A avaliação de riscos deve ser uma tarefa racional e objetiva. Nós, como humanos, com nossas emoções, às vezes podemos ser irracionais e subjetivos. Como profissionais de segurança, isto pareceria colocar-nos em conflito com o nosso dever de avaliar, gerir e mitigar objectivamente os riscos.
Infelizmente, a subjetividade introduz preconceitos, o que distorce a avaliação de riscos. Quando demasiada subjetividade é misturada na avaliação de riscos, pode produzir uma imagem de risco que não é uma representação precisa da realidade. Isso, por sua vez, resulta em uma postura geral de segurança pior.
Diante disso, como os profissionais de segurança podem remover o máximo de subjetividade possível da avaliação de riscos? Provavelmente existem muitas abordagens diferentes que podem ser adotadas. Gostaria de oferecer sete etapas que as equipes de segurança podem usar para garantir que sua avaliação, gerenciamento e mitigação de riscos sejam tão objetivas quanto possível.
- Recursos e dados críticos: Quando começamos a pensar objetivamente sobre o risco, percebemos rapidamente que precisamos nos concentrar onde há potencial para danos e perdas para o negócio. Os danos geralmente se materializam devido a perdas monetárias causadas por dados comprometidos, recursos (sistemas) comprometidos e/ou contas comprometidas. Essa perda monetária pode ocorrer na forma de perda de receita (devido à indisponibilidade do aplicativo, danos à reputação da marca, etc.), multas regulatórias, custos de divulgação, custos de remediação de violações, fraude e outros. Assim, o primeiro passo para uma avaliação objectiva do risco é enumerar recursos e dados críticos que provavelmente terão um impacto monetário nos negócios se forem afectados por um incidente de segurança.
- Impacto potencial: Uma vez enumerados os recursos e dados críticos, o impacto potencial de cada um deve ser compreendido. Por impacto potencial, queremos dizer financeiro. Em alguns casos, isto pode ser mais fácil de determinar do que em outros. Independentemente disso, este impacto terá de ser determinado como um próximo passo importante neste processo.
- Cenário de ameaças: Não faltam ameaças à segurança por aí. Alguns deles são mais relevantes e aplicáveis ao negócio do que outros. Aqueles que são relevantes precisarão ser enumerados para manter o processo de avaliação de riscos avançando.
- Mapeamento: Os riscos e ameaças a uma empresa não existem no vácuo. Conforme mencionado acima, alguns são mais relevantes e aplicáveis ao negócio do que outros. Ademais, nem todos os riscos e ameaças são relevantes e aplicáveis a todos os recursos e dados críticos que foram enumerados. Portanto, torna-se importante mapear com precisão os riscos e ameaças apropriados aos recursos e dados que têm potencial para serem impactados. Este é um exercício importante que é necessário antes que a verdadeira exposição ao risco possa ser medida.
- Exposição: Os danos a uma empresa após um incidente de segurança resultam da exposição ao risco e não do risco em termos absolutos. A exposição ao risco é definida como a probabilidade de um risco se materializar * o impacto se o risco se materializar. Se o potencial de impacto for grande, mas a probabilidade de o risco se materializar for baixa (ou vice-versa), a exposição ao risco será muito inferior ao risco em termos absolutos. Pode demorar um pouco para você se sentir confortável, mas a exposição ao risco é uma forma muito mais objetiva e racional de gerenciar riscos. Se precisar de um pouco mais de ajuda para chegar lá, pense no impacto de ganhar na loteria. Enorme, certo? No entanto, a probabilidade de ganhar na loteria é tão baixa que não conheço ninguém que tenha largado o emprego imediatamente após comprar um bilhete de loteria.
- Traduzir: Nossos executivos e conselhos entendem o risco através das lentes dos danos e perdas monetárias para o negócio. Isto é verdade para todos os riscos para o negócio, incluindo riscos de segurança. Se tivermos feito um bom trabalho ao longo dos passos 1 a 5, deveremos ser capazes de calcular o potencial impacto monetário dos riscos e ameaças que enumerámos. Para fazer isso, precisaremos usar todos os dados acima e, em particular, o impacto financeiro que avaliamos na etapa 2.
- Agregar: Embora os executivos e os conselhos de administração tenham uma boa compreensão do risco, não podemos esperar que consigam compreender o trabalho detalhado que realizámos nos passos 1 a 6. Assim, devemos identificar agrupamentos nos quais possamos agregar riscos e o potencial de perda. Por exemplo, devemos agregar em unidades de negócios, linhas de produtos, aplicações, etc. Assim que fizermos isso, poderemos apresentar a exposição ao risco aos nossos executivos e conselhos de administração na linguagem que eles esperam ver.
Eliminar o máximo de subjetividade possível do processo de avaliação de riscos requer um investimento significativo de tempo, dinheiro e recursos. É um investimento digno, no entanto. Além do trabalho inicial, a avaliação de riscos é um processo contínuo que precisará ser feito de forma iterativa para manter a postura de segurança de uma empresa e trabalhar para melhorá-la. Como um bônus adicional, uma vez que a avaliação de risco é feita de forma objetiva e em termos com os quais os executivos e conselhos possam se identificar, ela se torna uma plataforma para mostrar o valor da equipe de segurança e dos investimentos em segurança para as pessoas, processos e tecnologia necessários.