Não é de hoje que tenho escrito aqui post dizendo de que o cenário do risco cibernético é cada vez mais preocupante, complexo e dinâmico, e que ao mesmo tempo também preocupante de que infelizmente as empresas têm sempre recursos limitados para aplicar à gestão desses riscos, o que significa que as iniciativas de gestão de risco cibernético devem ser capazes de priorizar efetivamente as preocupações de risco cibernético de uma empresa ao mesmo tempo que escolhe soluções que sejam custo-efetivas.
Mas tudo isto depende da capacidade de medir o risco cibernético com um pouco mais de precisão, mas não é algo sempre óbvio e trivial, e que ainda existe muita confusão sobre os métodos de medição de risco cibernético, seus benefícios inerentes e desafios, e quais qualidades constituem uma "boa" medição de risco cibernético, tanto para métodos de medição qualitativos quanto quantitativos.
Feita esta introdução queria falar abaixo mais sobre esta quantificação do risco cibernético e como escolher uma solução em que possam usar e confiar, dando para isto uma visão geral, mas de alto nível, de abordagens de medição de risco relacionadas ao cibernético.
Para isto importante passar por alguns conceitos desde a definição do que é quantificação do risco cibernético, e como isto agrega valor, trazendo as preocupações comuns em relação a esta quantificação, e de algumas categorias de medição de risco. Sempre por saber também quais as perguntas que devem ser feitas e conhecer alguns dos sinais de alerta que devem ser observados.
Quando devidamente feita esta quantificação ajuda na gestão de risco cibernético em relação ao ter um melhor custo x benefício, assim como a alta administração entender melhor e considerar a importância das preocupações com a segurança cibernética em suas tomadas de decisão.
No entanto, realizar esta quantificação de forma confiável requer que tenha um escopo cuidadoso e claro dos cenários de eventos de perda que estão sendo medidos, assim como de um modelo analítico bem projetado; e logicamente o uso apropriado dos dados disponíveis.
Para começar assim como em qualquer outro tipo de risco, este gerenciamento de risco cibernético precisa também identificar e definir cenários de eventos de perda, compreender os fatores que afetam a probabilidade e o impacto desses eventos (ativos, ameaças e controles) e como eles interagem.
Assim como monitorar isto de forma contínua das condições dos fatores de risco e a estimativa precisa da probabilidade e do impacto dos cenários de eventos de perda são fundamentais, assim como se consiga comunicar de forma clara e precisa todas as informações relevantes para que decisões bem fundamentadas possam ser tomadas.
Abaixo dicas do que precisa fazer na visão de gestão de riscos:
Identificar e Definir os Cenários de Eventos de Perda
O primeiro passo como sempre é entender o risco, ao reconhecer e definir claramente os cenários de eventos de perda aos quais uma empresa está exposta, o que envolve entender as ameaças específicas para o ambiente e os recursos críticos.
Entender os Fatores que Afetam a Probabilidade e o Impacto
Importante compreender como os ativos, ameaças e controles interagem e afetam a probabilidade e o impacto dos cenários de eventos de perda, pois a relação entre esses fatores pode complicar as estimativas de risco, exigindo uma análise mais detalhada.
Monitoramento Contínuo das Condições dos Fatores de Risco
O ambiente cibernético está em constante mudança, exigindo monitoramento contínuo para captar novas vulnerabilidades e ameaças emergentes, assim como mudanças nos ativos organizacionais.
Estimar com Precisão a Probabilidade de Ocorrência dos Cenários de Eventos de Perda
Utilizando os dados coletados e análises apropriadas, é necessário estimar a probabilidade de ocorrência de cada cenário previsto e o impacto potencial caso ocorram.
Comparação dos Níveis de Exposição à Perda Atuais com os Estados Desejados
Este ponto envolve a comparação contínua entre o nível de risco atual e o nível de risco que a empresa considera aceitável, dentro da sua definição de apetite a riscos.
Identificar Oportunidades para Reduzir Riscos
Nos casos de quando o risco excede o estado desejado deste apetite acima, deve identificar as possibilidades para mitigar esses riscos.
Comunicação Clara e Precisa com as Partes Interessadas
Todos os pontos acima devem ser comunicados de forma clara e precisa para os stakeholders, garantindo que as decisões tomadas sejam bem informadas e baseadas em dados concretos.
Execução Confiável das Decisões de Gerenciamento de Risco
Finalmente as decisões tomadas pelos stakeholders executivos devem ser implementadas de maneira confiável e eficaz, garantindo que as medidas de mitigação de risco sejam aplicadas como planejado.
Embora esse processo possa parecer linear, na realidade, um programa de gerenciamento de risco estará realizando muitas dessas atividades constantemente e em paralelo. Assim como as oportunidades e necessidades da área de negócios evoluem, por isto este processo de gestão destes riscos também é dinâmico.
Assim como em outros tipos de risco mais conhecidos (e tradicionais), como risco de crédito, risco de mercado e risco operacional, a quantificação de risco cibernético também tem como objetivo ajudar a empresa a gerenciar sua exposição a perdas, e assim como os demais riscos aqui também é uma função da probabilidade de perda e sua magnitude ou impacto.
Ou seja, como nos demais riscos, a quantificação envolve expressar a probabilidade de eventos de perda como uma porcentagem (por exemplo: 20% de probabilidade de ocorrência nos próximos 6 meses) e a magnitude deste impacto como uma perda de valor monetário (por exemplo: R$ 1 milhão).
Mas sempre importante entender de que o objetivo não é apenas simplesmente medir o risco, mas sim ter métricas, sejam elas quantitativas ou qualitativas, para que as decisões possam ser bem tomadas, baseada em um critério lógico e racional.
Mas aonde isto vai me ajudar na prática?
Priorização
Identificar quais preocupações com risco devem ser abordadas primeiro é fundamental para gerenciar melhor os riscos.
Normalmente quando falamos de segurança cibernética ainda temos mais medições qualitativas para categorizar a significância das preocupações relacionadas ao risco, o que na maioria das vezes muitas vezes faltava o cuidado e rigor necessário para serem confiáveis.
Neste sentido o ideal era uma empresa possa classificar suas preocupações relacionadas ao risco com base em medições quantitativas, e tomar suas decisões e a defesa dessas decisões de forma mais simples, objetiva e direta.
Análise de Custo-Benefício da Mitigação dos Riscos
Uma vez que uma empresa escolhe quais preocupações com risco abordar, ela precisa determinar como mitigar esses riscos de forma eficaz, passando pelas decisões sobre como alocar um orçamento adicional de segurança cibernética ou como lidar com cortes no orçamento.
Ao quantificar, terá as informações e ferramentas necessárias para entender quais elementos do programa de segurança cibernética afetam quais cenários e em que magnitude, ajudando os stakeholders executivos a entender o valor obtido em termos de redução de risco.
Outras Proposições de Valor:
Outras vantagens incluem dar a executivos medições expressas em termos econômicos que estão acostumados (por exemplo: receita, valor, custos operacionais). Assim como facilitar comparações diretas entre riscos de diferentes domínios (por exemplo, risco cibernético versus risco de mercado). Incluir o risco cibernético ao considerar as propostas de valor de novas iniciativas de negócios. Tomar decisões sobre reservas de capital para cobrir a exposição ao risco cibernético. Selecionar ou precificar seguros de cibersegurança com base na exposição à perda. Atender às expectativas regulatórias. Melhorar a capacidade de explicar ou defender as decisões de gerenciamento de risco. Entre outras.
Apesar destes benefícios acima, o assunto ainda enfrenta desafios relacionados à confiabilidade das medidas e ao esforço necessário para implementar as medidas de forma eficaz. As preocupações incluem a qualidade dos dados, a adequação dos modelos analíticos e a complexidade dos processos de medição.
Bom sempre lembrar que essas preocupações são relevantes para qualquer método de medição de risco, mas são especialmente salientes no contexto do risco cibernético devido à percepção equivocada de que não se aplicam a medições de risco qualitativas. Vamos detalhar mais abaixo.
Confiabilidade:
Há uma crença comum no setor de segurança cibernética de que "não é possível quantificar o risco cibernético", motivadas talvez pela dificuldade e falta de dados suficientes, além da natureza dinâmica das ameaças cibernéticas, que podem alterar seus alvos e técnicas a qualquer momento, potencialmente invalidando uma medição de risco. No entanto, essas preocupações se aplicam a qualquer forma de medição de risco, seja quantitativa, qualitativa ou baseada em modelos de maturidade.
A precisão de qualquer medição complexa depende de três fatores:
Clareza sobre o escopo do que está sendo medido: Não se pode medir de forma confiável o que não foi claramente definido. Um erro comum na medição de risco cibernético é a definição inadequada do escopo, como quando uma auditoria ou varredura de vulnerabilidade identifica um servidor configurado incorretamente e classifica essa deficiência como "alto risco" sem especificar os cenários de eventos de perda relevantes.
Qualidade do modelo: Não podemos esquecer que todos os modelos são simplificações da realidade e, embora sempre imperfeitos, podem ser sim bastante úteis. Mas os modelos podem variar de ter pequenas imperfeições e limitações até os profundamente falhos. Aqui, neste caso, os modelos utilizados na medição de risco cibernético frequentemente são extremamente confiáveis, especialmente os modelos qualitativos que são informalmente aplicados.
Qualidade dos dados e como são aplicados ao modelo: A quantidade e qualidade dos dados são frequentemente citadas como preocupações em relação a esta quantificação. No entanto, mesmo a falta de dados não impede medições razoavelmente confiáveis, desde que os dados sejam usados de maneira apropriada.
Nível de Esforço:
O esforço que uma empresa precisa ter neste tema depende fortemente de dois fatores controláveis: a abrangência e a precisão da medição. Embora a resposta óbvia possa parecer ser "medir todo o cenário de risco cibernético", nem todas as partes da paisagem cibernética são igualmente importantes, pois existem pontos de maior valor e impacto que merecem maior atenção.
O segredo para gerenciar os riscos é saber quais ameaças e riscos mais relevantes deseja focar. Ainda que, infelizmente, não há uma resposta única correta para quanto esforço é necessário colocar, pois cada empresa terá suas necessidades e recursos diferentes. O importante é, no final das contas, que as empresas reconheçam que têm controle significativo sobre essa preocupação e que existe flexibilidade a esse respeito.
Existem diversas abordagens de medição de risco que trazem valor e possuem suas próprias limitações.
Medição de Risco Através de uma Matriz:
A abordagem mais comum e simplória tem sido o uso de matrizes simples 5 por 5 (ou similares) para probabilidade e impacto. Essas matrizes frequentemente utilizam escalas numéricas de 1 a 5, que são multiplicadas para chegar a uma "pontuação de risco" (por exemplo, 2 de impacto x 5 de probabilidade = 10 de risco).
Muitos sistemas e mesmo a boa e velha planilha empregam essa abordagem.
Embora usem valores numéricos, é importante entender que escalas de 1 a 5 são valores ordinais que poderiam ser substituídos por palavras (como: Alto, Médio, Baixo) ou cores (como: vermelho, amarelo, verde). Portanto, essas escalas numéricas não são valores quantitativos, mas sim rótulos para "categorias" qualitativas.
Capacidades: Se o objetivo é simplesmente categorizar cenários de eventos de perda com base em escalas de probabilidade e impacto em categorias, então essa pode ser uma abordagem rápida e de baixo custo.
Limitações: Essas medições são valores ordinais, ou seja, rótulos que não são quantitativos, ou seja, significa que não há como saber o quão menos provável é um evento classificado como "1" em comparação com um classificado como "2", nem se a diferença entre 1 e 2 é a mesma entre 2 e 3. Como resultado, fazer cálculos com esses valores é confiável no máximo.
Avaliações Focadas em Controles e Uso de Frameworks Comuns como NIST:
Muitas vezes referidas como "avaliações de risco", "avaliações de lacunas" ou "avaliações de maturidade", essas avaliações verificam se controles específicos estão presentes e funcionando conforme o pretendido. Que usam conceitos de frameworks comuns, como: NIST CSF, NIST 800-53, PCI-DSS, ISO, COBIT, entre outros. Já escrevi um texto falando de cada um e das diferenças entre eles.
Benefícios: As avaliações focadas em controles são ferramentas essenciais para verificar se controles específicos estão presentes ou funcionando como pretendido, fornecendo uma visão importante de informação para o gerenciamento eficaz de um programa de cibersegurança.
Limitações: Apesar de seu valor em identificar forças e deficiências de controle, as avaliações de controle não medem o risco por si só e não fornecem o: "E daí?" em relação a um controle deficiente. A relevância de um controle deficiente depende das características de valor e de responsabilidade dos ativos que está protegendo, das ameaças contra as quais está protegendo e da condição de outros controles.
Varreduras de Vulnerabilidade:
É comum que as empresas utilizem processos e serviços externos de varredura para identificar fraquezas relacionadas à tecnologia em suas defesas. Essas tecnologias geralmente utilizam o Sistema de Pontuação de Vulnerabilidade Comum ou um derivado desse modelo para classificar a importância de quaisquer descobertas.
Benefícios: Essas tecnologias são excelentes para identificar fraquezas relacionadas à tecnologia, informações cruciais para o gerenciamento de riscos cibernéticos.
Limitações: Embora as ferramentas baseadas no Sistema de Pontuação de Vulnerabilidade Comum sejam capazes de identificar fraquezas, o modelo de pontuação não mede o risco, muito menos de forma quantitativa. Além disso, o modelo de pontuação sofre de vários problemas, incluindo escopo incompleto e uso de valores ponderados.
Score de Pontuação Semelhante ao Crédito:
Nesta abordagem, um valor de índice (pontuação semelhante ao que se faz com score de crédito) é criado a partir de vários pontos de dados, que podem incluir algumas condições de controle da organização, padrões de tráfego de dados, características do segmento que atua, de dados relacionados a ameaças da indústria e talvez até fatores de eventos de perda relacionados à indústria. Esses pontos de dados são alimentados em um algoritmo que gera a pontuação.
Benefícios: Essas soluções tendem a ser consistentes em termos de como usam os dados e os algoritmos aplicados, sendo atualmente o meio mais confiável de benchmarking de empresas em relação a outras. Isso pode torná-las uma ferramenta muito útil para avaliar a condição de segurança de terceiros com os quais uma empresa faz negócios.
Limitações: Embora as abordagens de pontuação semelhantes ao crédito possam ser benéficas para os propósitos mencionados acima, também é importante reconhecer o que elas não podem fornecer. Especificamente, elas não são soluções de quantificação porque não medem quanto risco existe. Por exemplo, uma pontuação de 600 implica que existe menos risco do que uma pontuação de 400, mas não sabemos quanto menos risco essa diferença representa.
Avaliações de Modelos de Maturidade:
Abordagens formais para modelos de maturidade, como CMMI (Capability Maturity Model Integration), normalmente usam uma escala ordinal de 1 a 5 ou de 0 a 4 para refletir diferentes níveis de maturidade para processos específicos dentro de um programa de gerenciamento de risco ou para o programa como um todo.
Benefícios: Modelos de maturidade bem projetados podem ser uma ferramenta importante em um programa de gerenciamento de risco, fornecendo dois benefícios principais: são úteis para identificar deficiências nos processos de gerenciamento de risco, e podem ser eficazes para rastrear e relatar melhorias nos processos ao longo do tempo.
Limitações: Embora os modelos de maturidade tendam a ser numéricos, não podemos chamar isto de quantificação, porque medem a maturidade do processo ou programa de gerenciamento de risco, e não o risco propriamente dito. Portanto, uma avaliação de maturidade não descreve quanto risco uma empresa possui e não pode ser usada para priorizar deficiências ou realizar análises de custo-benefício de melhorias propostas. Além disso, como esses valores são ordinais, eles sofrem das mesmas limitações relativas a cálculos, ou seja, os resultados de quaisquer cálculos realizados nesses valores são improváveis de serem confiáveis.
Análise de Ameaças:
Houve um reconhecimento crescente da necessidade de analisar e entender melhor o cenário de ameaças cibernéticas. Como resultado, modelos de análise de ameaças foram desenvolvidos nos últimos anos para formalizar e melhorar a capacidade de avaliar a paisagem de ameaças de uma empresa, e dos modelos mais conhecidos são: DREAD e STRIDE.
Benefícios: Modelos focados em ameaças permitem uma compreensão muito mais rica e confiável da paisagem de ameaças e de como vários eventos maliciosos podem ocorrer. Essas informações podem ser excepcionalmente úteis para identificar e mitigar condições vulneráveis em software, arquitetura tecnológica e processos. Eles também podem fornecer informações sobre a frequência de eventos de ameaças e variáveis de capacidade de ameaça ao realizar análises.
Limitações: Modelos focados em ameaças tendem a se concentrar principalmente nos componentes de ameaça e vulnerabilidade de uma análise de risco, o que significa que muitas vezes deixam de fora outros fatores críticos de risco, e também tendem a se concentrar exclusivamente em eventos cibernéticos maliciosos.
Como resultado, as empresas que dependem exclusivamente desses modelos estão cobrindo apenas uma parte de seu espaço de problemas de risco cibernético (por exemplo: ignorando perdas devido a falhas tecnológicas, atos da natureza e erros humanos, como enviar informações sensíveis para o destinatário errado). Outra limitação significativa é que esses modelos tendem a confiar em abordagens de medição ordinal, o que os torna vulneráveis a todos os problemas de medição ordinal mencionados anteriormente.
Todas essas abordagens acima de medição de risco cibernético fornecem perspectivas e ferramentas úteis, mas cada uma vem com suas próprias limitações e não substituem a necessidade de uma quantificação mais robusta e bem fundamentada. Mas ao entender essas abordagens e suas limitações, as empresas podem sempre fazer suas escolhas sobre como integrar diferentes métodos de medição de risco em suas estratégias de gerenciamento de risco cibernético.
Como sempre aparecem aquelas perguntas mais tradicionais com dúvidas comuns que vou tentar resumir abaixo.
Como a metodologia de quantificação define os "riscos" que estão sendo medidos?
Se há uma "pergunta mais importante" para fazer sobre o tema é esta, pois se o escopo do risco for mal definido, suas medições não serão confiáveis, independentemente dos dados usados ou dos modelos aplicados, afinal é essencial que apenas cenários de eventos de perda possam ter probabilidade e impacto atribuídos.
Que partes das ameaças dos riscos sua solução analisa?
O risco cibernético é um subconjunto do risco de TI, que é um tema do "domínio" do risco operacional, com olhar mais amplo. Frequentemente, as linhas entre esses riscos são turvas, e podem ter responsabilidades que cruzam essas fronteiras, por que é necessário entender o que pode e o que não pode ser medido.
Que dados eles usam para a frequência de ataques e de eventos?
O uso de dados de tecnologias relacionadas a ameaças, como sistemas IDS, firewalls, logs de servidores e aplicações, soluções SIEM, dados de fóruns de compartilhamento de informações, ou uma combinação desses, é fundamental.
De onde vêm os dados relacionados ao controle?
Os dados relacionados ao controle podem vir de ferramentas de gestão de riscos, avaliações de frameworks de controle (como: NIST CSF, CAT FFIEC), tecnologias de varredura de vulnerabilidade, tecnologias antimalware, auditorias internas e outras autoavaliações, ou uma combinação desses.
De onde vêm os dados de impacto?
Dados de impacto podem ser coletados de diversas fontes, desde empresas comerciais que realizam pesquisas de impacto, até seguradoras especializadas no seguro cibernético, ou uma combinação desses.
O algoritmo deles realiza cálculos em valores ordinais?
Importante entender como a eficácia do controle é medida e representada, e se a solução suporta análises de cenários hipotéticos, que são poderosas para refletir o custo-benefício potencial de melhorias propostas na gestão de riscos.
Como os resultados finais são expressos?
Para qualificar adequadamente os resultados devem ser expressos em termos monetários e idealmente, desagregados em componentes de probabilidade e magnitude.
Uma solução de quantifica traz seus riscos?
Entender o risco agregado para um cenário específico de evento de perda ou deficiência de controle pode ser útil para a tomada de decisão tática, mas para muitas decisões estratégicas de risco, é importante saber quanto risco agregado existe para a empresa como um todo ou para múltiplos cenários.