Modelo FAIR para Quantificação de Riscos – Prós e Contras
O Modelo de Risco FAIR (Análise Fatorial de Risco da Informação) é um modelo quantitativo de análise de risco que ajuda as organizações a avaliar os riscos cibernéticos específicos de seu ambiente. O modelo traduz o impacto desses riscos em uma estimativa matemática de risco, analisando cenários de risco com escopo e agregando esses cenários para quantificar a exposição potencial à perda em termos monetários. O objetivo é ajudar as organizações a entender cenários de risco complexos, a fim de determinar onde eles são mais propensos a serem impactados por um ataque cibernético e qual será sua potencial perda financeira. O FAIR é projetado, mantido e promovido pelo FAIR Institute e é reconhecido pelo Open Group como um padrão internacional para quantificar o risco cibernético.
Quadro FAIR
O modelo FAIR fornece uma estrutura para dividir o risco em fatores mensuráveis e usar estatísticas e probabilidades para estimar o risco em termos quantitativos. O objetivo é analisar cenários de risco cuidadosamente definidos, identificar dados para quantificação e entender a relação entre esses fatores de risco.
O padrão FAIR é probabilístico e não preditivo. O risco é, portanto, definido como “a frequência provável e a magnitude provável da perda futura”. Em outras palavras, o FAIR avalia o risco com base em uma combinação de Frequência de Eventos de Perda (LEF) e Magnitude de Perda (PLM), onde:
Equação de risco FAIR
A frequência e a magnitude de uma perda estão ligadas a um ativo. De acordo com a FAIR, identificar um ativo e seu valor é fundamental para definir e medir o risco. Um ativo é qualquer dispositivo, dado ou outro componente da organização com valor intrínseco, que pode ser afetado de uma maneira que resulte em uma perda. Ao determinar o valor de um ativo, a FAIR considera as seguintes perdas:
- Produtividade – Reduções incorridas por uma organização devido à incapacidade de fornecer produtos e serviços essenciais.
- Resposta – Recursos gastos respondendo a um risco ou ameaça imediatamente após isso acontecer.
- Substituição – Custos de substituição de quaisquer ativos comprometidos.
- Reputação – Oportunidades perdidas ou vendas devido à diminuição da percepção dos acionistas ou da marca.
- Vantagem competitiva – Oportunidades perdidas ou custos de perda de uma vantagem competitiva, como propriedade intelectual ou uma participação de mercado.
- Sentenças e multas – Custos dos procedimentos legais ou multas decorrentes do evento de ameaça.
Um evento ou situação capaz de agir contra um ativo de uma maneira que possa resultar em qualquer uma das perdas listadas acima é referido pela estrutura FAIR como um “agente de ameaça” ou “comunidade de ameaças”. Um exemplo de tal evento ou situação é um desastre natural ou um ataque de malware contra uma rede.
Metodologia FAIR
A metodologia FAIR fornece uma maneira de avaliar os impactos e probabilidades do risco, a fim de quantificar o risco. Como indicado anteriormente, a metodologia é uma abordagem probabilística e não uma abordagem determinística e, portanto, assume aleatoriedade nos dados utilizados para análise. Ele se concentra nos ativos mais críticos para as operações da organização e contabiliza os cenários de risco mais prováveis.
Para aplicar a metodologia FAIR, o risco é quantificado considerando a frequência provável (Loss Event Frequency) e a magnitude provável da perda (Loss Magnitude). Essas duas características de risco são divididas em múltiplos fatores, como mostrado no diagrama do modelo de risco abaixo, e depois atribuído um valor monetário para medir o risco em termos quantitativos. Os valores do lado da frequência do fluxograma são multiplicados pelos valores de magnitude correspondentes para produzir estimativas de risco.
O diagrama do modelo FAIR
O Modelo FAIR (fonte: The FAIR Institute)
O Modelo FAIR (fonte: The FAIR Institute) Para entender a metodologia FAIR (Loss Event Frequency x Loss Magnitude), é importante olhar para cada lado do modelo com mais detalhes.
- Frequência de Eventos de Perda (LEF) – Calcula o número de vezes ou na taxa em que um determinado evento de perda provavelmente ocorrerá dentro de um período de tempo. A frequência do evento de perda pode ser dividida em dois fatores:
- Frequência de Eventos de Ameaças (TEF)- O número de vezes que uma ameaça ou risco pode ocorrer.
- Vulnerabilidades (Vul)- A probabilidade de que uma ameaça resulte em um evento de perda.
Esses ramos trabalham para quantificar eventos que podem se tornar um risco, bem como a probabilidade de isso acontecer. Este cálculo é informado por detalhes adicionais:
- Frequência de Contato (CF)- O número de vezes ou a taxa na qual um ativo entrará em contato com uma ameaça.
- Probabilidade de Ação (PoA)- A probabilidade de que uma ameaça atue contra um ativo após o contato.
- Capacidade de Ameaça (TCap)- O nível de força que uma ameaça, dadas as suas habilidades e recursos, pode ser aplicado contra um ativo.
- Força de Resistência (RS)- A capacidade de um ativo de resistir às tentativas de uma ameaça de comprometê-la.
O outro lado do modelo, Magnitude da Perda (LM), captura os fatores que impulsionam a magnitude da perda quando ocorrem eventos de ameaça – Primário e Secundário – que são definidos da seguinte forma:
- Perda Primária (PL)- A perda direta incorrida pela principal parte interessada devido a um evento de ameaça.
- Perda Secundária (SL)- A perda incorrida para a parte interessada primária devido às partes interessadas secundárias reagindo negativamente ao evento de perda.
Em última análise, o modelo FAIR ajuda a minimizar possíveis chances de riscos, identificando os fatores que contribuem para eles. As organizações ficam com duas maneiras de diminuir a exposição a perdas em toda a organização: reduzir o número de vezes que um evento de perda ocorre ou mitigar as perdas financeiras que surgiriam desses eventos.
Quatro etapas da avaliação de risco da metodologia FAIR
Uma organização que procura aplicar a metodologia FAIR para realizar uma avaliação de risco pode fazê-lo em quatro etapas:
Estágio 1. Identificar cenários de risco
Esse estágio envolve a identificação dos ativos em risco e as fontes de agentes de ameaças ou comunidades de ameaças que estão sendo considerados.
Estágio 2. Avaliar a frequência do evento de perda
Esse estágio é usado para coletar informações e fazer estimativas sobre Frequências de Eventos de Ameaça (TEF), Capacidade de Ameaça (TCap), Força de Resistência (RS), Vulnerabilidade (Vul) e Frequência de Eventos de Perda (LEF).
Estágio 3. Avalie a magnitude da perda
Esse estágio é usado para descobrir quanta perda uma organização pode esperar de um evento de perda primária ou secundária e a magnitude do impacto que um evento de ameaça causará dentro e fora da organização.
Estágio 4. Derivar e articular riscos
Esta etapa tem como foco classificar os fatores que compõem o risco, mensurar esses fatores e seu nível correspondente de perda e apresentar um modelo computacional que reflita a relação entre esses fatores identificados. Também envolve o uso de um modelo de simulação, como a simulação de Monte Carlo, para analisar cenários de risco e determinar seu provável impacto financeiro.
Quatro etapas da avaliação de risco da metodologia FAIR
Que questões a FAIR tenta abordar?
A FAIR tenta fornecer às organizações um meio de avaliar o impacto da perda financeira de eventos de ameaças individuais, ou de forma agregada, em vários eventos. As organizações estão procurando avaliar várias ameaças cibernéticas e obter uma visão mais profunda de como essas ameaças afetam as principais unidades de negócios ou partes interessadas. Eles estão procurando responder a perguntas como:
- Quais são os principais riscos cibernéticos?
- Quais ativos estão em maior risco?
- Qual é o impacto financeiro potencial desse evento de ameaça?
- Quantas vezes esse evento de ameaça pode ocorrer em um determinado intervalo de tempo?
- Como, e quanto, investir na redução desses riscos?
- Entre duas soluções de controle, qual delas reduziria o risco de forma mais eficaz?
Por extensão, o método de análise FAIR também dá às organizações a oportunidade de tomar decisões de negócios sobre seu orçamento de segurança cibernética, determinar qual apólice de seguro melhor se adapta aos seus riscos e escolher a solução de redução de riscos que produzirá o melhor retorno sobre o investimento. A análise FAIR também pode facilitar a conformidade regulatória.
Desvantagens de usar o modelo de risco FAIR
Quantificar o risco cibernético com base no método FAIR de quatro etapas tem várias desvantagens.
O estágio 1 do FAIR normalmente envolve um grupo de pessoas que avaliam um conjunto de ameaças consideradas e sua perda estimada e preenchem um questionário em uma ferramenta FAIR com base em seu conhecimento qualitativo. Esta etapa é:
- Demorado e caro
- Requer uma compreensão profunda da ontologia de risco FAIR
- Envolve a coleta manual de dados
- Requer informações de especialistas ou consultores relacionados a cenários
- Usa informações subjetivas que podem levar a imprecisões
O Estágio 2 e o Estágio 3 do FAIR envolvem a coleta de informações com base em cenários de risco identificados e, em seguida, a estimativa da Frequência do Evento de Perda e da Magnitude da Perda. Esta etapa:
- Muitas vezes produz informações inutilizáveis e cria uma falsa sensação de certeza devido a uma dependência excessiva da estimativa de probabilidade.
A etapa 4 do FAIR se concentra em analisar, articular e derivar o provável impacto financeiro do risco usando um modelo de simulação. Esta etapa:
- Não prioriza vulnerabilidades ou fornece etapas acionáveis que uma organização pode tomar para melhorar a postura de segurança cibernética e reduzir o risco de violação.
- Não fornece orientação de correção que pode ser usada pelas equipes de segurança para gerenciar ameaças de forma rápida e eficaz em toda a rede, pois os controles de segurança são identificados para ameaças específicas.
- Torna a remediação e a mitigação de ameaças cibernéticas de maneira contínua e repetível difíceis de operacionalizar.
As muitas desvantagens da FAIR decorrem do fato de que essa metodologia foi criada quando dados detalhados de segurança cibernética não estavam prontamente disponíveis. Isso não é mais verdade.
Paul Kelly, ex-chefe de Gerenciamento de Riscos Cibernéticos do HSBC, explica isso muito bem: “A questão aqui é que, na era digital, os ambientes de TI são dinâmicos. Novas ameaças e vulnerabilidades são identificadas com frequência. Atualizações de configuração, patches, upgrades, novas versões de código, etc., são uma característica contínua do cenário tecnológico moderno. Se você quiser entender sua exposição ao risco atual, você precisa de um mecanismo de cálculo que possa acompanhar a miríade de mudanças que acontecem diariamente. Você precisa ser capaz de tomar medidas rápidas, direcionadas e eficientes para manter sua exposição ao risco em um nível aceitável.”
Alternativas ao FAIR para Quantificação de Riscos Cibernéticos
O FAIR não é a única metodologia quantitativa para calcular o risco cibernético em dólares. As organizações que avaliam a quantificação do risco cibernético precisam considerar dois fatores importantes:
- Como operacionalizar qualquer metodologia que eles escolham para se alinhar com seus negócios
- Como automatizar a Quantificação de Riscos Cibernéticos (CRQ) em toda a organização, para que isso leve à redução real de riscos.
A falta de contexto de negócios e automação são limitações fundamentais da FAIR.
Quantificação de Risco Cibernético Balbix
Embora o FAIR exija uma grande quantidade de intervenção humana para coletar e analisar dados para calcular o risco, soluções como a Balbix Cyber Risk Quantification (CRQ) incorporam o contexto de negócios ao modelo de risco e automatizam a descoberta e quantificação de riscos.
A Balbix ingere automaticamente dados dos aplicativos de TI e segurança existentes de uma organização em um modelo unificado de risco cibernético em dólares. Essa solução calcula a probabilidade de violação e o impacto em um nível baseado em ativos e fornece opções de mitigação de riscos para que as organizações possam melhorar sua postura de segurança. À medida que as ações de correção são tomadas, o Balbix atualiza automaticamente os cálculos de risco. O resultado é um cálculo mais contínuo, em tempo real e preciso do risco cibernético. A Balbix também automatiza os relatórios de risco de nível executivo e do conselho com painéis abrangentes alinhados aos negócios.