GESTÃO

Análise de Risco além
de Probabilidade
e Impacto

Luiz Guilherme Carvalho

Formado em Engenharia, MBA em Gestão de Projetos e programa executivo de Gerenciamento de
Projetos pela George Washington University, no Estados Unidos, e é especialista em Gestão de Risco. Fundador do Blog “Gerenciando Riscos em Projetos” . Possui certificações PMP®, PRINCE2®,
PRINCE2 Agile®, PMI-RMP®, C31000® e M_o_R® | contato@gerenciandoriscosemprojetos.com

FAIR (Factor Analysis Information Risk) Approach é uma metodologia de análise de risco na área de Cyber Security, mas que pode ser utilizada fora da área de Tecnologia da Informação, desde que seja compreendida a sua ontologia, que será apresentada a seguir.

Figura 1 – FAIR Ontology

Com o entendimento das definições de cada um dos elementos da ontologia do FAIR, somos capazes de compreender como a materialização do risco ocorre e podemos ir além da análise da probabilidade e impacto que alguns métodos de gestão de risco dão seu foco, e analisar o que está por trás da gestão de risco. E ainda definirmos os controles para evitar que as ameaças se materializem em perdas ou minimiza-las.

É importante deixar claro que o FAIR não considera oportunidades e somente ameaças, uma vez que foi concebido para a área de Cyber Security e no prisma deste, só há ameaças e não oportunidades. Enquanto que em outros métodos são utilizados a palavra impacto, no FAIR é utilizada a palavra perda (loss).

A seguir veremos as definições da ontologia do FAIR para uma melhor compreensão de como funciona o FAIR.

Definições

LEF – Loss Event Frequency – A frequência provável em um determinado período de tempo, que uma perda se concretizará pela ação de uma ameaça.

TEF – Threat Event Frequency – A frequência provável em um determinado período de tempo, de que ameaças se materializarão e que possa resultar em perdas.

CF – Contact Frequency – A frequência provável em um determinado período de tempo, de que ameaças entrarão em contato com aquilo que pretendemos defender (vidas, patrimônios, ativos, etc).

PoA – Probability of Action – A probabilidade de uma ameaça poder agir sobre aquilo que pretendemos defender (vidas, patrimônios, ativos, etc) após a ocorrência do contato.

Vuln – Vulnerability – A probabilidade que uma ação de uma ameaça irá resultar em perda.

TCap – Threat Capability – A capacidade de uma ameaça. Precisamos analisar quem está por trás desta ameaça (cyber criminosos, ladrões, doenças, pessoas internas, empresas terceirizadas, etc).

Diff – Difficulty – O nível de dificuldade que uma ameaça deve superar. Em versões anteriores do FAIR, ao invés do Diff, tínhamos o RS – Resistance Strengths, que a definição seria que as ameaças deveriam superar as forças de resistência.

LM – Loss Magnitude – A provável magnitude de perda primária e secundária em decorrência de um evento.

PLM – Primary Loss Magnitude – A perda de uma parte interessada primária que se materializa em decorrência do resultado de um evento.

SR – Secondary Risk – Exposição à perdas das partes interessadas primárias devido à possíveis reações secundárias ao evento primário.

SLEF – Secondary Loss Event Frequency – O percentual de eventos primários que tem efeitos secundários.

SLM – Secondary Loss Magnitude – Perdas relacionadas com reações de partes interessadas secundárias.

Cenários e exemplos práticos

Muitas das vezes as definições por si só não têm a capacidade de compreendermos, fica mais fácil através de exemplos e cenários.

Vamos supor que você pretende comprar uma casa em uma rua totalmente residencial e, antes de tomar a decisão de comprar o imóvel, deseja saber qual é o risco da almejada residência ser assaltada.

Figura 2 – Risco de assalto à residência

Para responder essa pergunta, precisamos saber qual é a nossa TEF (Threat Event Frequency), e ao fazer uma pesquisa, você descobre que no ano anterior houve duas tentativas de assalto na vizinhança. Com esses dados é um ótimo ponto de partida, mas ainda não conseguimos ter a resposta da nossa pergunta (qual o risco da casa que deseja comprar seja assaltada).

Precisamos descer mais o nível na ontologia do FAIR e verificar qual é a nossa vulnerabilidade (Vuln), ou seja, a probabilidade de um ladrão invadir a sua casa e furtar ou roubar seus bens. Precisamos analisar alguns aspectos como se a rua possui iluminação adequada, se tem vigilância 24 horas, se a residência possui portão automático, sistema de alarme, câmeras de monitoramento, etc. Todos esses itens são ajudas para a redução da vulnerabilidade e se encaixam no elemento Diff da ontologia do FAIR. Outro ponto a ser observado são as habilidades do ladrão, que este está por trás do elemento TCap da ontologia do FAIR.

Para este exemplo em questão consideramos uma vulnerabilidade baixa, na faixa de 1% a 10%, considerando os elementos que fazem parte do Diff e TCap. E ainda considerando que houve um TEF de 2 tentativas em um período de um ano sem uma LM ter sido materializada, você decidiu em concretizar a compra da nova residência por ser um risco muito baixo.

Figura 3 - Análise FAIR no cenário de assalto à residência

Pandemia do Coronavírus

O Ministério da Saúde em linha com a Organização Mundial da Saúde, orienta a população a ficar em casa e fazer o isolamento social. Mas por que o isolamento social é tão importante nessa pandemia? Abstraindo o lado médico, vamos explicar através do FAIR o por que se faz necessário o isolamento social.

Vamos relembrar a definição de CF (Contact Frequency): A frequência provável em um determinado período de tempo, de que ameaças entrarão em contato com aquilo que pretendemos defender (vidas, patrimônios, ativos, etc), e PoA (Probability of Action): A probabilidade de uma ameaça poder agir sobre aquilo que pretendemos defender (vidas, patrimônios, ativos, etc) após a ocorrência do contato.

Se houver um isolamento social e não haja aglomerações, conseguiremos reduzir a frequência de contato (CF) entre pessoas, que são os portadores do vírus, e também, consequentemente, a probabilidade de ação (PoA) de uma ameaça será bastante reduzida. Com ação do isolamento social no viés do FAIR, teremos TEF bastante reduzida.

Em relação a vulnerabilidade (Vuln), a capacidade do agente de ameaça (TCap) é letal independente de idade, mas aqueles grupos de risco são mais suscetíveis a ter maiores complicações, e para reduzir a vulnerabilidade, alguns controles (Diff) precisam ser tomados, desde os mais suscetíveis até os mais jovens.

Figura 4 - Analise FAIR no cenário do Coronavírus

Com a medida de isolamento social imposta pelos governos estaduais e municipais, as empresas estão tendo redução financeira e com isso estão demitindo funcionários, com isso, os governos terão perda em arrecadação de impostos. Dentro da ontologia do FAIR isso está caracterizado no SR – Secondary Risk – que tem a definição: Exposição às perdas das partes interessadas primárias devido à possíveis reações secundárias ao evento primário.

Já as empresas, deixando de faturar e tendo que demitir seus funcionários, se caracteriza pelo elemento SLEF – Secondary Loss Event Frequency – da ontologia, que tem por definição: O percentual de eventos primários que tem efeitos secundários.

Figura 5 - Analise FAIR no cenário do Coronavírus – parte 2

Vulnerabilidades em risco de acidentes domésticos

Em tempos de pandemia onde se faz alerta à sociedade para ficarem em casa e evitar ao máximo o contato com pessoas e aglomerações, não é à toa. O último lugar que as pessoas podem pensar em ir são os hospitais, que estão trabalhando no seu limite (e muitos já não tem mais leitos disponíveis) para atender pacientes infectados pelo COVID-19, e por esta razão, o risco de contágio cresce consideravelmente, e ir ao hospital neste momento não é uma decisão sensata, e somente em caso crítico.

Riscos de acidentes domésticos, por si só, já precisam ser minimizados e evitados em períodos de normalidade. Ninguém gosta de se acidentar. Em tempos de pandemia onde precisamos evitar ao máximo de ir a hospitais, precisamos redobrar a atenção dos riscos domésticos. As pessoas mais suscetíveis são os idosos e crianças, mas isso não quer dizer que pessoas jovens não possam se acidentar.

Um ponto de partida que as pessoas podem fazer é caminhar por suas residências com um olhar crítico e buscando por pontos vulneráveis, ou seja, aqueles pontos que tem uma ameaça iminente que algum acidente possa ocorrer.

Para ir um pouco mais a fundo sobre o conceito de vulnerabilidade, podemos referir ao método FAIR. 

Segundo o método FAIR, vulnerabilidade é “a probabilidade que uma ação de uma ameaça irá resultar em perda“. Na figura 6, é destacada a ontologia do FAIR no que se refere a parte de vulnerabilidade.

Figura 6 - Ontologia da Vulnerabilidade do Método FAIR

Para a compreensão da vulnerabilidade precisamos também definir o que é Threat Capability e Difficulty, que são componentes da vulnerabilidade e precisam ser analisados para conseguirmos definir o nível da vulnerabilidade.

De acordo com o método FAIR, Threat Capability (TCap) é “a capacidade de um