Saturday, May 11, 2002

Análise de Risco: O que se diz, o que se faz, e o que realmente é

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

É perceptível o crescente interesse das organizações brasileiras por saber qual seu grau de exposição frente às ameaças capazes de comprometer a estabilidade da sua operação. São ameaças que nos fazem suar frio: concorrentes, hackers, funcionários insatisfeitos, que somadas ao grande número de vulnerabilidades nos sistemas tecnológicos, materializam o nível de risco de uma organização. Arriscar faz parte da estratégia, conhecer e gerenciar os riscos é administrar o futuro.

Antes de detalhar o que representa uma Análise de Risco, vamos sincronizar nossos termos. Por segurança entende-se ‘certeza’. Garantir que as suas estratégias retornarão no nível desejado significa identificar e entender os riscos, para então administrá-los. Estar vivo, por exemplo, significa “arriscardiariamente”.Atravessar a rua, ir ao jogo de futebol ou dirigir são exemplos de situações que envolvem fatores de risco; mas como já estamos acostumados a enfrentá-los, formamos um instinto natural para o cálculo de energia utilizada para minimizar e controlar os riscos.

Podemos utilizar a mesma analogia para o mundo corporativo onde o “estilode vida” é a operação da empresa, a exposição é o alcance da sua operação, e a energia investida para minimizar os riscos é o investimento despendido para conhecer e controlar a situação.

Como analisar riscos sem estudar minuciosamente os processos de negócio que sustentam sua organização? Como classificar o risco destes processos sem antes avaliar as vulnerabilidades dos componentes de tecnologia relacionados a cada processo? Quais são os seus processos críticos? Aqueles que sustentam a área comercial, a área financeira ou a produção? Você saberia avaliar quantitativamente qual a importância do seu servidor de web? Para cada pergunta, uma mesma resposta: conhecer para proteger.

A Análise de Risco se divide em cinco partes de igual importância: isoladas, estas partes representam muito pouco ou quase nada. Alinhados e geridos de forma adequada, estes componentes da análise de risco podem apontar caminhos seguros na busca ao nível adequado de segurança de uma organização. Os cinco pontos são:

• Identificação e Classificação dos Processos de Negócio
• Identificação e Classificação dos Ativos
• Análise de Ameaças e Danos
• Análise de Vulnerabilidades
• Análise de Risco

Utiliza-se como métrica as melhores práticas de segurança da informação do mercado, apontadas na norma ISO/IEC 17799. A partir destas informações faz-se possível a elaboração do perfil de risco, que segue a fórmula: (Ameaça) x (Vulnerabilidade) x (Valor do Ativo) = RISCO. Atenção: a ISO/IEC 17799 não ensina a analisar o risco, serve apenas como referência normativa.

O que mais incomoda aos consultores exigentes, é o crescente número de empresas “de segurança da informação” que dizem preparar a “análise de risco”,mas na verdade fazem, quando muito, uma “análise de vulnerabilidades”.Coisa muito sem sentido, mas que até engana, afinal de contas os conceitos de Análise de Risco são ainda pouco conhecidos. Analisar riscos, definitivamente não significa passar um scanner automático na rede. Desconfie quando propuserem analisar o “risco”, sem mencionar como será avaliada a ameaça e como serão valorados os ativos (tecnológicos, humanos e processuais).

São muitas as dúvidas sobre o assunto. Reuni neste artigo apenas algumas, representando de maneira bastante objetiva, o que acredito ser de interesse dos gestores de tecnologia.

A - Por que fazer uma análise de risco?
Durante o planejamento do futuro da empresa, a Alta Administração deve garantir que todos os cuidados foram tomados para que seus planos se concretizem. A formalização de uma Análise de Risco provê um documento indicador de que este cuidado foi observado. O resultado da Análise de Risco dá à organização o controle sobre seu próprio destino – através do relatório final, pode-se identificar quais controles devem ser implementados em curto, médio e longo prazo. Há então uma relação de valor; ativos serão prottegidos com investimentos adequados ao seu valor e ao seu risco.

B - Quando fazer uma análise de riscos?
Uma análise de riscos deve ser realizada – sempre – antecedendo uinvestimento. Antes da organização iniciar um projeto, um novo processo de negócio, o desenvolvimento de uma ferramenta ou até mesmo uma relação de parceria, devese mapear, identificar e assegurar os requisitos do negócio. Em situações onde a organização nunca realizou uma Análise de Risco, recomendamos uma validação de toda a estrutura.

C - Quem deve participar da análise de riscos?
O processo de análise de riscos deve envolver especialistas em análise de riscos e especialistas no negócio da empresa – esta sinergia possibilita o foco e a qualidade do projeto. Um projeto de Análise de Risco sem o envolvimento da equipe da empresa, muito dificilmente retratará a real situação da operação.

D - Quanto tempo o projeto deve levar?
A execução do projeto deve ser realizada em tempo mínimo. Em ambientes dinâmicos a tecnologia muda muito rapidamente. Um projeto com mais de um mês em determinados ambientes -, ao final, pode estar desatualizado e não corresponder ao estado atual da organização.

Então...
Conhecer o risco é ganhar mobilidade. Alguns riscos - como o choque de um avião contra o nosso prédio -, só poderemos evitar a um alto custo; não é isso que queremos. Esse diagnóstico, que até bem pouco tempo ocultava-se sobre pequenas e isoladas iniciativas do grupo de tecnologia da informação, quase sempre relacionado a aspectos técnicos da famosa “análise de vulnerabilidades tecnológicas”, já é reconhecido como ferramenta de suporte estratégico.

O conceito de análise de risco está intimamente relacionado a figura de Competitive Intelligence (Inteligência Competitiva), uma vez que agrega “solidez” à informação corporativa. Quem sabe, com a condição de controlar as ameaças, não poderemos derivar desta ferramenta o conceito de “administração decenários”? A escolha é sua: quem dá as cartas?