Notícias

Não confunda gestão de riscos com gerenciamento de risco de segurança

Não confunda gestão de riscos com gerenciamento de risco de
segurança. O
objetivo do gerenciamento de risco de segurança é remover as conjecturas
e
ajudar a empresa a tomar decisões mais inteligentes. De acordo com Jay
Jacobs,
vice-presidente da Sociedade de Analistas de Risco da Informação (SIRA),
a gestão de risco é simplesmente um sistema de apoio à decisão para
o negócio.

Infelizmente, segundo ele, muitos especialistas acreditam que a maioria das
empresas não acordou para o fato, apesar dos esforços. O perigo está em
incorporar maus hábitos que podem aumentar o risco de uma organização.

“Há uma percepção equivocada de que a experiência em segurança da
informação equivale a do gerenciamento de risco. Na verdade, observamos muitos
especialistas em segurança que se dizem especialistas também em gestão de
risco. Muitas vezes, eles não são. Essas são duas disciplinas distintas”,
diz Jeff Lowder, presidente da SIRA.

Para obter uma melhor compreensão de onde muitas empresas vão mal, a CSO
pediu a especialistas para observarem o que as empresas fazem de errado em
Gestão de Riscos de Segurança. “Em muitas organizações, com base no que
vimos, realmente poderia ser melhor”, diz Jacobs.

Aqui estão os erros mais comuns e equívocos feitos na  bem-intencionada
gestão de riscos:

1. Partir do zero
Muitos profissionais de segurança estão tentando reinventar a disciplina de
gestão de riscos de segurança. Felizmente, existem métodos bem estabelecidos na
análise de risco de tarefas, como a forma de solicitar um parecer técnico e
como representar a incerteza em modelos de risco. No entanto, como Jacobs e
Lowder explicam, a maioria das pessoas desconhece como fazer isso corretamente,
e acaba recriando não só os mesmos modelos, mas também as mesmas abordagens
básicas deficientes.

“O modelo mais acertado é escolher alguns” fatores de risco ”
importantes, atribuir alguma pontuação ordinal, e, em seguida, executar a
aritmética básica ou colocá-los em uma matriz”, orienta Jacobs,
acrescentando que muitos decisores experientes utilizam-se de métodos caseiros,
gerando resultados questionáveis.

2. Replicar o departamento de
auditoria
Uma forma de os programas de gestão de risco fracassarem, de acordo com Alex
Hutton, diretor de Operações de Risco e de Governança de uma grane empresa de
serviços financeiros, é copiar as funções do departamento de auditoria.

“Embora haja semelhanças entre os dois, os papéis são muito
diferentes”, diz Hutton. A equipe de auditoria deve se preocupar com os
erros que  podem ocorrer por meio de falhas nos controles de segurança. É
importante a preocupação com a frequência e o impacto potencial de riscos de
TI, prossegue o executivo. “O papel da auditoria é ajudar a empresa a entender
como implementar controles,  e o papel de gestão de risco é determinar
como obter o máximo de investimentos em controles de segurança e processos
relacionados.”

3. Confundir precisão com
acuracidade
Muitos profissionais de segurança não se sentem confortáveis ​​em reduzir os
riscos de segurança e vulnerabilidades para números simples. “Você
vai ouvir as pessoas dizerem que não há tabelas atuariais relevantes, ou que
não há dados suficientes para criar eventos relacionados que forneçam um
valor”, diz Lowder. “Eles podem gerar uma estimativa numérica versus
uma estimativa capaz de dar uma alta precisão numérica.”

4. Registrar riscos
Hutton destaca que muitas organizações avaliam os riscos que enfrentam,
focam demais em listar e classificar todas as coisas que podem dar errado,
fazem o chamado Registro de Riscos.

“O problema com a criação de um registro de riscos é que as pessoas
nunca sabem quando parar. Quantos riscos vou continuar acumulando? Até mesmo o
mais obscuro, de ataques cibernéticos com cada motivação concebível para, por
exemplo, a possibilidade de um motor a jato cair pelo telhado do centro de
dados? “, questiona e acrescenta que muitos dos riscos inusitados, de
probabilidade baixa, podem demandar  altos custos para mitigá-los.

5. Usar conceitos de risco indefinidos
As formas mais comuns de ameaças e vulnerabilidades estão classificadas em
uma escala simples: baixa, média ou alta. Afinal, o que significam cada um
desses níveis? “Eles realmente são quantitativos”, afirma Lowder.

“Quando você pede para defini-los, em relação à probabilidade ou
frequência de eventos, ninguém parece ser capaz de concordar com o que os
termos realmente significam. O resultado é que você tem essa ilusão de
comunicação. Isso é mais perigoso do que tentar adicionar um pouco de precisão a
um argumento”, diz Lowder.

Por exemplo, quando a probabilidade de um evento é baixa, alguns executivos
vão estimar que há uma chance de 10% de isso acontecer, enquanto outros vão
pensar que é 33 %. “Você quer usar os números, sempre que possível, para
definir as coisas numericamente, com o objetivo de torná-las mais claras”,
 explica Lowder.

6. Não ter um programa de
Inteligência de Risco
“Este é um grande erro”, diz Hutton. “Se o risco de segurança
de TI pode ser dividido em quatro conjuntos de informações [ameaças, controles,
ativos e impacto],  então qualquer mudança a qualquer uma dessas
condições, teria um impacto sobre a postura de risco de uma organização”,
aponta. Infelizmente, as normas padrão de gestão de risco atuais demandam pouco
tempo para colocar em prática um programa de inteligência de risco ou a
importância dessa função. Nem explicam o que torna uma fonte válida de
inteligência ou como lidar com as mudanças de novas informações e a postura da
organização.

A implementação de uma função de inteligência é mais simples do que as
empresas possam pensar, diz Hutton. “Elas só precisam monitorar mudanças
que possam afetar o seu risco.”

7. Multiplicar os ordinais
“Este é um erro-chave a ser evitado”, sentencia Lowder. Por
exemplo, imagine uma regata em que em primeiro vem o barco A, o B em segundo e
em terceiro o barco C. Utilizando apenas essas informações, é impossível
calcular o tempo médio para os três barcos para terminar a corrida. “Você
pode ver agora a falha fatal em multiplicar valores ordinais ou tentando
calcular a média de um conjunto de valores ordinais em uma escala ordinal, como
primeiro, segundo, terceiro, ou de alta, média e baixa”, ressalta Lowder.

Escalas ordinais definem a ordem de classificação dos valores, eles não
dizem nada sobre as quantidades representadas por esses valores. “É por
isso que a média de um conjunto de valores ordinais é indefinida. Pela mesma
razão, não faz sentido calcular a média de fatores de risco de gestão definidos
como de alto, médio, baixo”, diz Lowder.

A gestão de risco é difícil, mas fazê-la errado pode ser pior do que não
fazer nada. “Você vai tomar decisões ruins e realizar maus cálculos e
processos. Isso é um passo para uma situação ainda pior”, alerta Jacobs.

Leave a Comment
Share
Published by
cristina.deluca
10 anos ago

Recent Posts

Pure Storage aposta em mudança de paradigma para gestão de dados corporativos

A Pure Storage está redefinindo sua estratégia de mercado com uma abordagem que abandona o…

1 dia ago

A inteligência artificial é mesmo uma catalisadora de novos unicórnios?

A inteligência artificial (IA) consolidou-se como a principal catalisadora de novos unicórnios no cenário global…

2 dias ago

Finlândia ativa a maior bateria de areia do mundo

À primeira vista, não parece grande coisa. Mas foi na pequena cidade de Pornainen, na…

2 dias ago

Reforma tributária deve elevar custos com mão de obra no setor de tecnologia

O processo de transição previsto na reforma tributária terá ao menos um impacto negativo sobre…

2 dias ago

Relação entre OpenAI e Microsoft entra em clima de tensão, aponta WSJ

O que antes parecia uma aliança estratégica sólida começa a mostrar rachaduras. Segundo reportagem do…

2 dias ago

OpenAI fecha contrato de US$ 200 milhões com Departamento de Defesa dos EUA

O Departamento de Defesa dos Estados Unidos firmou um contrato de US$ 200 milhões com…

2 dias ago