TI INSIDE Online -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

Esqueça a gestão de riscos, siga o dinheiro

Postado em: 14/05/2018, às 18:48 por Leonardo Carissimi

Uma governança adequada de riscos é peça fundamental em diversas áreas da nossa sociedade. Além da cibersegurança, que é o nosso foco nesse texto, a gestão de riscos é crucial para o gerenciamento de projetos em diversas áreas, como finanças, meio ambiente e saúde. Ou seja, colocando em termos simples, o mundo é melhor com ela do que sem ela.

Mas sejamos honestos: gestão de riscos é um sistema que busca lidar com uma realidade complexa, um alvo móvel em constante transformação. Disso resultam algumas limitações, e o modelo pode nos induzir ao erro ao nos dar uma falsa sensação de conforto e de segurança. Os inúmeros ataques cibernéticos bem-sucedidos, noticiados frequentemente, são uma prova de que algo não está funcionando, apesar dos contínuos esforços em gestão de riscos e implementação de controles.

Uma das limitações históricas a ser destacada é a subjetividade de muitos fatores considerados nas análises. O coração da análise está no entendimento de que o risco resulta da probabilidade de que ocorra um incidente de segurança (que, por sua vez, depende de uma ameaça explorar uma vulnerabilidade) e do impacto ou consequência desse incidente. Ou seja, para cada potencial ameaça, além de entender-se o nível de exposição (vulnerabilidades), requer-se estimar a probabilidade de que a mesma vai se concretizar e gerar um incidente. Depois disso, é necessário estimar o impacto do acontecido. Nesse sistema, uma pequena variação em premissas de probabilidade e impacto já é motivo para o nível de risco responder rapidamente para cima ou para baixo, minando a credibilidade de todo o modelo.

Dessa forma, usar dados quantitativos como a probabilidade percentual de que um incidente ocorra e como métrica do impacto econômico dos ataques bem-sucedidos tornou-se complicado e impreciso. Para mitigar esse problema, a maioria absoluta das análises de risco empregadas atualmente usa um modelo qualitativo, onde as probabilidades e impactos são graduados em níveis de qualidade, como "muito alto", "alto", "médio" e "baixo", ou "verde", "amarelo" e "vermelho", por exemplo. O que sucede é que o emprego de parâmetros qualitativos, além de agregarem a imprecisão decorrente da própria subjetividade utilizada, torna a comunicação entre o gestor de segurança e a diretoria de empresa impraticável.

Imagine-se justificando um pedido de aumento de orçamento de segurança em R$ 4 milhões para este ano, argumentando que o mesmo vai possibilitar a execução de projetos que reduzirão seu nível de risco de "vermelho" para "amarelo". O que, afinal, isso significa para um CFO ou CEO?

Esse cenário indefinido nos leva a pensar: há uma saída para uma análise inteligente e eficaz?

Felizmente, hoje em dia, com o avanço das tecnologias de análise de dados massivos (Big Data Analytics), há uma luz no fim do túnel. Uma abordagem inovadora agora está disponível, com metodologia de análise e gestão de risco quantitativa que objetiva medir precisamente e informar o nível de risco com a experiência de bases de dados de incidentes de segurança ocorridos nos últimos anos. Essas bases de dados orientam de modo bastante preciso a identificação de probabilidades e impactos, eliminando a subjetividade da equação.

Assim, métricas operacionais objetivas surgem, como, por exemplo: "se o projeto for implementado, representará uma redução de R$ 8,3 milhões na perda esperada para incidentes dessa natureza"; "o ROI do projeto será de 32% após 18 meses"; "a contribuição desse projeto para aumento do EBITDA será de 3%". Dessa forma, o gestor de segurança conta com uma ferramenta que fala a linguagem da liderança da organização, e todos se beneficiam da maior visibilidade para os riscos como apoio para melhores tomadas de decisão.

Recursos escassos são uma constante em todas as atividades humanas, portanto, geri-los adequadamente pode ser um importante diferencial competitivo. Mesmo – ou principalmente – no mundo da cibersegurança. Nele, as decisões acerca dos investimentos podem representar, de fato, a sobrevivência do negócio em situações extremas, a manutenção da confiança dos clientes e a continuidade das operações. São todos temas importantes demais para serem decididos em termos de sinais de trânsito (verde, amarelo ou vermelho) – requerem um nível maior de maturidade, que seja capaz de traduzir em impacto financeiro cada decisão a ser tomada.

Leonardo Carissimi , diretor de Soluções de Segurança da Unisys na América Latina.

RSS
Facebook
Google+
http://tiinside.com.br/tiinside/seguranca/artigos-seguranca/14/05/2018/esqueca-a-gestao-de-riscos-siga-o-dinheiro/
Twitter
LinkedIn

Tags: , , ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)



Top
Social media & sharing icons powered by UltimatelySocial