Autor: Erick Tauil, Pre Sales Solutions Architect de SEK
A quantificação de risco cibernético (CRQ) é um processo que ajuda as organizações a medir e gerenciar seus riscos de segurança da informação em valores monetários para determinar quais riscos focar primeiro, onde alocar recursos de segurança cibernética e entender como o risco cibernético afeta especificamente a receita potencial, lucro, e outras medidas de sucesso financeiro.
Apesar dos claros benefícios da quantificação do risco cibernético, que também incluem colocar o risco em termos de negócios, esclarecer os fatores de risco, iluminar os requisitos de controle, reduzir a incerteza e fornecer “objetivos de segurança” claros, muitas organizações se sentem intimidadas pela complexidade percebida. Preocupações comuns giram em torno de não ter conhecimento suficiente, o aparente esforço envolvido e um desejo de uma resposta descomplicada para questões de segurança.
Artigos de organizações como o Gartner™ apoiam o esforço de priorizar e comunicar riscos com o CRQ, afirmando que:
“Diante do aumento do escrutínio do conselho e da demanda executiva por serviços de segurança cibernética, os líderes de gerenciamento de segurança e risco (SRM) estão recorrendo à quantificação de risco cibernético (CRQ) para comunicar riscos, auxiliar na tomada de decisões corporativas e priorizar os riscos de segurança cibernética com maior precisão.” – Gartner.”
Felizmente, a aparente complexidade do CRQ é, na verdade, uma indicação clara de seu valor – não de potenciais obstáculos intransponíveis. Abordagens de CRQ robustas e confiáveis, como o do OpenFAIR™ do The Open Group, permitem que as organizações gerenciem as complexidades da avaliação de risco de frente com o mínimo de esforço inicial. A impressão da complexidade do CRQ é impulsionada pelo fato de que as abordagens mais tradicionais do passado muitas vezes obscurecem ou evitam lidar com algumas das nuances necessárias para uma avaliação e análise de risco rigorosas.
Limitações das avaliações de risco tradicionais
Exemplos frequentes de abordagens de avaliação e análise de risco mais tradicionais incluem deixar de considerar a incerteza do risco, usar números sem rigor de medição (por exemplo, ponderações sem contexto), focar em um conjunto incompleto de fatores de risco, fazer suposições e generalizações vagas, não exigir que os tomadores de decisão cheguem a um consenso estruturado sobre os elementos mais subjetivos do risco e não descrever o risco em termos de consequências reais e tangíveis.
Essas limitações podem levar organizações com prioridades concorrentes a tirar conclusões errôneas com uma falsa sensação de confiança nas pontuações de risco, ao mesmo tempo, em que sofrem de ineficiências operacionais desnecessárias.
Se você já viu um mapa de calor de risco, um único “número” para uma “pontuação de risco”, “vulnerabilidade” usada como um substituto para “risco”, uma avaliação que descreve a exposição hoje e não a exposição ao longo do tempo, ou uma avaliação de risco que exige que os usuários estimem o risco sem fornecer perguntas de sinalização apropriadas, você provavelmente já viu exemplos desses limites.
Infelizmente, embora essas limitações possam (parecer) simplificar o processo de avaliação e análise de risco, essa simplificação custa a qualidade da decisão e tem o potencial de não apenas aumentar o risco ao não fornecer informações de qualidade suficiente, mas também fazer assim de uma forma que fornece um falso senso de confiança.
Como o CRQ (Quantificação de Risco Cibernético) aborda essas limitações
O CRQ aborda essas questões aplicando ferramentas e conceitos que garantem uma consideração completa de todos os fatores de risco, estimativas direcionadas com suposições mais explícitas, a expressão da incerteza por meio de intervalos, o uso de unidades reais como eventos por ano ou dólares por evento e o desenvolvimento da “teoria do risco” de uma organização com base na combinação de conhecimento, experiência e dados dentro dessa organização.
Por exemplo, simplesmente consultar a Ontologia Open FAIR™ oferece uma oportunidade de chegar a um consenso sobre os fatores de risco e as oportunidades de redução de riscos. A própria ontologia encoraja questões sobre preocupações como: É um risco impulsionado pela magnitude da perda? É um risco impulsionado pela frequência de perda? Existe um problema de frequência de contrato? A perda de reputação é mesmo uma consideração? Etc
Além disso, o uso de intervalos oferece uma oportunidade significativa para as organizações capturarem e descreverem sua visibilidade de risco, para aproveitar exemplos limitados, estimando diferentes possibilidades *implícitas* por esses exemplos, descartando coisas que não acontecerão, etc.
Resumo
Começar a usar o CRQ pode parecer assustador, mas é mais fácil do que você pensa: O primeiro passo é aceitar que a perfeição não é alcançável e que delimitar e descrever a incerteza da imperfeição é um valor chave do CRQ.
O próximo passo é escolher uma ferramenta CRQ que atenda às necessidades de sua organização e começar a usá-la para avaliar o futuro incerto com o conhecimento e as informações disponíveis.
À medida que o tempo passa e o poder do CRQ se torna aparente para você e sua organização, você pode construir em direção ao estado ideal do Gartner™ de análises confiáveis e oportunas que fornecem orientação que capacita os tomadores de decisão.
