Análise de Risco Quantitativa

A avaliação e analise de risco são muito importantes para dar visibilidade da situação dos ativos assim como ajuda a priorizar os investimentos e a proteger os ativos de melhor maneira.

Avaliação de risco é parte da análise de risco, é um método de identificar vulnerabilidades e ameaças para avaliar os possíveis impactos e determinar como implementar controles de segurança.

De modo geral temos que iniciar o processo partindo basicamente da:

• identificação dos ativos e seus valores;
• identificação de possíveis vulnerabilidades;
• Determinar a probabilidade de uma ameaça explorar uma vulnerabilidade existente;
• Determinar qual o impacto dessas possíveis ameaças serem exploradas.

Claro que podemos trabalhar com esse tema em diversos cenários nos negócios, mas o foco aqui será em segurança da Informação em ambientes computacionais.

Existem dois modos de medir os riscos. Quantitativo e Qualitativo.

Neste artigo vamos aprender sobre a analise de risco quantitativo, porém muitas vezes esse método pode ser tornar muito trabalhoso e complexo frente ao qualitativo, que também tem seus contras, como por exemplo ter resultados subjetivos e não associar diretamente valores reais,

Recomendo assistir o vídeo que eu faço um resumo sobre a analise de risco em meu canal no youtube.

Analise de Risco Quantitativo

Para uma analise de risco quantitativa vamos precisar usar algumas equações matemáticas simples e de modo que podemos identificar melhor o valor do risco.

• ALE (Annual Loss Expectancy/Expectativa de Perda Anual) e nesse caso teremos que também saber o:
• ARO (Annual Rate of Occurrence) que significa a qual a frequência de ocorrências por ano dessa ameaça
• SLE (Single Loss Expectancy/Expectativa de Perda Única) e para esse resultado teremos que saber o:
• EF (Exposure Factor/Fator de Exposição) Que é um valor porcentual subjetivo relacionado a ocorrência de uma ameaça.

Para ficar ainda mais fácil o entendimento, vamos imaginar a seguinte situação onde temos um determinado ativo que são dos dados pessoais sensíveis em um laptop que não está criptografado.

Valor do Ativo, que é denominado AV (Asset Value/Valor do Ativo)

• Laptop (Sem criptografia) = R$ 3.000,00
• Dados pessoais Sensíveis = R$ 150.000,00 (multa baixa)

Ameaça existente (Lembre-se que pode haver diversas, mas estamos calculando para apenas esse tipo, se houver outras ameaças faça outros cálculos.

• Furto
• Roubo

SLE (Single Loss Expectancy/Expectativa de Perda Única) é o valor em dinheiro determinado a um único evento que representa potencial perda se uma ameaça especifica ocorrer e dependemos também do valor do fator de exposição (EF) que é a porcentagem potencial subjetiva de perda para um ativo específico se uma determinada ameaça específica acontecer.

Nesse nosso cenário o EF será de 100%, afinal se acontecer não há que fazer, mas certos cenários como por exemplo a localização de um datacenter que está sujeito a inundações e caso ocorra talvez não seja um perda de 100%, talvez seja de 30% se essa ameaça de realizar.

SLE = AV * EF

• Ativo (R$153.000,00) x 100% = R$ 153.000,00 (SLE)

Expectativa de Perda Anual (ALE) caso a empresa tx’enha a ocorrência anual (ARO) de perder laptops por roubos ou furtos de cerca de 5 ao ano será de:

ALE = SLE * ARO

• R$153.000,00 (SLE) x 5 (ARO) = R$ 765,000,00(ALE)

Conclusão: Se a implementação de um sistema de criptografia de disco e recursos de proteção contra roubos e furtos de laptops for inferior ou próximo o valor do ALE vale a pena investir então. Alias, se tratando de dados pessoais, vale a pena sempre investir na proteção dos dados.

.