DESCONTO BLACK FRIDAY
Ganhe 30% de desconto em kits de documentação, exames de cursos e planos anuais do Conformio e da Company Training Academy.
Oferta por tempo limitado – termina em 2 de dezembro de 2024
Use o código promocional:
30OFFBLACK

Avaliações de risco qualitativa vs. quantitativas em segurança da informação: diferenças e semelhanças

No processo de avaliação de risco, uma pergunta comum feita pelas organizações é fazer uso da abordagem quantitativa ou qualitativa. A boa notícia é que, por meio das abordagens, você pode de fato, melhorar a eficiência do seu processo para atingir os níveis desejados de segurança.

Este artigo irá apresentar os conceitos de avaliação qualitativa e quantitativa, as suas semelhanças e diferenças, e como ambas podem ser usadas na ISO 27001 para realizar de avaliações de risco de segurança da informação eficazes e eficientes.

Avaliação de risco qualitativa

Na avaliação de risco qualitativa, o foco é na percepção das partes interessadas sobre a probabilidade de um risco ocorrer e seu impacto sobre aspectos organizacionais pertinentes (por exemplo, financeiro, reputação, etc.). Esta percepção é representada em escalas como “baixa – média – alta” ou “1 – 2 – 3”, que são usadas para definir o valor final do risco.

Uma vez que ela tem pouca dependência matemática (o risco pode ser definido através de uma simples soma, multiplicação, ou outra forma de combinação não-matemática de valores de probabilidade e impacto), avaliação de risco qualitativa é fácil e rápida de se fazer, permitindo que uma organização tire vantagem da experiência e do conhecimento do usuário do processo / ativo que está sendo avaliado. Veja abaixo um exemplo de uma tabela usada para a avaliação de risco qualitativa:

Avaliações de risco qualitativa vs. quantitativas em segurança da informação: diferenças e semelhanças - 27001Academy

Um problema com a avaliação qualitativa é que ela é altamente tendenciosa, tanto em termos de probabilidade quanto de definição de impacto, por aqueles que a realizam.

Por exemplo, para pessoas de RH, os impactos de RH serão mais relevantes que os impactos na qualidade, e vice-versa. Em relação ao viés em probabilidade, a falta de compreensão dos tempos de outros processos pode levar alguém a pensar que erros e falhas ocorrem mais frequentemente em seu próprio processo do que nos outros, e isso pode não ser verdade.

Esta situação com tendência geralmente faz com que a avaliação qualitativa seja útil apenas no contexto local onde é realizada, porque as pessoas fora do contexto, provavelmente, terão divergências sobre definição de valor de impacto e probabilidade.

Avaliação de risco quantitativa

Por outro lado, a avaliação quantitativa do risco concentra-se em dados factuais e mensuráveis, e bases altamente matemáticas e computacionais, para calcular os valores de probabilidade e impacto, normalmente expressando valores de risco em termos monetários, o que torna seus resultados úteis fora do contexto da avaliação (perda de dinheiro é compreensível para qualquer unidade de negócio). Para chegar a um resultado monetário, avaliação quantitativa dos riscos muitas vezes faz uso destes conceitos:

SLE (Single Loss Expectancy – Expectativa de uma única perda): dinheiro que se espera perder caso um incidente ocorra uma vez.

ARO (Annual Rate of Occurrence – Taxa anual de ocorrência): quantas vezes dentro de um período de um ano se espera que o incidente ocorra.

ALE (Annual Loss Expectancy – Expectativa de perda anual): dinheiro que se espera perder em um ano considerando o SLE e o ARO (ALE = SLE * ARO). Para a avaliação de risco quantitativa, este é o valor do risco.

Ao se basear em dados factuais e mensuráveis, a avaliação quantitativa dos riscos tem como principais benefícios a apresentação de resultados muito precisos sobre o valor do risco, e o investimento máximo que faria o tratamento de risco valer a pena, de forma que ele seja lucrativo para a organização. Abaixo está um exemplo de como os valores de risco são calculados através da avaliação quantitativa de risco:

Valor da base de dados: USD 2,5 milhões (SLE)

Estatísticas do fabricante informam que uma falha catastrófica da base de dados (devido a software ou hardware) ocorre uma vez a cada 10 anos (ARO = 1/10 = 0.1)

ALE = 2,5 * 0,1 = USD 250K

Isto é, neste caso a organização tem um risco anual de sofre uma perda de USD 250K em um evento de perda de sua base de dados. Assim, qualquer controle implementado (ex.: cópias de segurança, gestão correções, etc.) que custe menos do que este valor seria lucrativo.

O problema com a avaliação quantitativa é que na maior parte dos casos, não existem dados suficientes para serem analisados, ou o número de variáveis envolvidas é demasiado elevada, tornando a análise impraticável.

Combinando abordagens

Como você percebeu, avaliações qualitativas e quantitativas têm características específicas que tornam cada uma melhor para um cenário específico de avaliação de risco, mas no contexto maior, combinar ambas as abordagens pode se provar ser a melhor alternativa para um processo de avaliação de riscos.

Ao usar a abordagem qualitativa primeiro, você pode identificar rapidamente a maior parte dos riscos às condições normais de operação. E as preocupações das pessoas sobre seus trabalhos podem ser usadas como uma referência rápida para ajudar a avaliar estes riscos como sendo ou não relevantes.

Depois disso, você pode usar a abordagem quantitativa sobre os riscos relevantes, para ter informações mais detalhadas para a tomada de decisão.

Um exemplo geral seria uma consulta médica. O médico primeiro faz algumas perguntas simples e, a partir das respostas do paciente, decide quais exames mais detalhados pedir, ao invés de tentar cada exame que ele conhece desde o início.

Adapte sua abordagem para otimizar seus esforços e resultados

A avaliação de risco é uma das partes mais críticas da gestão de riscos, e também uma das mais complexas – afetada por questões administrativas, humanas e técnicas. Se não for feita corretamente, ela pode comprometer todos os esforços para implementar um Sistema de Gestão de Segurança da Informação ISO 27001, o que faz as organizações pensarem sobre realizar avaliações qualitativas ou quantitativas. Mas, você não precisa se basear em uma única abordagem, porque a ISO 27001 permite que tanto a avaliação de risco qualitativa quanto a quantitativa sejam realizadas.

Se a sua empresa precisa de uma avaliação de risco rápida e fácil, você pode fazer avaliações qualitativas (e é isso que 99% das empresas fazem). No entanto, se você precisa fazer um investimento realmente grande que seja fundamental para a segurança, talvez faça sentido investir tempo e dinheiro em uma avaliação quantitativa dos riscos.

Em suma, através da adopção de uma abordagem combinada, considerando as informações e o tempo de resposta necessários, e os dados e conhecimento disponíveis, você pode melhorar a eficácia e eficiência do processo de avaliação de riscos de segurança da informação baseado na ISO 27001, e também estar em conformidade com os requisitos da norma.

Para saber mais sobre avaliação de riscos, registre-se para este webinar gratuito:  The basics of risk assessment and treatment according to ISO 27001.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.