Sete perguntas para descobrir se seu programa de segurança é efetivo

Author Photo
8:36 am - 09 de janeiro de 2014

À medida que colocamos os pontos finais nos orçamentos de 2014, muitos líderes de segurança da informação demandam mais orçamento para impedir que ?coisas ruins? aconteçam mais tarde. CEOs e CSOs fazem esse movimento há anos. Hoje, contudo, muitos líderes se perguntam: ?Por que temos que investir esse montante em segurança? Como sei que estamos gastando a quantia correta? Como descubro se nosso programa de segurança realmente funciona??.

E essa última pergunta é especialmente capciosa. Ou você teve uma brecha de segurança, ou você não teve. Se você já passou por um grande incidente, você estava despreparado ou apenas sem sorte e foi alvo de um ataque dirigido? Se você não passou por uma falha, é porque sua estratégia de segurança é boa ou apenas foi sorte? Dá para ter certeza?

A resposta correta para essas perguntas é: ?A redução do risco é uma confirmação de seu programa de gestão de riscos?. Explicarei daqui a pouco, primeiro aqui estão sete questões que líderes devem perguntar aos CSOs e as respostas que devem preocupa-los:

1. Como tomo conhecimento se o programa de gestão de risco funciona?

(Alerta vermelho caso a resposta seja ?Não sei? ou ?Usamos X e X é a melhor prática do mercado?)

2. Temos uma metodologia de gestão de risco definida?

(Alerta vermelho caso a resposta seja ?Não?)

3. De onde vem a metodologia que usamos? Quais técnicas interdisciplinares usamos?

(Alerta vermelho caso a resposta seja ?Inventamos os nossos métodos? ou ?Não sei?)

4. Como medimos probabilidade, frequência e impacto no negócio? Usamos variação numérica?

(Alerta vermelho caso a resposta seja ?Não?)

5. Nossa metodologia de risco requer estimativas detalhadas e calibradas?

(Caso a resposta seja ?Não?, bem, você já sabe…)

6. O CSO consegue explicar uma falácia baseada em uma premissa inicial errada?

(A resposta deve ser ?Sim?)

7. Como mensurar probabilidade, frequência e impacto com uma escala, como ?alta?, ?média? e ?baixa?? Usamos matrizes de risco ou mapas para resumir os riscos?

(Se a resposta para ambas as perguntas seja ?Sim?, é um alerta vermelho.)

Se você já perguntou essas questões, as chances de ter várias respostas erradas é grande. Você não está sozinho. A maioria das empresas usam o que eu chamo de abordagem qualitativa que, por definição, foca em qualidades, atributos ou características. Exemplos incluem checklists de requerimentos de compliance, benchmarketing e por aí vai. Embora pareça fácil, essa abordagem não responde as perguntas importantes. Só porque meus pares estão fazendo Y, por que Y seria o meio correto para nós?

Você precisa de uma abordagem complementar a essa quantitativa que, por definição, foque em medidas numéricas que tornam possível responder nossas questões. Por exemplo:

Pergunta: Como posso saber se um investimento em segurança é um investimento bom?

Resposta: Primeiro, meça a quantidade de redução de risco alcançada com o investimento. Depois, descubra se o investimento aumentou o risco em outras áreas. Então, meça a redução de risco por custo unitário.

Bons investimentos de segurança não apenas reduzem o risco (e evitam a criação de outros riscos), eles otimizam o equilíbrio entre redução de risco e custo. Aqui está uma típica conversa entre diretores:

CFO: Como eu sei que nosso programa de segurança funciona de verdade?

CSO: Porque a perda esperada de eventos relacionados com a segurança, com esses investimentos, é menor do que seria sem eles.

CFO: Como é isso?

CSO: Pegue nosso investimento em controles de retenção de dados. Sem esses controles, sabemos que iremos sofrer uma perda média por ano, e o custo de um incidente de perda é de aproximadamente US$ 250 mil, ou seja, uma perda anual de US$ 250 mil. Com os controles de retenção de dados, sabemos que sofreremos uma média de uma perda por década, e o custo desse incidente é o mesmo, e assim, a perda anual esperada é de 0,1 x US$250.000/ano = $25.000/ano. Então a redução de risco é de US$ 250.000/ano ? US$ 25.000/ano = US$ 225.000/ano.

CFO: De onde você tirou esses números? Como você sabe a frequência desses eventos sem os controles de segurança?

CSO: Quando eles existem, usamos dados históricos. Quando não existem, usamos estimativas calibradas. As pessoas que provêm esses números passaram por treinamentos. Estudos psicológicos mostram consistentemente que esses treinamentos melhoram significativamente a precisão das estimativas feitas por essas pessoas.

CFO: Como funciona?

CSO: Quase todo mundo é sistematicamente tendencioso devido ao excesso ou à falta de confiança. O treinamento calibrado expõe as pessoas a seu viés e as ensina em como evitar isso. As pessoas aprendem, por exemplo, como estimar usando alcance e intervalos de confiança. Eles recebem uma escala de números, digamos, ?de um a dez eventos de perda por ano?, e um intervalo de confiança (IC) de, digamos, 90%. O intervalo significa simplesmente que o número atual de eventos de perda por ano está entre um e dez. A IC de 90% significa que se um expert dá 10 estimativas com 90% de IC, o intervalo é que nove dessas estimativas conteriam um número correto.

CFO: Ok, entendi. Mas com estimativas calibradas, como sabemos que estamos investindo a quantia correta?

CSO: Não queremos ter a ?segurança máxima? porque custa muito caro. Também não queremos a mínima porque ela não considera a redução de riscos. Em vez disso, queremos um equilíbrio entre custo e redução de risco. Então, medimos a redução de risco por custo unitário (RRPUC, na sigla em inglês) de diversas opções. Por exemplo, nossos controles de retenção de dados custam US$ 11 mil. Então a RRPUC equializa US$ 225.000 divididos por US$ 11.000, ou  US$ 20,45.

RRPUC mede a efetividade do custo de controle proposto na redução de risco. A RRPUC é uma, e o controle proposto não é nada mais que um controle de custo-benefício no fim das contas. Uma proporção muito maior que um, tal como os US$ 20,45 sugerem que o controle é um bom investimento.

A beleza da abordagem do RRPUC é o que permite à diretoria comparar as opções no portfólio proposto de investimentos de segurança.

Então, voltemos às questões originais:

?Como eu sei se estou investindo a quantia correta?? Você sabe que você está investindo a quantia correta porque a RRPUC força você a balancear redução de risco e custo.

?Como eu sei que o programa de segurança funciona de verdade?? A RRPUC provê ao menos uma parte da resposta porque mostrar que seus investimentos de segurança realmente reduzem os riscos.

* Jeff Lowder é ex-CSO e presidente da Sociedade de Informação Analistas de Risco (SIRA, na sigla em inglês) e diretor de segurança e privacidade da informação global na OpenMarket, subsidiária da Amdocs.

 

Notícias relacionadas

Notícias
Cohesity obtém patente para aplicar IA diretamente em dados de backup corporativos
Notícias
Para Diogo Cortiz, maior desafio da IA é a falta de capacidade crítica para questionar suas respostas
Notícias
Agentes de IA vão dar “superpoderes” a profissionais de TI, diz DJ Sampath, da Cisco
Inteligência Artificial
Chatbots de bancos e fintechs não entendem as emoções dos clientes, aponta estudo
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.