Rhand Leal
março 13, 2017
No processo de avaliação de risco, uma pergunta comum feita pelas organizações é fazer uso da abordagem quantitativa ou qualitativa. A boa notícia é que, por meio das abordagens, você pode de fato, melhorar a eficiência do seu processo para atingir os níveis desejados de segurança.
Este artigo irá apresentar os conceitos de avaliação qualitativa e quantitativa, as suas semelhanças e diferenças, e como ambas podem ser usadas na ISO 27001 para realizar de avaliações de risco de segurança da informação eficazes e eficientes.
Na avaliação de risco qualitativa, o foco é na percepção das partes interessadas sobre a probabilidade de um risco ocorrer e seu impacto sobre aspectos organizacionais pertinentes (por exemplo, financeiro, reputação, etc.). Esta percepção é representada em escalas como “baixa – média – alta” ou “1 – 2 – 3”, que são usadas para definir o valor final do risco.
Uma vez que ela tem pouca dependência matemática (o risco pode ser definido através de uma simples soma, multiplicação, ou outra forma de combinação não-matemática de valores de probabilidade e impacto), avaliação de risco qualitativa é fácil e rápida de se fazer, permitindo que uma organização tire vantagem da experiência e do conhecimento do usuário do processo / ativo que está sendo avaliado. Veja abaixo um exemplo de uma tabela usada para a avaliação de risco qualitativa:
Um problema com a avaliação qualitativa é que ela é altamente tendenciosa, tanto em termos de probabilidade quanto de definição de impacto, por aqueles que a realizam.
Por exemplo, para pessoas de RH, os impactos de RH serão mais relevantes que os impactos na qualidade, e vice-versa. Em relação ao viés em probabilidade, a falta de compreensão dos tempos de outros processos pode levar alguém a pensar que erros e falhas ocorrem mais frequentemente em seu próprio processo do que nos outros, e isso pode não ser verdade.
Esta situação com tendência geralmente faz com que a avaliação qualitativa seja útil apenas no contexto local onde é realizada, porque as pessoas fora do contexto, provavelmente, terão divergências sobre definição de valor de impacto e probabilidade.
Por outro lado, a avaliação quantitativa do risco concentra-se em dados factuais e mensuráveis, e bases altamente matemáticas e computacionais, para calcular os valores de probabilidade e impacto, normalmente expressando valores de risco em termos monetários, o que torna seus resultados úteis fora do contexto da avaliação (perda de dinheiro é compreensível para qualquer unidade de negócio). Para chegar a um resultado monetário, avaliação quantitativa dos riscos muitas vezes faz uso destes conceitos:
SLE (Single Loss Expectancy – Expectativa de uma única perda): dinheiro que se espera perder caso um incidente ocorra uma vez.
ARO (Annual Rate of Occurrence – Taxa anual de ocorrência): quantas vezes dentro de um período de um ano se espera que o incidente ocorra.
ALE (Annual Loss Expectancy – Expectativa de perda anual): dinheiro que se espera perder em um ano considerando o SLE e o ARO (ALE = SLE * ARO). Para a avaliação de risco quantitativa, este é o valor do risco.
Ao se basear em dados factuais e mensuráveis, a avaliação quantitativa dos riscos tem como principais benefícios a apresentação de resultados muito precisos sobre o valor do risco, e o investimento máximo que faria o tratamento de risco valer a pena, de forma que ele seja lucrativo para a organização. Abaixo está um exemplo de como os valores de risco são calculados através da avaliação quantitativa de risco:
Valor da base de dados: USD 2,5 milhões (SLE)
Estatísticas do fabricante informam que uma falha catastrófica da base de dados (devido a software ou hardware) ocorre uma vez a cada 10 anos (ARO = 1/10 = 0.1)
ALE = 2,5 * 0,1 = USD 250K
Isto é, neste caso a organização tem um risco anual de sofre uma perda de USD 250K em um evento de perda de sua base de dados. Assim, qualquer controle implementado (ex.: cópias de segurança, gestão correções, etc.) que custe menos do que este valor seria lucrativo.
O problema com a avaliação quantitativa é que na maior parte dos casos, não existem dados suficientes para serem analisados, ou o número de variáveis envolvidas é demasiado elevada, tornando a análise impraticável.
Como você percebeu, avaliações qualitativas e quantitativas têm características específicas que tornam cada uma melhor para um cenário específico de avaliação de risco, mas no contexto maior, combinar ambas as abordagens pode se provar ser a melhor alternativa para um processo de avaliação de riscos.
Ao usar a abordagem qualitativa primeiro, você pode identificar rapidamente a maior parte dos riscos às condições normais de operação. E as preocupações das pessoas sobre seus trabalhos podem ser usadas como uma referência rápida para ajudar a avaliar estes riscos como sendo ou não relevantes.
Depois disso, você pode usar a abordagem quantitativa sobre os riscos relevantes, para ter informações mais detalhadas para a tomada de decisão.
Um exemplo geral seria uma consulta médica. O médico primeiro faz algumas perguntas simples e, a partir das respostas do paciente, decide quais exames mais detalhados pedir, ao invés de tentar cada exame que ele conhece desde o início.
A avaliação de risco é uma das partes mais críticas da gestão de riscos, e também uma das mais complexas – afetada por questões administrativas, humanas e técnicas. Se não for feita corretamente, ela pode comprometer todos os esforços para implementar um Sistema de Gestão de Segurança da Informação ISO 27001, o que faz as organizações pensarem sobre realizar avaliações qualitativas ou quantitativas. Mas, você não precisa se basear em uma única abordagem, porque a ISO 27001 permite que tanto a avaliação de risco qualitativa quanto a quantitativa sejam realizadas.
Se a sua empresa precisa de uma avaliação de risco rápida e fácil, você pode fazer avaliações qualitativas (e é isso que 99% das empresas fazem). No entanto, se você precisa fazer um investimento realmente grande que seja fundamental para a segurança, talvez faça sentido investir tempo e dinheiro em uma avaliação quantitativa dos riscos.
Em suma, através da adopção de uma abordagem combinada, considerando as informações e o tempo de resposta necessários, e os dados e conhecimento disponíveis, você pode melhorar a eficácia e eficiência do processo de avaliação de riscos de segurança da informação baseado na ISO 27001, e também estar em conformidade com os requisitos da norma.
Para saber mais sobre avaliação de riscos, registre-se para este webinar gratuito: The basics of risk assessment and treatment according to ISO 27001.