Análise de Risco Quantitativa

A avaliação e analise de risco são muito importantes para dar visibilidade da situação dos ativos assim como ajuda a priorizar os investimentos e a proteger os ativos de melhor maneira.

Avaliação de risco é parte da análise de risco, é um método de identificar vulnerabilidades e ameaças para avaliar os possíveis impactos e determinar como implementar controles de segurança.

De modo geral temos que iniciar o processo partindo basicamente da:

  • identificação dos ativos e seus valores;
  • identificação de possíveis vulnerabilidades;
  • Determinar a probabilidade de uma ameaça explorar uma vulnerabilidade existente;
  • Determinar qual o impacto dessas possíveis ameaças serem exploradas.

Claro que podemos trabalhar com esse tema em diversos cenários nos negócios, mas o foco aqui será em segurança da Informação em ambientes computacionais.

Existem dois modos de medir os riscos. Quantitativo e Qualitativo.

Neste artigo vamos aprender sobre a analise de risco quantitativo, porém muitas vezes esse método pode ser tornar muito trabalhoso e complexo frente ao qualitativo, que também tem seus contras, como por exemplo ter resultados subjetivos e não associar diretamente valores reais,

Recomendo assistir o vídeo que eu faço um resumo sobre a analise de risco em meu canal no youtube.

Analise de Risco Quantitativo

Para uma analise de risco quantitativa vamos precisar usar algumas equações matemáticas simples e de modo que podemos identificar melhor o valor do risco.

  • ALE (Annual Loss Expectancy/Expectativa de Perda Anual) e nesse caso teremos que também saber o:
  • ARO (Annual Rate of Occurrence) que significa a qual a frequência de ocorrências por ano dessa ameaça
  • SLE (Single Loss Expectancy/Expectativa de Perda Única) e para esse resultado teremos que saber o:
  • EF (Exposure Factor/Fator de Exposição) Que é um valor porcentual subjetivo relacionado a ocorrência de uma ameaça.

Para ficar ainda mais fácil o entendimento, vamos imaginar a seguinte situação onde temos um determinado ativo que são dos dados pessoais sensíveis em um laptop que não está criptografado.

Valor do Ativo, que é denominado AV (Asset Value/Valor do Ativo)

  • Laptop (Sem criptografia) = R$ 3.000,00
  • Dados pessoais Sensíveis = R$ 150.000,00 (multa baixa)

Ameaça existente (Lembre-se que pode haver diversas, mas estamos calculando para apenas esse tipo, se houver outras ameaças faça outros cálculos.

  • Furto
  • Roubo

SLE (Single Loss Expectancy/Expectativa de Perda Única) é o valor em dinheiro determinado a um único evento que representa potencial perda se uma ameaça especifica ocorrer e dependemos também do valor do fator de exposição (EF) que é a porcentagem potencial subjetiva de perda para um ativo específico se uma determinada ameaça específica acontecer.

Nesse nosso cenário o EF será de 100%, afinal se acontecer não há que fazer, mas certos cenários como por exemplo a localização de um datacenter que está sujeito a inundações e caso ocorra talvez não seja um perda de 100%, talvez seja de 30% se essa ameaça de realizar.

SLE = AV * EF

  • Ativo (R$153.000,00) x 100% = R$ 153.000,00 (SLE)

Expectativa de Perda Anual (ALE) caso a empresa tx’enha a ocorrência anual (ARO) de perder laptops por roubos ou furtos de cerca de 5 ao ano será de:

ALE = SLE * ARO

  • R$153.000,00 (SLE) x 5 (ARO) = R$ 765,000,00(ALE)

Conclusão: Se a implementação de um sistema de criptografia de disco e recursos de proteção contra roubos e furtos de laptops for inferior ou próximo o valor do ALE vale a pena investir então. Alias, se tratando de dados pessoais, vale a pena sempre investir na proteção dos dados.

.

Anúncio

Sobre Daniel Donda 550 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

2 Comentários

  1. Boa Noite Daniel Donda, tudo bem?

    Dados pessoais Sensíveis = R$ 150.000,00 (multa baixa)

    Baseando-se em que você definil esse valor? Existe alguma tabela de multas e sanções?

    Obrigado.

3 Trackbacks / Pingbacks

  1. Metasploit – Introdução – Daniel Donda
  2. STRIDE – Modelo de ameaças Microsoft – Daniel Donda
  3. O que é o que deve conter Relatório de impacto à proteção de dados pessoais (RIPD) – Daniel Donda

Faça um comentário

Seu e-mail não será divulgado.


*