Riscos cibernéticos: evoluindo da modelagem qualitativa para a quantitativa

Demandas crescentes por informação mais precisa financeiramente para que os CISOs possam tomar as melhores decisões sobre ROI dos investimentos

Author Photo
3:38 pm - 12 de outubro de 2023

A gestão e elaboração de relatórios sobre riscos cibernéticos é uma iniciativa fundamental para os líderes de segurança da informação. Depois de interagir com as principais partes interessadas nas organizações, as perguntas recorrentes para os CISOs, líderes de segurança cibernética e finalmente ao conselho de administração têm sido:

  1. Quais são os nossos principais riscos cibernéticos?
  2. Qual o valor financeiro das possíveis perdas associadas a estes riscos?
  3. Estamos gerindo eficazmente os nossos riscos cibernéticos?
  4. Estamos investindo nos controles cibernéticos corretos?
  5. Como avaliamos a eficácia do nosso programa de segurança da informação?
  6. Estamos gastando o suficiente ou demais?
  7. Qual o valor financeiro aceitável de riscos que o conselho admite e qual a tendencia para sua redução e/ou manutenção?

Ao lidar com modelos qualitativos de risco que analisam matrizes que mostram probabilidades e impactos com categorias vagamente definidas de “elevado” ou “crítico”, ou as cores verde, vermelho e amarelo, deparamo-nos com uma série de limitações.

Para começar, os limites não estão bem definidos. O teto de um “alto” não é facilmente distinguível do piso de um “crítico” sem medições. Assim, não há explicação associativa e mensurável sobre se os riscos cibernéticos aumentaram ou diminuíram materialmente.

Em segundo lugar, o nível de tolerância ao risco normalmente não é encontrado na leitura da matriz de risco. A ausência de uma sobreposição de apetite/tolerância ao risco é uma grande falha. Sem aplicar isto à tolerância ao risco, a leitura do risco fica incompleta e falta a sua relevância. Se os níveis de tolerância ao risco de uma organização puderem sustentar um nível mais elevado de risco em determinadas áreas, então declarar riscos mais elevados nessas áreas pode ser informativo, mas indigno de atenção imediata.

Em terceiro lugar, a relevância financeira é uma pedra angular para a tomada de decisões empresariais informadas em organizações com ou sem fins lucrativos. Sem um indicador de perdas financeiras associadas à leitura de risco, como as organizações poderão saber se a priorização de gastos está alinhada com o maior risco potencial? Semelhante a isto é o conhecimento de quanto risco financeiro potencial pode ser mitigado através da realização de investimentos em controles relacionados com a segurança cibernética. Com relatórios qualitativos de risco, esta é outra grande lacuna.

Modelo quantitativo

A migração para um modelo quantitativo de análise e relatórios de risco cibernético permite dados mais precisos, o que leva a uma tomada de decisão muito mais correta. Porém a mudança não é fácil para muitos.

O interessante é que medir o risco cibernético é muito parecido com medir outros riscos. Sim, é um fenómeno mais recente devido à inovação da evolução da tecnologia na manutenção e na transferência de dados. Mas, em sua essência, os elementos são bastante semelhantes as áreas correlatas de risco operacional e financeiro.

Ainda existe uma relutância em medir o risco cibernético de uma forma mais eficaz e analítica do que a abordagem baseada na inércia das escalas ordinais (por exemplo, o risco é baseado na intersecção da probabilidade e do nível de impacto). Por que existe uma reação alérgica à medição do risco cibernético utilizando um método quantitativo?

O mercado de segurança cibernética evoluiu tão rapidamente que cada empresa associa seu produto a “bala de prata” que irá resolver todos os problemas e os CISO’s baseiam suas decisões também em análises subjetivas de valor dos produtos baseados nas suas funcionalidades, mas não cruzam os valores dos investimentos contra os níveis de riscos que irão retirar da organização.

Na resolução do BACEN 4.658/2018 e da CVM 612/2019 encontramos as requisições sobre riscos cibernéticos e operacionais que entendo irão evoluir na direção dos tópicos descritos acima.

Estive apoiando alguns CISO’s nos EUA em reuniões de conselho onde nos escassos 8-10 minutos da sua participação são tomadas decisões baseadas numa linguagem financeira de investimentos x riscos e materialidade dos possíveis eventos que somente se torna viável pelos modelos analíticos da medição quantitativa dos riscos existentes e como o conselho deseja posicionar os níveis aceitáveis de riscos da organização.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.