Gestão de Riscos e os Cisnes Negros do mundo digital

1

Esclareço desde o início: nada contra a Gestão de Riscos. Pelo contrário. Uma governança adequada dos riscos é peça fundamental em diversas áreas da nossa sociedade. Além da ciber segurança, que é o nosso foco aqui, a Gestão de Riscos é crucial para a gestão de projetos, finanças, meio ambiente, saúde etc. Colocando em termos simples, o mundo é melhor com ela do que sem ela.

Mas sejamos honestos: Gestão de Riscos é um modelo que busca lidar com uma realidade complexa, um alvo móvel em constante transformação. Disso resulta que a Gestão de Riscos apresenta limitações. E pode nos induzir ao erro, se nos dá uma falsa sensação de conforto e de segurança. Os inúmeros ataques cibernéticos bem-sucedidos noticiados frequentemente são uma prova de que algo não está funcionando, apesar de contínuos esforços em Gestão de Riscos e implementação de controles.

Há ao menos três limitações dignas de serem comentadas.

Quando existem falhas nos processos de Gestão de Risco. Falta de patrocínio de stakeholders; processo ou ferramentas inadequadas; treinamento insuficiente; escopo incorreto; controles imprecisos ou inadequadamente usados; entre outros. É um problema comum, afinal uma Gestão de Riscos que siga à risca as melhores práticas é, sem dúvida, utópica em organizações do mundo real. Não é racional buscar um sistema perfeito e almejar que o risco residual seja zero. Limitações práticas de ordem técnica e econômica conspiram contra os gestores de segurança.

Outro tema é o tempo de resposta do modelo. Ainda que o gestor de segurança conseguisse aperfeiçoar sua Gestão de Riscos no limite, o mesmo alimentará a empresa periodicamente com indicações de novos riscos, que exigirão a tomada de ações para sua mitigação (tipicamente mitigar, transferir, evitar ou aceitar). Dada a dinâmica das tecnologias e do surgimento de novos riscos, é provável que haverá um hiato de tempo entre o surgimento de um risco e sua identificação. Há ainda pelo menos outro lapso similar: o tempo entre a identificação do risco e o seu tratamento. Afinal, entre a identificação e o tratamento há a tomada de decisão e, posteriormente, questões como orçamento, definição e implementação do projeto. A organização fica exposta por um período que pode ser de dias, meses ou anos.

Finalmente, temos os "Cisnes Negros".  O termo foi criado por Nassim Taleb, filósofo, matemático e investidor libanês, para denominar grandes acontecimentos que são inesperados e que trazem grandes consequências. Pode acolher riscos desconhecidos no momento da análise, ou conhecidos mas negligenciados por serem demasiado baixos. Como exemplos temos os atentados de 11 de setembro, a crise financeira de 2008 e o tsunami de 2011 no Japão.

Nas nossas organizações podemos ser surpreendidos a qualquer momento por "Cisnes Negros Tecnológicos". Um novo e avançado ataque, ou a concretização de um risco considerado baixo e aceitável. Se Risco = Impacto x Probabilidade, a lógica é negligenciar eventos de alto impacto, se a probabilidade é baixíssima. Os recursos da empresa precisam ser otimizados, até que ponto faz sentido proteger-se de eventos que nunca acontecem? No processo, fantasmas são criados quando decisões racionais são tomadas.

Como evitar que essas limitações causem danos irreparáveis à sua empresa e à sua carreira?

Antes de mais nada é preciso reconhecer as limitações da Gestão de Riscos e seus controles. Assim podemos focar na preparação para o pior, ou seja, direcionar nossos esforços em ações que assegurem resiliência à empresa quando o risco concretizar-se. As práticas de Continuidade de Negócios preenchem parte dessa lacuna, ao responder às perguntas "E se…?" e assegurar medidas de resposta e recuperação.

A micro segmentação é outra medida importante nessa direção. Ao isolar sistemas com diferentes requerimentos de segurança, atua na contenção dos impactos causados por ameaças que se concretizam. Não importa a natureza do que vier. Em suas versões mais avançadas, é definida por software – o que permite a implementação em infraestrutura heterogênea, reduz o risco e o tempo de implementação, e acelera o retorno do investimento. Também oferece criptografia que torna os sistemas de cada segmento inacessíveis a atacantes, internos ou externos.

O mundo acelera rapidamente para maior complexidade em todos os aspectos das nossas vidas. Entender e gerenciar os riscos será cada vez mais desafiador. Ainda que imprescindível, a Gestão de Riscos precisa ser complementada com "redes de proteção", para assegurar que os negócios sejam resilientes a quaisquer riscos que se transformem em ameaças reais. A Continuidade de Negócios é conhecida aliada neste processo, mas agora recebe um reforço à altura com a inovadora abordagem de micro segmentação.

Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.

1 COMENTÁRIO

  1. Parabéns pelo artigo Leonardo.
    Faço apenas três observações, que espero contribua para a discussão:
    1) A Gestão de Riscos não se propõe a eliminar o Risco, mas sim monitorá-lo e tratá-lo diminuindo sua probabilidade ou seu impacto caso se torne uma issue.
    2) O Risco residual é sempre maior do que zero. Caso seja zero não existe risco.
    3) A Gestão de Riscos engloba a Gestão de Continuidade de Negócios, portanto todo processo desenvolvido destro deste, está pela natureza do conjunto dentro da Gestão de Riscos.

    Abraços

    Leandro Godoy

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui