Análise de Risco além
de Probabilidade
e Impacto
Luiz Guilherme Carvalho
Formado em Engenharia, MBA em Gestão de Projetos e programa executivo de Gerenciamento de
Projetos pela George Washington University, no Estados Unidos, e é especialista em Gestão de Risco. Fundador do Blog “Gerenciando Riscos em Projetos” . Possui certificações PMP®, PRINCE2®,
PRINCE2 Agile®, PMI-RMP®, C31000® e M_o_R® | contato@gerenciandoriscosemprojetos.com
FAIR (Factor Analysis Information Risk) Approach é uma metodologia de análise de risco na área de Cyber Security, mas que pode ser utilizada fora da área de Tecnologia da Informação, desde que seja compreendida a sua ontologia, que será apresentada a seguir.
Figura 1 – FAIR Ontology
Com o entendimento das definições de cada um dos elementos da ontologia do FAIR, somos capazes de compreender como a materialização do risco ocorre e podemos ir além da análise da probabilidade e impacto que alguns métodos de gestão de risco dão seu foco, e analisar o que está por trás da gestão de risco. E ainda definirmos os controles para evitar que as ameaças se materializem em perdas ou minimiza-las.
É importante deixar claro que o FAIR não considera oportunidades e somente ameaças, uma vez que foi concebido para a área de Cyber Security e no prisma deste, só há ameaças e não oportunidades. Enquanto que em outros métodos são utilizados a palavra impacto, no FAIR é utilizada a palavra perda (loss).
A seguir veremos as definições da ontologia do FAIR para uma melhor compreensão de como funciona o FAIR.
Definições
LEF – Loss Event Frequency – A frequência provável em um determinado período de tempo, que uma perda se concretizará pela ação de uma ameaça.
TEF – Threat Event Frequency – A frequência provável em um determinado período de tempo, de que ameaças se materializarão e que possa resultar em perdas.
CF – Contact Frequency – A frequência provável em um determinado período de tempo, de que ameaças entrarão em contato com aquilo que pretendemos defender (vidas, patrimônios, ativos, etc).
PoA – Probability of Action – A probabilidade de uma ameaça poder agir sobre aquilo que pretendemos defender (vidas, patrimônios, ativos, etc) após a ocorrência do contato.
Vuln – Vulnerability – A probabilidade que uma ação de uma ameaça irá resultar em perda.
TCap – Threat Capability – A capacidade de uma ameaça. Precisamos analisar quem está por trás desta ameaça (cyber criminosos, ladrões, doenças, pessoas internas, empresas terceirizadas, etc).
Diff – Difficulty – O nível de dificuldade que uma ameaça deve superar. Em versões anteriores do FAIR, ao invés do Diff, tínhamos o RS – Resistance Strengths, que a definição seria que as ameaças deveriam superar as forças de resistência.
LM – Loss Magnitude – A provável magnitude de perda primária e secundária em decorrência de um evento.
PLM – Primary Loss Magnitude – A perda de uma parte interessada primária que se materializa em decorrência do resultado de um evento.
SR – Secondary Risk – Exposição à perdas das partes interessadas primárias devido à possíveis reações secundárias ao evento primário.
SLEF – Secondary Loss Event Frequency – O percentual de eventos primários que tem efeitos secundários.
SLM – Secondary Loss Magnitude – Perdas relacionadas com reações de partes interessadas secundárias.
Cenários e exemplos práticos
Muitas das vezes as definições por si só não têm a capacidade de compreendermos, fica mais fácil através de exemplos e cenários.
Vamos supor que você pretende comprar uma casa em uma rua totalmente residencial e, antes de tomar a decisão de comprar o imóvel, deseja saber qual é o risco da almejada residência ser assaltada.
Figura 2 – Risco de assalto à residência
Para responder essa pergunta, precisamos saber qual é a nossa TEF (Threat Event Frequency), e ao fazer uma pesquisa, você descobre que no ano anterior houve duas tentativas de assalto na vizinhança. Com esses dados é um ótimo ponto de partida, mas ainda não conseguimos ter a resposta da nossa pergunta (qual o risco da casa que deseja comprar seja assaltada).
Precisamos descer mais o nível na ontologia do FAIR e verificar qual é a nossa vulnerabilidade (Vuln), ou seja, a probabilidade de um ladrão invadir a sua casa e furtar ou roubar seus bens. Precisamos analisar alguns aspectos como se a rua possui iluminação adequada, se tem vigilância 24 horas, se a residência possui portão automático, sistema de alarme, câmeras de monitoramento, etc. Todos esses itens são ajudas para a redução da vulnerabilidade e se encaixam no elemento Diff da ontologia do FAIR. Outro ponto a ser observado são as habilidades do ladrão, que este está por trás do elemento TCap da ontologia do FAIR.
Para este exemplo em questão consideramos uma vulnerabilidade baixa, na faixa de 1% a 10%, considerando os elementos que fazem parte do Diff e TCap. E ainda considerando que houve um TEF de 2 tentativas em um período de um ano sem uma LM ter sido materializada, você decidiu em concretizar a compra da nova residência por ser um risco muito baixo.
Figura 3 - Análise FAIR no cenário de assalto à residência
Pandemia do Coronavírus
O Ministério da Saúde em linha com a Organização Mundial da Saúde, orienta a população a ficar em casa e fazer o isolamento social. Mas por que o isolamento social é tão importante nessa pandemia? Abstraindo o lado médico, vamos explicar através do FAIR o por que se faz necessário o isolamento social.
Vamos relembrar a definição de CF (Contact Frequency): A frequência provável em um determinado período de tempo, de que ameaças entrarão em contato com aquilo que pretendemos defender (vidas, patrimônios, ativos, etc), e PoA (Probability of Action): A probabilidade de uma ameaça poder agir sobre aquilo que pretendemos defender (vidas, patrimônios, ativos, etc) após a ocorrência do contato.
Se houver um isolamento social e não haja aglomerações, conseguiremos reduzir a frequência de contato (CF) entre pessoas, que são os portadores do vírus, e também, consequentemente, a probabilidade de ação (PoA) de uma ameaça será bastante reduzida. Com ação do isolamento social no viés do FAIR, teremos TEF bastante reduzida.
Em relação a vulnerabilidade (Vuln), a capacidade do agente de ameaça (TCap) é letal independente de idade, mas aqueles grupos de risco são mais suscetíveis a ter maiores complicações, e para reduzir a vulnerabilidade, alguns controles (Diff) precisam ser tomados, desde os mais suscetíveis até os mais jovens.
Figura 4 - Analise FAIR no cenário do Coronavírus
Com a medida de isolamento social imposta pelos governos estaduais e municipais, as empresas estão tendo redução financeira e com isso estão demitindo funcionários, com isso, os governos terão perda em arrecadação de impostos. Dentro da ontologia do FAIR isso está caracterizado no SR – Secondary Risk – que tem a definição: Exposição às perdas das partes interessadas primárias devido à possíveis reações secundárias ao evento primário.
Já as empresas, deixando de faturar e tendo que demitir seus funcionários, se caracteriza pelo elemento SLEF – Secondary Loss Event Frequency – da ontologia, que tem por definição: O percentual de eventos primários que tem efeitos secundários.
Figura 5 - Analise FAIR no cenário do Coronavírus – parte 2
Vulnerabilidades em risco de acidentes domésticos
Em tempos de pandemia onde se faz alerta à sociedade para ficarem em casa e evitar ao máximo o contato com pessoas e aglomerações, não é à toa. O último lugar que as pessoas podem pensar em ir são os hospitais, que estão trabalhando no seu limite (e muitos já não tem mais leitos disponíveis) para atender pacientes infectados pelo COVID-19, e por esta razão, o risco de contágio cresce consideravelmente, e ir ao hospital neste momento não é uma decisão sensata, e somente em caso crítico.
Riscos de acidentes domésticos, por si só, já precisam ser minimizados e evitados em períodos de normalidade. Ninguém gosta de se acidentar. Em tempos de pandemia onde precisamos evitar ao máximo de ir a hospitais, precisamos redobrar a atenção dos riscos domésticos. As pessoas mais suscetíveis são os idosos e crianças, mas isso não quer dizer que pessoas jovens não possam se acidentar.
Um ponto de partida que as pessoas podem fazer é caminhar por suas residências com um olhar crítico e buscando por pontos vulneráveis, ou seja, aqueles pontos que tem uma ameaça iminente que algum acidente possa ocorrer.
Para ir um pouco mais a fundo sobre o conceito de vulnerabilidade, podemos referir ao método FAIR.
Segundo o método FAIR, vulnerabilidade é “a probabilidade que uma ação de uma ameaça irá resultar em perda“. Na figura 6, é destacada a ontologia do FAIR no que se refere a parte de vulnerabilidade.
Figura 6 - Ontologia da Vulnerabilidade do Método FAIR
Para a compreensão da vulnerabilidade precisamos também definir o que é Threat Capability e Difficulty, que são componentes da vulnerabilidade e precisam ser analisados para conseguirmos definir o nível da vulnerabilidade.
De acordo com o método FAIR, Threat Capability (TCap) é “a capacidade de uma ameaça” e Difficulty (Diff) é “o nível de dificuldade que uma ameaça deve superar“.
Vejamos alguns exemplos:
Ao caminhar pela sua residência em busca de pontos de vulnerabilidades, você identifica que na escada que dá acesso ao terraço, o piso está sempre molhado (TCap) e que não há nenhum corrimão nas paredes ou frisos antiderrapantes, que poderiam ser seus possíveis Diffs. Neste caso, há uma grande vulnerabilidade que um acidente ocorra neste ponto.
As crianças pequenas brincam correndo de um lado para o outro dentro de casa, e você identifica que há armários com quinas (TCap), que se alguma criança escorregar e bater com a cabeça, poderá ter um grande acidente. Um grande ponto de vulnerabilidade. Para minimizar essa situação, você compra cantoneiras (Diff) para minimizar o trauma, caso ocorra.
Seus pais idosos moram em casa sozinhos, e mesmo em um cenário de pandemia, você resolve ir até a casa deles para verificar as vulnerabilidades (claro, se cercando de todos os cuidados e utilizando máscara e uso do álcool em gel ao chegar), e constata que na cozinha o botão do fogão de acionar o fogo não está funcionando e que sua mãe idosa está usando fósforo, e por ser uma pessoa de muita idade, demora muito tempo até conseguir acender o fósforo e com o gás aberto. A demora de riscar o fósforo é um TCap elevado, então você resolve comprar um acendedor de fogão elétrico (Diff) para reduzir essa vulnerabilidade.
Atuação direta nas ameaças
Outra forma de se evitar os acidentes domésticos é atuando diretamente nas ameaças. Na seção anterior identificamos pontos de vulnerabilidades com seus componentes TCap e Diff. Como agora iremos atuar na ameaça, precisamos definir o que seja Threat Event Frequency (TEF), Contact Frequency (CF) e Probability of Action (PoA). Na figura 7 temos a ontologia do FAIR no que se refere a parte de ameaça.
Figura 7 - Ontologia do FAIR para ameaças
Segundo o método FAIR, Threat Event Frequency (TEF) é “a frequência provável em um determinado período de tempo, de que ameaças se materializarão e que possa resultar em perdas”; Contact Frequency (CF) é “a frequência provável em um determinado período de tempo, de que ameaças entrarão em contato com aquilo que temos o objetivo de defender ou preservar“; Probability of Action (PoA) é “a probabilidade de uma ameaça pode agir sobre aquilo que temos o objetivo de defender ou preservar“.
Vejamos alguns exemplos:
No exemplo da seção de vulnerabilidades onde o primeiro exemplo foi a escada de acesso ao terraço, ao determinar que ninguém irá acessar ao terraço até que as Diffs (Corrimão e friso antiderrapante) sejam providenciadas é um caso de se evitar a CF, ou seja, a ameaça não entrará em contato com as pessoas, e consequentemente a PoA será zerada, já que como as pessoas não utilizarão a escada de acesso ao terraço, a probabilidade será nula.
Da mesma forma, os pais simplesmente poderão determinar e dar ordens as crianças que elas não poderão correr dentro de casa, que seria um caso de se eliminar o CF no caso de corrida, mas nada impede que alguém tropece e também bata em uma das quinas do armário. As crianças normalmente tem muita energia e os pais não podem assegurar que elas obedecerão às ordens dos pais. Nem sempre é possível anularmos a CF e PoA. Neste caso se faz necessário reforçar às Diffs.
Na figura 8 é mostrada a ontologia completa do método FAIR para análise de riscos domésticos.
Figura 8 - Ontologia FAIR na análise de Riscos Domésticos
A definição de Loss Event Frequency (LEF), segundo o FAIR é “a frequência provável em um determinado período de tempo, que uma perda se concretizará pela ação de uma ameaça”. No cenário de riscos de acidentes domésticos, a perda seria o acidente em questão, que pode ser um ferimento ou um trauma, ou até nos casos mais severos a perda de uma vida.
Considerações Finais
Como dito no início do artigo, o FAIR foi concebido para analisar riscos dentro da área de Cyber Security, mas as pessoas sabendo suas definições e sabendo colocar em prática, pode ser aplicada em qualquer área, e também serve para analisar os riscos além de uma mera análise de probabilidade e impacto. No entanto, há outras formas de realizar análises. Não quer dizer que um método esteja certo e outros estejam errados. É como um canivete suíço, você tem metodologias a serem aplicadas, pode pegar aquela que julgue ser mais adequada para o cenário que está analisando ou pegar pedaços de alguns métodos que se complementem para realizar a análise.
Neste artigo foi feita uma análise qualitativa, mas o FAIR se adequada muito bem em análises quantitativas utilizando a Simulação de Monte Carlo.
Alguns outros conceitos não foram mencionados neste artigo, mas se fazem necessários para montar um escopo de análise, que são eles: Asset (Ativo que deve proteger), Threat Community (quem está por trás das ameaças), Threat Type (categorização das ameaças) e Effect (o efeito que terá na organização).
Em um dos exemplos utilizados neste artigo - Riscos de acidentes domésticos - aumentam consideravelmente em períodos de isolamento social, uma vez que adultos e crianças estão em casa mais tempo e vai de encontro com a definição do TEF, uma vez se houver agentes de ameaças e vulnerabilidades no ambiente residencial. E durante a semana, quando os pais estão trabalhando remotamente, o tempo de supervisão das crianças diminui, e estas ficam mais expostas.