• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Avaliações de risco qualitativa vs. quantitativas em segurança da informação: diferenças e semelhanças

    No processo de avaliação de risco, uma pergunta comum feita pelas organizações é fazer uso da abordagem quantitativa ou qualitativa. A boa notícia é que, por meio das abordagens, você pode de fato, melhorar a eficiência do seu processo para atingir os níveis desejados de segurança.

    Este artigo irá apresentar os conceitos de avaliação qualitativa e quantitativa, as suas semelhanças e diferenças, e como ambas podem ser usadas na ISO 27001 para realizar de avaliações de risco de segurança da informação eficazes e eficientes.

    Avaliação de risco qualitativa

    Na avaliação de risco qualitativa, o foco é na percepção das partes interessadas sobre a probabilidade de um risco ocorrer e seu impacto sobre aspectos organizacionais pertinentes (por exemplo, financeiro, reputação, etc.). Esta percepção é representada em escalas como “baixa – média – alta” ou “1 – 2 – 3”, que são usadas para definir o valor final do risco.

    Uma vez que ela tem pouca dependência matemática (o risco pode ser definido através de uma simples soma, multiplicação, ou outra forma de combinação não-matemática de valores de probabilidade e impacto), avaliação de risco qualitativa é fácil e rápida de se fazer, permitindo que uma organização tire vantagem da experiência e do conhecimento do usuário do processo / ativo que está sendo avaliado. Veja abaixo um exemplo de uma tabela usada para a avaliação de risco qualitativa:

    Avaliações de risco qualitativa vs. quantitativas em segurança da informação: diferenças e semelhanças - 27001Academy

    Um problema com a avaliação qualitativa é que ela é altamente tendenciosa, tanto em termos de probabilidade quanto de definição de impacto, por aqueles que a realizam.

    Por exemplo, para pessoas de RH, os impactos de RH serão mais relevantes que os impactos na qualidade, e vice-versa. Em relação ao viés em probabilidade, a falta de compreensão dos tempos de outros processos pode levar alguém a pensar que erros e falhas ocorrem mais frequentemente em seu próprio processo do que nos outros, e isso pode não ser verdade.

    Esta situação com tendência geralmente faz com que a avaliação qualitativa seja útil apenas no contexto local onde é realizada, porque as pessoas fora do contexto, provavelmente, terão divergências sobre definição de valor de impacto e probabilidade.

    Avaliação de risco quantitativa

    Por outro lado, a avaliação quantitativa do risco concentra-se em dados factuais e mensuráveis, e bases altamente matemáticas e computacionais, para calcular os valores de probabilidade e impacto, normalmente expressando valores de risco em termos monetários, o que torna seus resultados úteis fora do contexto da avaliação (perda de dinheiro é compreensível para qualquer unidade de negócio). Para chegar a um resultado monetário, avaliação quantitativa dos riscos muitas vezes faz uso destes conceitos:

    SLE (Single Loss Expectancy – Expectativa de uma única perda): dinheiro que se espera perder caso um incidente ocorra uma vez.

    ARO (Annual Rate of Occurrence – Taxa anual de ocorrência): quantas vezes dentro de um período de um ano se espera que o incidente ocorra.

    ALE (Annual Loss Expectancy – Expectativa de perda anual): dinheiro que se espera perder em um ano considerando o SLE e o ARO (ALE = SLE * ARO). Para a avaliação de risco quantitativa, este é o valor do risco.

    Ao se basear em dados factuais e mensuráveis, a avaliação quantitativa dos riscos tem como principais benefícios a apresentação de resultados muito precisos sobre o valor do risco, e o investimento máximo que faria o tratamento de risco valer a pena, de forma que ele seja lucrativo para a organização. Abaixo está um exemplo de como os valores de risco são calculados através da avaliação quantitativa de risco:

    Valor da base de dados: USD 2,5 milhões (SLE)

    Estatísticas do fabricante informam que uma falha catastrófica da base de dados (devido a software ou hardware) ocorre uma vez a cada 10 anos (ARO = 1/10 = 0.1)

    ALE = 2,5 * 0,1 = USD 250K

    Isto é, neste caso a organização tem um risco anual de sofre uma perda de USD 250K em um evento de perda de sua base de dados. Assim, qualquer controle implementado (ex.: cópias de segurança, gestão correções, etc.) que custe menos do que este valor seria lucrativo.

    O problema com a avaliação quantitativa é que na maior parte dos casos, não existem dados suficientes para serem analisados, ou o número de variáveis envolvidas é demasiado elevada, tornando a análise impraticável.

    Combinando abordagens

    Como você percebeu, avaliações qualitativas e quantitativas têm características específicas que tornam cada uma melhor para um cenário específico de avaliação de risco, mas no contexto maior, combinar ambas as abordagens pode se provar ser a melhor alternativa para um processo de avaliação de riscos.

    Ao usar a abordagem qualitativa primeiro, você pode identificar rapidamente a maior parte dos riscos às condições normais de operação. E as preocupações das pessoas sobre seus trabalhos podem ser usadas como uma referência rápida para ajudar a avaliar estes riscos como sendo ou não relevantes.

    Depois disso, você pode usar a abordagem quantitativa sobre os riscos relevantes, para ter informações mais detalhadas para a tomada de decisão.

    Um exemplo geral seria uma consulta médica. O médico primeiro faz algumas perguntas simples e, a partir das respostas do paciente, decide quais exames mais detalhados pedir, ao invés de tentar cada exame que ele conhece desde o início.

    Adapte sua abordagem para otimizar seus esforços e resultados

    A avaliação de risco é uma das partes mais críticas da gestão de riscos, e também uma das mais complexas – afetada por questões administrativas, humanas e técnicas. Se não for feita corretamente, ela pode comprometer todos os esforços para implementar um Sistema de Gestão de Segurança da Informação ISO 27001, o que faz as organizações pensarem sobre realizar avaliações qualitativas ou quantitativas. Mas, você não precisa se basear em uma única abordagem, porque a ISO 27001 permite que tanto a avaliação de risco qualitativa quanto a quantitativa sejam realizadas.

    Se a sua empresa precisa de uma avaliação de risco rápida e fácil, você pode fazer avaliações qualitativas (e é isso que 99% das empresas fazem). No entanto, se você precisa fazer um investimento realmente grande que seja fundamental para a segurança, talvez faça sentido investir tempo e dinheiro em uma avaliação quantitativa dos riscos.

    Em suma, através da adopção de uma abordagem combinada, considerando as informações e o tempo de resposta necessários, e os dados e conhecimento disponíveis, você pode melhorar a eficácia e eficiência do processo de avaliação de riscos de segurança da informação baseado na ISO 27001, e também estar em conformidade com os requisitos da norma.

    Para saber mais sobre avaliação de riscos, registre-se para este webinar gratuito:  The basics of risk assessment and treatment according to ISO 27001.

    Advisera Rhand Leal
    Autor
    Rhand Leal
    Rhand Leal tem 10 anos de experiência em segurança da informação, e por 6 anos manteve um sistema de gestão de segurança da informação baseado na ISO 27001. Rhand possui uma especialização em Gestão de Negócios pela Fundação Getúlio Vargas. Entre suas certificações estão: ISO 27001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), entre outras. Ele é membro do Capítulo Brasília do ISACA.
    Tag: #ISO 27001