Uma governança adequada de riscos é peça fundamental em diversas áreas da nossa sociedade. Além da cibersegurança, que é o nosso foco nesse texto, a gestão de riscos é crucial para o gerenciamento de projetos em diversas áreas, como finanças, meio ambiente e saúde. Ou seja, colocando em termos simples, o mundo é melhor com ela do que sem ela.
Mas sejamos honestos: gestão de riscos é um sistema que busca lidar com uma realidade complexa, um alvo móvel em constante transformação. Disso resultam algumas limitações, e o modelo pode nos induzir ao erro ao nos dar uma falsa sensação de conforto e de segurança. Os inúmeros ataques cibernéticos bem-sucedidos, noticiados frequentemente, são uma prova de que algo não está funcionando, apesar dos contínuos esforços em gestão de riscos e implementação de controles.
Uma das limitações históricas a ser destacada é a subjetividade de muitos fatores considerados nas análises. O coração da análise está no entendimento de que o risco resulta da probabilidade de que ocorra um incidente de segurança (que, por sua vez, depende de uma ameaça explorar uma vulnerabilidade) e do impacto ou consequência desse incidente. Ou seja, para cada potencial ameaça, além de entender-se o nível de exposição (vulnerabilidades), requer-se estimar a probabilidade de que a mesma vai se concretizar e gerar um incidente. Depois disso, é necessário estimar o impacto do acontecido. Nesse sistema, uma pequena variação em premissas de probabilidade e impacto já é motivo para o nível de risco responder rapidamente para cima ou para baixo, minando a credibilidade de todo o modelo.
Dessa forma, usar dados quantitativos como a probabilidade percentual de que um incidente ocorra e como métrica do impacto econômico dos ataques bem-sucedidos tornou-se complicado e impreciso. Para mitigar esse problema, a maioria absoluta das análises de risco empregadas atualmente usa um modelo qualitativo, onde as probabilidades e impactos são graduados em níveis de qualidade, como "muito alto", "alto", "médio" e "baixo", ou "verde", "amarelo" e "vermelho", por exemplo. O que sucede é que o emprego de parâmetros qualitativos, além de agregarem a imprecisão decorrente da própria subjetividade utilizada, torna a comunicação entre o gestor de segurança e a diretoria de empresa impraticável.
Imagine-se justificando um pedido de aumento de orçamento de segurança em R$ 4 milhões para este ano, argumentando que o mesmo vai possibilitar a execução de projetos que reduzirão seu nível de risco de "vermelho" para "amarelo". O que, afinal, isso significa para um CFO ou CEO?
Esse cenário indefinido nos leva a pensar: há uma saída para uma análise inteligente e eficaz?
Felizmente, hoje em dia, com o avanço das tecnologias de análise de dados massivos (Big Data Analytics), há uma luz no fim do túnel. Uma abordagem inovadora agora está disponível, com metodologia de análise e gestão de risco quantitativa que objetiva medir precisamente e informar o nível de risco com a experiência de bases de dados de incidentes de segurança ocorridos nos últimos anos. Essas bases de dados orientam de modo bastante preciso a identificação de probabilidades e impactos, eliminando a subjetividade da equação.
Assim, métricas operacionais objetivas surgem, como, por exemplo: "se o projeto for implementado, representará uma redução de R$ 8,3 milhões na perda esperada para incidentes dessa natureza"; "o ROI do projeto será de 32% após 18 meses"; "a contribuição desse projeto para aumento do EBITDA será de 3%". Dessa forma, o gestor de segurança conta com uma ferramenta que fala a linguagem da liderança da organização, e todos se beneficiam da maior visibilidade para os riscos como apoio para melhores tomadas de decisão.
Recursos escassos são uma constante em todas as atividades humanas, portanto, geri-los adequadamente pode ser um importante diferencial competitivo. Mesmo – ou principalmente – no mundo da cibersegurança. Nele, as decisões acerca dos investimentos podem representar, de fato, a sobrevivência do negócio em situações extremas, a manutenção da confiança dos clientes e a continuidade das operações. São todos temas importantes demais para serem decididos em termos de sinais de trânsito (verde, amarelo ou vermelho) – requerem um nível maior de maturidade, que seja capaz de traduzir em impacto financeiro cada decisão a ser tomada.
Leonardo Carissimi , diretor de Soluções de Segurança da Unisys na América Latina.