoy