Não confunda gestão de riscos com gerenciamento de risco de segurança
Há uma percepção equivocada de que a experiência em segurança da informação equivale a do gerenciamento de risco
George V. Hulme, CSO/EUA
Publicada em 21 de dezembro de 2015 às 08h49
Não confunda gestão de riscos com gerenciamento de risco de
segurança. O
objetivo do gerenciamento de risco de segurança é remover as conjecturas
e
ajudar a empresa a tomar decisões mais inteligentes. De acordo com Jay
Jacobs,
vice-presidente da Sociedade de Analistas de Risco da Informação (SIRA),
a gestão de risco é simplesmente um sistema de apoio à decisão para
o negócio.
Infelizmente, segundo ele, muitos especialistas acreditam que a maioria das
empresas não acordou para o fato, apesar dos esforços. O perigo está em
incorporar maus hábitos que podem aumentar o risco de uma organização.
"Há uma percepção equivocada de que a experiência em segurança da
informação equivale a do gerenciamento de risco. Na verdade, observamos muitos
especialistas em segurança que se dizem especialistas também em gestão de
risco. Muitas vezes, eles não são. Essas são duas disciplinas distintas",
diz Jeff Lowder, presidente da SIRA.
Para obter uma melhor compreensão de onde muitas empresas vão mal, a CSO
pediu a especialistas para observarem o que as empresas fazem de errado em
Gestão de Riscos de Segurança. "Em muitas organizações, com base no que
vimos, realmente poderia ser melhor”, diz Jacobs.
Aqui estão os erros mais comuns e equívocos feitos na bem-intencionada
gestão de riscos:
1. Partir do zero
Muitos profissionais de segurança estão tentando reinventar a disciplina de gestão de riscos de segurança. Felizmente, existem métodos bem estabelecidos na análise de risco de tarefas, como a forma de solicitar um parecer técnico e como representar a incerteza em modelos de risco. No entanto, como Jacobs e Lowder explicam, a maioria das pessoas desconhece como fazer isso corretamente, e acaba recriando não só os mesmos modelos, mas também as mesmas abordagens básicas deficientes.
Muitos profissionais de segurança estão tentando reinventar a disciplina de gestão de riscos de segurança. Felizmente, existem métodos bem estabelecidos na análise de risco de tarefas, como a forma de solicitar um parecer técnico e como representar a incerteza em modelos de risco. No entanto, como Jacobs e Lowder explicam, a maioria das pessoas desconhece como fazer isso corretamente, e acaba recriando não só os mesmos modelos, mas também as mesmas abordagens básicas deficientes.
"O modelo mais acertado é escolher alguns" fatores de risco "
importantes, atribuir alguma pontuação ordinal, e, em seguida, executar a
aritmética básica ou colocá-los em uma matriz", orienta Jacobs,
acrescentando que muitos decisores experientes utilizam-se de métodos caseiros,
gerando resultados questionáveis.
2. Replicar o departamento de
auditoria
Uma forma de os programas de gestão de risco fracassarem, de acordo com Alex Hutton, diretor de Operações de Risco e de Governança de uma grane empresa de serviços financeiros, é copiar as funções do departamento de auditoria.
Uma forma de os programas de gestão de risco fracassarem, de acordo com Alex Hutton, diretor de Operações de Risco e de Governança de uma grane empresa de serviços financeiros, é copiar as funções do departamento de auditoria.
"Embora haja semelhanças entre os dois, os papéis são muito
diferentes", diz Hutton. A equipe de auditoria deve se preocupar com os
erros que podem ocorrer por meio de falhas nos controles de segurança. É
importante a preocupação com a frequência e o impacto potencial de riscos de
TI, prossegue o executivo. “O papel da auditoria é ajudar a empresa a entender
como implementar controles, e o papel de gestão de risco é determinar
como obter o máximo de investimentos em controles de segurança e processos
relacionados.”
3. Confundir precisão com
acuracidade
Muitos profissionais de segurança não se sentem confortáveis em reduzir os riscos de segurança e vulnerabilidades para números simples. "Você vai ouvir as pessoas dizerem que não há tabelas atuariais relevantes, ou que não há dados suficientes para criar eventos relacionados que forneçam um valor", diz Lowder. "Eles podem gerar uma estimativa numérica versus uma estimativa capaz de dar uma alta precisão numérica."
Muitos profissionais de segurança não se sentem confortáveis em reduzir os riscos de segurança e vulnerabilidades para números simples. "Você vai ouvir as pessoas dizerem que não há tabelas atuariais relevantes, ou que não há dados suficientes para criar eventos relacionados que forneçam um valor", diz Lowder. "Eles podem gerar uma estimativa numérica versus uma estimativa capaz de dar uma alta precisão numérica."
4. Registrar riscos
Hutton destaca que muitas organizações avaliam os riscos que enfrentam, focam demais em listar e classificar todas as coisas que podem dar errado, fazem o chamado Registro de Riscos.
Hutton destaca que muitas organizações avaliam os riscos que enfrentam, focam demais em listar e classificar todas as coisas que podem dar errado, fazem o chamado Registro de Riscos.
"O problema com a criação de um registro de riscos é que as pessoas
nunca sabem quando parar. Quantos riscos vou continuar acumulando? Até mesmo o
mais obscuro, de ataques cibernéticos com cada motivação concebível para, por
exemplo, a possibilidade de um motor a jato cair pelo telhado do centro de
dados? ", questiona e acrescenta que muitos dos riscos inusitados, de
probabilidade baixa, podem demandar altos custos para mitigá-los.
5. Usar conceitos de risco indefinidos
As formas mais comuns de ameaças e vulnerabilidades estão classificadas em uma escala simples: baixa, média ou alta. Afinal, o que significam cada um desses níveis? "Eles realmente são quantitativos", afirma Lowder.
As formas mais comuns de ameaças e vulnerabilidades estão classificadas em uma escala simples: baixa, média ou alta. Afinal, o que significam cada um desses níveis? "Eles realmente são quantitativos", afirma Lowder.
"Quando você pede para defini-los, em relação à probabilidade ou
frequência de eventos, ninguém parece ser capaz de concordar com o que os
termos realmente significam. O resultado é que você tem essa ilusão de
comunicação. Isso é mais perigoso do que tentar adicionar um pouco de precisão a
um argumento", diz Lowder.
Por exemplo, quando a probabilidade de um evento é baixa, alguns executivos
vão estimar que há uma chance de 10% de isso acontecer, enquanto outros vão
pensar que é 33 %. "Você quer usar os números, sempre que possível, para
definir as coisas numericamente, com o objetivo de torná-las mais claras",
explica Lowder.
6. Não ter um programa de
Inteligência de Risco
"Este é um grande erro", diz Hutton. "Se o risco de segurança de TI pode ser dividido em quatro conjuntos de informações [ameaças, controles, ativos e impacto], então qualquer mudança a qualquer uma dessas condições, teria um impacto sobre a postura de risco de uma organização", aponta. Infelizmente, as normas padrão de gestão de risco atuais demandam pouco tempo para colocar em prática um programa de inteligência de risco ou a importância dessa função. Nem explicam o que torna uma fonte válida de inteligência ou como lidar com as mudanças de novas informações e a postura da organização.
"Este é um grande erro", diz Hutton. "Se o risco de segurança de TI pode ser dividido em quatro conjuntos de informações [ameaças, controles, ativos e impacto], então qualquer mudança a qualquer uma dessas condições, teria um impacto sobre a postura de risco de uma organização", aponta. Infelizmente, as normas padrão de gestão de risco atuais demandam pouco tempo para colocar em prática um programa de inteligência de risco ou a importância dessa função. Nem explicam o que torna uma fonte válida de inteligência ou como lidar com as mudanças de novas informações e a postura da organização.
A implementação de uma função de inteligência é mais simples do que as
empresas possam pensar, diz Hutton. "Elas só precisam monitorar mudanças
que possam afetar o seu risco."
7. Multiplicar os ordinais
"Este é um erro-chave a ser evitado", sentencia Lowder. Por exemplo, imagine uma regata em que em primeiro vem o barco A, o B em segundo e em terceiro o barco C. Utilizando apenas essas informações, é impossível calcular o tempo médio para os três barcos para terminar a corrida. "Você pode ver agora a falha fatal em multiplicar valores ordinais ou tentando calcular a média de um conjunto de valores ordinais em uma escala ordinal, como primeiro, segundo, terceiro, ou de alta, média e baixa", ressalta Lowder.
"Este é um erro-chave a ser evitado", sentencia Lowder. Por exemplo, imagine uma regata em que em primeiro vem o barco A, o B em segundo e em terceiro o barco C. Utilizando apenas essas informações, é impossível calcular o tempo médio para os três barcos para terminar a corrida. "Você pode ver agora a falha fatal em multiplicar valores ordinais ou tentando calcular a média de um conjunto de valores ordinais em uma escala ordinal, como primeiro, segundo, terceiro, ou de alta, média e baixa", ressalta Lowder.
Escalas ordinais definem a ordem de classificação dos valores, eles não
dizem nada sobre as quantidades representadas por esses valores. "É por
isso que a média de um conjunto de valores ordinais é indefinida. Pela mesma
razão, não faz sentido calcular a média de fatores de risco de gestão definidos
como de alto, médio, baixo", diz Lowder.
A gestão de risco é difícil, mas fazê-la errado pode ser pior do que não
fazer nada. "Você vai tomar decisões ruins e realizar maus cálculos e
processos. Isso é um passo para uma situação ainda pior", alerta Jacobs.
Nenhum comentário:
Postar um comentário