Sete erros na gestão de riscos que você deve evitar
Fazer errado pode ser pior do que não fazer nada. Há perigo de incorporar maus hábitos que podem aumentar o risco de uma organização
Não confunda gestão de riscos com gerenciamento de risco de segurança. O objetivo do gerenciamento de risco de segurança é remover as conjecturas e ajudar a empresa a tomar decisões mais inteligentes. De acordo com Jay Jacobs, vice-presidente da Sociedade de Analistas de Risco da Informação (SIRA), a segurança é simplesmente um sistema de gestão de risco de apoio à decisão para o negócio. “Deve existir para informar as decisões da empresa.”
Infelizmente, segundo ele, muitos especialistas acreditam que a maioria das empresas não acordou para o fato, apesar dos esforços. O perigo está em incorporar maus hábitos que podem aumentar o risco de uma organização.
“Há uma percepção equivocada de que a experiência em segurança da informação equivale a do gerenciamento de risco. Na verdade, observamos muitos especialistas em segurança que se dizem especialistas também em gestão de risco. Muitas vezes, eles não são. Essas são duas disciplinas distintas”, diz Jeff Lowder, presidente da SIRA.
Para obter uma melhor compreensão de onde muitas empresas vão mal, a CSO pediu a especialistas para observarem o que as empresas fazem de errado em Gestão de Riscos de Segurança. “Em muitas organizações, com base no que vimos, realmente poderia ser melhor”, diz Jacobs.
Aqui estão os erros mais comuns e equívocos feitos na bem-intencionada gestão de riscos:
1. Partir do zero
Muitos profissionais de segurança estão tentando reinventar a disciplina de gestão de riscos de segurança. Felizmente, existem métodos bem estabelecidos na análise de risco de tarefas, como a forma de solicitar um parecer técnico e como representar a incerteza em modelos de risco. No entanto, como Jacobs e Lowder explicam, a maioria das pessoas desconhece como fazer isso corretamente, e acaba recriando não só os mesmos modelos, mas também as mesmas abordagens básicas deficientes.
“O modelo mais acertado é escolher alguns” fatores de risco ” importantes, atribuir alguma pontuação ordinal, e, em seguida, executar a aritmética básica ou colocá-los em uma matriz”, orienta Jacobs, acrescentando que muitos decisores experientes utilizam-se de métodos caseiros, gerando resultados questionáveis.
2. Replicar o departamento de auditoria
Uma forma de os programas de gestão de risco fracassarem, de acordo com Alex Hutton, diretor de Operações de Risco e de Governança de uma grane empresa de serviços financeiros, é copiar as funções do departamento de auditoria.
“Embora haja semelhanças entre os dois, os papéis são muito diferentes”, diz Hutton. A equipe de auditoria deve se preocupar com os erros que podem ocorrer por meio de falhas nos controles de segurança. É importante a preocupação com a frequência e o impacto potencial de riscos de TI, prossegue o executivo. “O papel da auditoria é ajudar a empresa a entender como implementar controles, e o papel de gestão de risco é determinar como obter o máximo de investimentos em controles de segurança e processos relacionados.”
3. Confundir precisão com acuracidade
Muitos profissionais de segurança não se sentem confortáveis em reduzir os riscos de segurança e vulnerabilidades para números simples. “Você vai ouvir as pessoas dizerem que não há tabelas atuariais relevantes, ou que não há dados suficientes para criar eventos relacionados que forneçam um valor”, diz Lowder. “Eles podem gerar uma estimativa numérica versus uma estimativa capaz de dar uma alta precisão numérica.”
4. Registrar riscos
Hutton destaca que muitas organizações avaliam os riscos que enfrentam, focam demais em listar e classificar todas as coisas que podem dar errado, fazem o chamado Registro de Riscos.
“O problema com a criação de um registro de riscos é que as pessoas nunca sabem quando parar. Quantos riscos vou continuar acumulando? Até mesmo o mais obscuro, de ataques cibernéticos com cada motivação concebível para, por exemplo, a possibilidade de um motor a jato cair pelo telhado do centro de dados? “, questiona e acrescenta que muitos dos riscos inusitados, de probabilidade baixa, podem demandar altos custos para mitigá-los.
5. Usar conceitos de risco indefinidos
As formas mais comuns de ameaças e vulnerabilidades estão classificadas em uma escala simples: baixa, média ou alta. Afinal, o que significam cada um desses níveis? “Eles realmente são quantitativos”, afirma Lowder.
“Quando você pede para defini-los, em relação à probabilidade ou frequência de eventos, ninguém parece ser capaz de concordar com o que os termos realmente significam. O resultado é que você tem essa ilusão de comunicação. Isso é mais perigoso do que tentar adicionar um pouco de precisão a um argumento”, diz Lowder.
Por exemplo, quando a probabilidade de um evento é baixa, alguns executivos vão estimar que há uma chance de 10% de isso acontecer, enquanto outros vão pensar que é 33 %. “Você quer usar os números, sempre que possível, para definir as coisas numericamente, com o objetivo de torná-las mais claras”, explica Lowder.
6. Não ter um programa de Inteligência de Risco
“Este é um grande erro”, diz Hutton. “Se o risco de segurança de TI pode ser dividido em quatro conjuntos de informações [ameaças, controles, ativos e impacto], então qualquer mudança a qualquer uma dessas condições, teria um impacto sobre a postura de risco de uma organização”, aponta. Infelizmente, as normas padrão de gestão de risco atuais demandam pouco tempo para colocar em prática um programa de inteligência de risco ou a importância dessa função. Nem explicam o que torna uma fonte válida de inteligência ou como lidar com as mudanças de novas informações e a postura da organização.
A implementação de uma função de inteligência é mais simples do que as empresas possam pensar, diz Hutton. “Elas só precisam monitorar mudanças que possam afetar o seu risco.”
7. Multiplicar os ordinais
“Este é um erro-chave a ser evitado”, sentencia Lowder. Por exemplo, imagine uma regata em que em primeiro vem o barco A, o B em segundo e em terceiro o barco C. Utilizando apenas essas informações, é impossível calcular o tempo médio para os três barcos para terminar a corrida. “Você pode ver agora a falha fatal em multiplicar valores ordinais ou tentando calcular a média de um conjunto de valores ordinais em uma escala ordinal, como primeiro, segundo, terceiro, ou de alta, média e baixa”, ressalta Lowder.
Escalas ordinais definem a ordem de classificação dos valores, eles não dizem nada sobre as quantidades representadas por esses valores. “É por isso que a média de um conjunto de valores ordinais é indefinida. Pela mesma razão, não faz sentido calcular a média de fatores de risco de gestão definidos como de alto, médio, baixo”, diz Lowder.
A gestão de risco é difícil, mas fazê-la errado pode ser pior do que não fazer nada. “Você vai tomar decisões ruins e realizar maus cálculos e processos. Isso é um passo para uma situação ainda pior”, alerta Jacobs.