Por Jim Hietala, VP Security, The Open Group

Na semana passada, demos uma olhada em um dos novos padrões de risco recentemente introduzidos pelo Open Group® Security Forum na The Open Group London Conference 2013, o Risk Taxonomy Technical Standard 2.0 (O-RT). O blog de hoje analisa seu padrão irmão, o Padrão de Análise de Risco (O-RA), que fornece aos profissionais de risco as ferramentas necessárias para realizar análises completas de risco dentro de suas organizações para uma melhor tomada de decisão sobre o risco.

Padrão de Análise de Riscos (O-RA)

O novo Padrão de Análise de Riscos fornece um guia abrangente para a realização de cenários de análise eficazes dentro das organizações usando a estrutura de Análise de Fatores de Risco de Informação (FAIR™). O-RA é voltado para gerenciar a frequência e a magnitude da perda que pode surgir de uma ameaça, seja humana, animal ou um evento natural – em outras palavras , “quantas vezes coisas ruins aconteceram e quão ruins elas são quando ocorrem”. Usados em conjunto, os Padrões O-RT e O-RA fornecem às organizações uma maneira de realizar uma modelagem de risco consistente, que pode não apenas ajudar a explicar completamente os fatores de risco para as partes interessadas, mas permitir que os profissionais de segurança da informação fortaleçam os métodos existentes ou criem melhores métodos de análise. O-RA também pode ser usado em conjunto com outras estruturas de risco para realizar análise de risco.

O padrão O-RA também é destinado a fornecer algo mais do que uma mera avaliação de risco. Muitos profissionais do setor de segurança muitas vezes não conseguem distinguir entre “avaliar” o risco versus a “análise” do risco. Essa norma vai além da avaliação, apoiando análises eficazes para que as declarações de risco sejam menos vulneráveis a problemas e sejam mais significativas e defensáveis do que avaliações que fornecem apenas as amplas classificações de risco (“este é um 4 em uma escala de 1 a 5”) normalmente usado em avaliações.

A O-RA também estabelece um processo padrão para abordagem da análise de risco que pode ajudar as organizações a simplificar a maneira como abordam a medição de riscos. Ao focar nesses quatro elementos principais do processo, as organizações são capazes de realizar análises mais eficazes:

  • Identificando e caracterizando claramente os ativos, ameaças, controles e elementos de impacto/perda em jogo dentro do cenário que está sendo avaliado
  • Compreender o contexto organizacional para análise (ou seja, o que está em jogo do ponto de vista organizacional)
  • Medir/estimar vários fatores de risco
  • Calcular o risco usando um modelo que representa uma visão lógica, racional e útil do que é o risco e como ele funciona.

Como a medição e o cálculo são elementos essenciais para analisar adequadamente as variáveis de risco, um capítulo inteiro da norma é dedicado à forma de medir e calibrar o risco. Este capítulo estabelece uma série de abordagens úteis para o estabelecimento de variáveis de risco, incluindo o estabelecimento de estimativas e faixas de risco de linha de base; criando faixas de distribuição e valores mais prováveis; usando simulações de Monte Carlo; contabilizando a incerteza; determinação da precisão versus precisão e critérios subjetivos versus objetivos; adusendo vulnerabilidade; usando escalas ordinais; e determinando retornos decrescentes.

Finalmente, um exemplo prático do mundo real é fornecido para levar os leitores através de um cenário real de análise de risco. Usando o modelo FAIR, o exemplo descreve o processo para lidar com uma ameaça na qual um executivo de RH de um grande banco deixou o nome de usuário e senha que lhe permitem acesso a todos os sistemas de RH da empresa em uma nota post-it abordada em seu computador em seu escritório em vista clara de qualquer pessoa (outros funcionários, equipes de limpeza, etc.) que entra no escritório.

O cenário descreve quatro etapas na avaliação desse risco:

  1. . Estágio 1: Identificar componentes do cenário (Escopo da Análise)
  2. . Estágio 2: Avaliar a Frequência de Eventos de Perda (LEF)
  3. . Estágio 3: Avaliar magnitude da perda (LM)
  4. . Fase 4: Deriva e Risco Articulado

Cada etapa do processo de análise de risco é minuciosamente delineada para o cenário para fornecer aos Analistas de Risco um exemplo de como realizar um processo de análise usando o quadro FAIR. Orientações consideráveis são fornecidas para as etapas 2 e 3, em particular, pois esses são os elementos mais críticos na determinação do risco organizacional.

Em última análise, o O-RA é um guia para ajudar as organizações a tomar melhores decisões sobre quais riscos são os mais críticos para a organização priorizar e prestar atenção contra aqueles que são menos importantes e podem não merecer atenção. É fundamental que analistas e organizações de risco se tornem mais consistentes nessa prática, pois a falta de consistência na determinação do risco entre os profissionais de segurança da informação tem sido um grande obstáculo para permitir aos profissionais de segurança um “assento na mesa” mais legítimo na sala de reuniões com outras funções de negócios (finanças, RH, etc.) dentro das organizações.

Para que nossa profissão evolua e cresça, consistência e medição precisa é fundamental. Problemas e soluções devem ser identificados de forma consistente e as comparações e a medição devem ser baseadas em bases sólidas, conforme ilustrado abaixo.

Risk2

Dependências Acorrentadas

O O-RA pode ajudar as organizações a chegar a melhores decisões através de técnicas de análise consistentes, bem como fornecer mais legitimidade dentro da profissão. Sem uma base para gerenciar o risco de informações, analistas de risco e profissionais de segurança da informação podem confiar muito na intuição, viés, agendas comerciais ou pessoais para suas análises e tomada de decisões. Ao delinear uma base minuciosa para análise de riscos, a O-RA fornece não apenas uma base comum para a realização de análises de risco, mas a oportunidade de tomar melhores decisões e avançar na profissão de segurança.

Para mais informações sobre o O-RA Standard ou para baixá-lo, visite: https://www2.opengroup.org/ogsys/catalog/C13G.

Jim Hietala, CISSP, GSEC, é vice-presidente de segurança do Grupo Aberto, onde gerencia todos os programas de segurança de TI e gerenciamento de riscos e atividades de padrões. Participa do programa SanS Analyst/Expert e também publicou inúmeros artigos sobre segurança da informação, gerenciamento de riscos e temas de conformidade em publicações como The ISSA Journal, Bank Accounting & Finance, Risk Factor, SC Magazine, entre outros.

Artigo Original