Sete perguntas para descobrir se seu programa de segurança é efetivo

À medida que colocamos os pontos finais nos orçamentos de 2014, muitos líderes de segurança da informação demandam mais orçamento para impedir que ?coisas ruins? aconteçam mais tarde. CEOs e CSOs fazem esse movimento há anos. Hoje, contudo, muitos líderes se perguntam: ?Por que temos que investir esse montante em segurança? Como sei que estamos gastando a quantia correta? Como descubro se nosso programa de segurança realmente funciona??.

E essa última pergunta é especialmente capciosa. Ou você teve uma brecha de segurança, ou você não teve. Se você já passou por um grande incidente, você estava despreparado ou apenas sem sorte e foi alvo de um ataque dirigido? Se você não passou por uma falha, é porque sua estratégia de segurança é boa ou apenas foi sorte? Dá para ter certeza?

A resposta correta para essas perguntas é: ?A redução do risco é uma confirmação de seu programa de gestão de riscos?. Explicarei daqui a pouco, primeiro aqui estão sete questões que líderes devem perguntar aos CSOs e as respostas que devem preocupa-los:

1. Como tomo conhecimento se o programa de gestão de risco funciona?

(Alerta vermelho caso a resposta seja ?Não sei? ou ?Usamos X e X é a melhor prática do mercado?)

2. Temos uma metodologia de gestão de risco definida?

(Alerta vermelho caso a resposta seja ?Não?)

3. De onde vem a metodologia que usamos? Quais técnicas interdisciplinares usamos?

(Alerta vermelho caso a resposta seja ?Inventamos os nossos métodos? ou ?Não sei?)

4. Como medimos probabilidade, frequência e impacto no negócio? Usamos variação numérica?

(Alerta vermelho caso a resposta seja ?Não?)

5. Nossa metodologia de risco requer estimativas detalhadas e calibradas?

(Caso a resposta seja ?Não?, bem, você já sabe…)

6. O CSO consegue explicar uma falácia baseada em uma premissa inicial errada?

(A resposta deve ser ?Sim?)

7. Como mensurar probabilidade, frequência e impacto com uma escala, como ?alta?, ?média? e ?baixa?? Usamos matrizes de risco ou mapas para resumir os riscos?

(Se a resposta para ambas as perguntas seja ?Sim?, é um alerta vermelho.)

Se você já perguntou essas questões, as chances de ter várias respostas erradas é grande. Você não está sozinho. A maioria das empresas usam o que eu chamo de abordagem qualitativa que, por definição, foca em qualidades, atributos ou características. Exemplos incluem checklists de requerimentos de compliance, benchmarketing e por aí vai. Embora pareça fácil, essa abordagem não responde as perguntas importantes. Só porque meus pares estão fazendo Y, por que Y seria o meio correto para nós?

Você precisa de uma abordagem complementar a essa quantitativa que, por definição, foque em medidas numéricas que tornam possível responder nossas questões. Por exemplo:

Pergunta: Como posso saber se um investimento em segurança é um investimento bom?

Resposta: Primeiro, meça a quantidade de redução de risco alcançada com o investimento. Depois, descubra se o investimento aumentou o risco em outras áreas. Então, meça a redução de risco por custo unitário.

Bons investimentos de segurança não apenas reduzem o risco (e evitam a criação de outros riscos), eles otimizam o equilíbrio entre redução de risco e custo. Aqui está uma típica conversa entre diretores:

CFO: Como eu sei que nosso programa de segurança funciona de verdade?

CSO: Porque a perda esperada de eventos relacionados com a segurança, com esses investimentos, é menor do que seria sem eles.

CFO: Como é isso?

CSO: Pegue nosso investimento em controles de retenção de dados. Sem esses controles, sabemos que iremos sofrer uma perda média por ano, e o custo de um incidente de perda é de aproximadamente US$ 250 mil, ou seja, uma perda anual de US$ 250 mil. Com os controles de retenção de dados, sabemos que sofreremos uma média de uma perda por década, e o custo desse incidente é o mesmo, e assim, a perda anual esperada é de 0,1 x US$250.000/ano = $25.000/ano. Então a redução de risco é de US$ 250.000/ano ? US$ 25.000/ano = US$ 225.000/ano.

CFO: De onde você tirou esses números? Como você sabe a frequência desses eventos sem os controles de segurança?

CSO: Quando eles existem, usamos dados históricos. Quando não existem, usamos estimativas calibradas. As pessoas que provêm esses números passaram por treinamentos. Estudos psicológicos mostram consistentemente que esses treinamentos melhoram significativamente a precisão das estimativas feitas por essas pessoas.

CFO: Como funciona?

CSO: Quase todo mundo é sistematicamente tendencioso devido ao excesso ou à falta de confiança. O treinamento calibrado expõe as pessoas a seu viés e as ensina em como evitar isso. As pessoas aprendem, por exemplo, como estimar usando alcance e intervalos de confiança. Eles recebem uma escala de números, digamos, ?de um a dez eventos de perda por ano?, e um intervalo de confiança (IC) de, digamos, 90%. O intervalo significa simplesmente que o número atual de eventos de perda por ano está entre um e dez. A IC de 90% significa que se um expert dá 10 estimativas com 90% de IC, o intervalo é que nove dessas estimativas conteriam um número correto.

CFO: Ok, entendi. Mas com estimativas calibradas, como sabemos que estamos investindo a quantia correta?

CSO: Não queremos ter a ?segurança máxima? porque custa muito caro. Também não queremos a mínima porque ela não considera a redução de riscos. Em vez disso, queremos um equilíbrio entre custo e redução de risco. Então, medimos a redução de risco por custo unitário (RRPUC, na sigla em inglês) de diversas opções. Por exemplo, nossos controles de retenção de dados custam US$ 11 mil. Então a RRPUC equializa US$ 225.000 divididos por US$ 11.000, ou  US$ 20,45.

RRPUC mede a efetividade do custo de controle proposto na redução de risco. A RRPUC é uma, e o controle proposto não é nada mais que um controle de custo-benefício no fim das contas. Uma proporção muito maior que um, tal como os US$ 20,45 sugerem que o controle é um bom investimento.

A beleza da abordagem do RRPUC é o que permite à diretoria comparar as opções no portfólio proposto de investimentos de segurança.

Então, voltemos às questões originais:

?Como eu sei se estou investindo a quantia correta?? Você sabe que você está investindo a quantia correta porque a RRPUC força você a balancear redução de risco e custo.

?Como eu sei que o programa de segurança funciona de verdade?? A RRPUC provê ao menos uma parte da resposta porque mostrar que seus investimentos de segurança realmente reduzem os riscos.

* Jeff Lowder é ex-CSO e presidente da Sociedade de Informação Analistas de Risco (SIRA, na sigla em inglês) e diretor de segurança e privacidade da informação global na OpenMarket, subsidiária da Amdocs.