Por Jim Hietala, VP Security, The Open Group

Na Conferência do Grupo Aberto de Londres 2013, o The Open Group® anunciou três novas iniciativas relacionadas ao trabalho do Fórum de Segurança em torno da Gestão de Riscos. A primeira delas foi a criação de um novo programa de certificação para Analistas de Risco que atuam dentro da profissão de segurança, o Programa de Certificação Open FAIR. Com o objetivo de fornecer uma certificação profissional para Analistas de Risco, o programa trará um nível de segurança muito necessário para as empresas que buscam contratar Analistas de Risco, certificando que os analistas que concluíram o programa Open FAIR entendem os fundamentos da análise de risco e estão qualificados para realizar essa análise.

Formando a base do programa de certificação Open FAIR estão dois novos padrões do Open Group, versão 2.0 do padrão de Taxonomia de Risco (O-RT) originalmente introduzido pelo Fórum de Segurança em 2009, e um novo Padrão de Análise de Risco (O-RA), ambos também foram anunciados na conferência de Londres. Essas normas são resultado de um trabalho contínuo em torno da análise de risco que o Fórum de Segurança vem realizando há vários anos, a fim de ajudar as organizações a entender melhor e identificar sua exposição ao risco, especialmente quando se trata de risco de segurança da informação.

As normas de Taxonomia de Risco e Análise de Risco não apenas formam a base e o corpo de conhecimento para a certificação Open FAIR, mas fornecem conselhos práticos para os profissionais de segurança que precisam avaliar e combater as potenciais ameaças que sua organização pode enfrentar.

O blog de hoje vai olhar para o primeiro padrão, o Padrão Técnico de Taxonomia de Risco, versão 2.0. Na próxima semana, veremos o outro padrão de análise de risco.

Taxonomia de Risco (O-RT) Padrão Técnico 2.0

Originalmente, publicado em janeiro de 2009, o O-RT destina-se a fornecer uma linguagem comum e referências para profissionais de segurança e negócios que precisam entender ou analisar condições de risco, fornecendo uma linguagem comum para eles usarem ao discutir esses riscos. A versão 2.0 do padrão contém uma série de atualizações baseadas tanto no feedback fornecido por profissionais que têm usado o padrão quanto como resultado de uma pesquisa conduzida pelo membro do Security Forum CXOWARE.

A maioria das mudanças na Versão 2.0 são refinamentos na terminologia, incluindo mudanças na linguagem que refletem melhor o que cada termo engloba. Por exemplo, o termo “Força de Controle” no padrão original foi agora alterado para “Força de Resistência” para refletir que os controles usados naquela parte da taxonomia devem ser resistentes na natureza.

Foram feitas mudanças mais substantivas na parte da taxonomia que discute como a Magnitude da Perda é avaliada.

Por que criar uma taxonomia para o risco? Por duas razões. Em primeiro lugar, a taxonomia fornece uma base a partir da qual a análise de risco pode ser realizada e falada. Em segundo lugar, uma taxonomia bem definida reduz a incapacidade de medir ou estimar efetivamente cenários de risco, levando a uma melhor tomada de decisão, como ilustrado pela seguinte “pilha de gerenciamento de riscos”.

Gestão Eficaz

Decisões bem informadas

Comparações eficazes

Medidas significativas

Modelo de risco preciso

A Taxonomia de Risco completa é composta por dois ramos: Loss Event Frequency (LEF) e Loss Magnitude (LM), ilustrado aqui:

Risk1

Focando-se unicamente no risco puro (que só resulta em perda) em vez de risco especulativo (o que pode resultar em perda ou lucro), o O-RT destina-se a ajudar a estimar a provável frequência e magnitude da perda futura.

Tradicionalmente, o LM tem sido muito mais difícil de determinar do que o LEF, em parte porque as organizações nem sempre realizam análises sobre suas perdas ou apenas se apegam a avaliar variáveis de “frutas baixas penduradas” em vez de se aprofundar em determinar fatores de risco mais complexos. A nova taxonomia mergulha fundo no ramo de Magnitude de Perdas da taxonomia de análise de risco, fornecendo orientação que permitirá aos Analistas de Risco enfrentar melhor a difícil tarefa de determinar o LM. Inclui terminologia delineando seis formas específicas de perda que uma organização pode experimentar (produtividade, resposta, substituição, multas e julgamentos, vantagem competitiva, reputação) bem como como determinar o Loss Flow, um novo conceito neste padrão.

A análise Loss Flow ajuda a identificar como uma perda pode afetar tanto as partes primárias (proprietários, funcionários, etc.) quanto as secundárias (clientes, acionistas, reguladores, etc.) como resultado da ação de um agente de ameaças sobre um ativo. A nova norma fornece uma visão geral completa sobre como avaliar o Fluxo de Perdas e identificar os fatores de perda de qualquer ameaça.

Finalmente, o padrão também inclui um cenário prático do mundo real para ajudar os analistas a entender como colocar a taxonomia para usar dentro de suas organizações. A O-RT fornece uma base linguística comum que permitirá aos profissionais de segurança realizar as análises de risco conforme descrito no Padrão O-RA.

Para mais informações sobre o Padrão de Taxonomia de Risco ou para baixá-lo, visite: https://www2.opengroup.org/ogsys/catalog/C13K.

Jim Hietala, CISSP, GSEC, é vice-presidente de segurança do Grupo Aberto, onde gerencia todos os programas de segurança de TI e gerenciamento de riscos e atividades de padrões. Participa do programa SanS Analyst/Expert e também publicou inúmeros artigos sobre segurança da informação, gerenciamento de riscos e temas de conformidade em publicações como The ISSA Journal, Bank Accounting & Finance, Risk Factor, SC Magazine, entre outros.

Artigo Original