Num artigo publicado em março de 2012 pela PricewaterhouseCoopers foi elaborado um estudo onde se fez uma revisão sobre a Gestão do Risco, resultante de uma pesquisa efetuada a mais de mil executivos e líderes mundiais de Gestão do Risco. De acordo com a PWC (2012), a maioria dos executivos entrevistados acredita que os riscos estão a aumentar, fruto da mudança nos paradigmas genericamente aceites e de um mundo cada vez mais globalizado e com fluxos tecnológicos e de capital mais rápidos e intensos. Por forma a responder a esta nova era do Risco, os líderes empresariais começaram a reconhecer o impacto dos riscos, pois reorganizaram-se em termos estruturais, integrando a Gestão do Risco nas demais funções das organizações. Contudo, a abordagem eficaz à Gestão de Risco permanece um trabalho contínuo, sendo que muitas empresas ainda se encontram numa fase de identificação dos riscos críticos ou à procura de formas de conciliar a sua estratégica com a condução dos riscos no dia-a-dia. Kanwardeep Ahluwali faz uma afirmação curiosa acerca do aumento dos riscos, ao dizer que “talvez nós sintamos que o risco está a crescer, simplesmente porque sabemos mais”. Já para Ken Coy, as empresas não necessitam só de reagir, mas sim de “reagir mais rapidamente que os seus concorrentes”. Na ótica de Jason Pett, o desafio consiste também em passar de uma Gestão do Risco reativa para uma função proativa e resiliente que antecipe riscos e ajude a posicionar uma organização perante novas ameaças e oportunidades (PWC, 2012).
Talbot e Jakeman (2009) e Wake (2012f) afirmam que a Segurança está envolvida em qualquer decisão que fazemos e qualquer atividade que realizamos. As contribuições da Gestão da Segurança para a sociedade em geral são fáceis de subestimar, mas bastante difíceis de ignorar. A verdade é que a preocupação com a Segurança existe desde os inícios da nossa espécie e, ainda assim, continua-se a lutar para definir e gerir de forma consistente os nossos riscos de segurança. Ao longo das nossas vidas levamos em consideração as nossas próprias lições e experiências relativamente aos riscos que são suscetíveis de acontecer e, em caso afirmativo, qual o seu impacto. De seguida, ponderamos com base no benefício esperado e decidimos como agir. Para a maioria das pessoas, este processo é feito automaticamente, sem qualquer pensamento crítico ou consciente. Porque, na prática, todos sabemos que nada pode ser 100% seguro e que a Segurança é sempre o trade-off entre forças concorrentes. Este trade-off, por sua vez, é fornecido pela Gestão do Risco, cuja abordagem pode ser observada na Figura 5.
De acordo com Talbot e Jakeman (2009), um risco de segurança é qualquer evento que possa resultar no comprometimento de um ou mais ativos organizacionais. O uso não autorizado, perda, dano, divulgação ou modificação de ativos da organização para fins lucrativos, interesses pessoais ou interesses políticos compromete os ativos, podendo afetar adversamente a empresa, as suas unidades de negócios e os seus clientes. Como tal, a consideração dos riscos de segurança é um elemento vital da Gestão do Risco. De facto, a ameaça determina o risco, que por sua vez determina contramedidas. Na prática, este é um ciclo em que cada contramedida muda o contexto e: ou introduz novos riscos ou, no mínimo, modifica os métodos de ataque dos atores de ameaça. Isso, por sua vez, modifica o risco e assim sucessivamente.
A discussão sobre a convergência das diferentes disciplinas da Segurança é tema de debate a nível internacional. O tema assumiu maior relevância em 2005 com a criação da Alliance for Enterprise Security Risk Management (AESRM), resultado de duas associações ligadas à segurança lógica e uma ligada à segurança física. A ASIS International, uma das associações anteriores, participou assim neste esforço colaborativo, apelidado de Enterprise Security Risk Management (ESRM), para criar uma abordagem integrada de identificação e tratamento de todos os riscos de segurança que as organizações enfrentam. Com a abordagem holística da ESRM, veio a perceção de que todo um conjunto de questões de negócios que não eram tradicionalmente associadas à área da Segurança, faziam agora parte do equilíbrio da mesma, manifestando a importância de ter profissionais de Segurança com experiência no domínio da gestão empresarial (Bento, 2013; The CSO Roundtable of ASIS International, 2010).
Existem diferentes modelos organizacionais de governação da Segurança nas instituições. Estes modelos vão desde a abordagem tradicional da segregação em “silos” das diferentes vertentes da Segurança, até uma visão holística transversal. Segundo Bento (2013), até à cerca de uma década atrás, ambas as disciplinas de Segurança Lógica e Física pareciam coexistir em dois mundos distintos e separados, como se inseridos em dois silos verticais. A mudança de paradigma dá-se quando, devido à evolução tecnológica, os equipamentos de Segurança Física passam a estar interligados com a Segurança Lógica.
A visão holística da Segurança dada pela AESRM refere-se, portanto, à convergência das diferentes funções da Segurança dentro de uma instituição, através de uma abordagem mais abrangente, de acordo com a norma ISO 31000, numa perspetiva transversal a toda a empresa. Existe, assim, a nível internacional, o reconhecimento dos benefícios de uma visão holística da Segurança, fazendo parte integrante do programa global da Gestão do Risco – ERM (Enterprise Risk Management). A ASIS International faz questão de reconhecer a ESRM como um elemento-chave entre as oportunidades e desafios em termos de Segurança, realçando a necessidade de promover o entendimento do ESRM entre os vários membros dentro de uma organização (Bento, 2013; The CSO Roundtable of ASIS International, 2010).
Bom, mas em que consiste efetivamente a ESRM? Embora nos últimos anos se tenha procurado esclarecer este conceito, a verdadeira compreensão do mesmo surge, a meu ver, a novembro do ano passado com Allen e Loyear. Os autores apresentam uma interpretação simples e direta para Enterprise Security Risk Management, definindo ESRM como a aplicação de princípios fundamentais do Risco para gerir os riscos de Segurança através de uma abordagem abrangente, holística e compreensível (Allen e Loyear, 2016).
É possível fazer um paralelo entre as definições de Enterprise Risk Management (ERM) e Enterprise Security Risk Management (ESRM). Ambas consistem num conjunto de processos, estruturas e, acima de tudo, cultura. Porém, enquanto na ERM, estes são direcionados para a realização de oportunidades potenciais, ao mesmo tempo que gerem os efeitos adversos, na ESRM estes são direcionados para maximizar os benefícios e minimizar os efeitos adversos associados a ações intencionais e injustificadas contra os ativos organizacionais. De forma sintética, a ERM examina todo o universo de riscos que uma dada organização enfrenta, quer sejam financeiros, estratégicos, acidentais, etc. No entanto, a ERM nem sempre tem em
Figura 6 – Modelo Relacional da Metodologia de Análise do Risco (Fonte: Armaghan et al, 2012)
consideração de uma forma plena os riscos tradicionalmente associados à Segurança. ESRM é, assim, uma filosofia que procura garantir que esses riscos são adequadamente considerados e tratados. Assim sendo, a ERM foca-se em todos os aspetos do Risco Organizacional, de realçar um especial foco nos riscos financeiros. É um programa definido com estrutura específica, geralmente com um departamento atribuído. Os programas podem ou não incluir / analisar riscos relacionados com a Segurança, como parte do perfil do Risco geral da organização (SAI Global, 2006; The CSO Roundtable of ASIS International, 2010).
A ESRM concentra-se exclusivamente na gestão de riscos de Segurança para os ativos da organização. É uma filosofia de trabalho de gestão de riscos de Segurança através de princípios tradicionais, não atendendo a riscos fora do domínio da Segurança. A missão da ESRM é identificar, avaliar e tratar os riscos de segurança para mitigar possíveis impactos negativos na organização, com atividades de proteção priorizadas que permitem ao negócio avançar a sua missão geral. Os objetivos da ESRM passam por um envolvimento no negócio com vista ao estabelecimento de políticas, normas e procedimentos organizacionais para identificar e gerir riscos de segurança na organização de uma forma eficaz, eficiente e consistente. A ESRM oferece uma resposta muito simples, altamente definitiva e extremamente útil, na qual a Segurança gere os riscos de segurança da empresa através do uso de princípios básicos da Gestão do Risco (The CSO Roundtable of ASIS International, 2010; Allen e Loyear, 2016). De acordo com Bento (2013), se a Gestão de Risco da empresa for olhada numa perspetiva holística, onde se identificam as potenciais ameaças e respetivo impacto no negócio, a organização estará perante a implementação de estratégias de tratamento do Risco mais eficazes, com resultados de longo prazo na prevenção e impactos menos significativos na eventual ocorrência de um incidente – ou seja maior resiliência. Esta perspetiva holística, parece assim fulcral na linha de atuação do século XXI, o qual será certamente marcado pela ocorrência sucessiva de eventos impensáveis, contextos anteriormente invisíveis e uma pressão extraordinária para reagir de forma rápida (The CSO Roundtable of ASIS International, 2010). De acordo com Armaghan et al (2012), a
metodologia de análise do Risco utiliza vários elementos que estão interligados: Ameaças, Vulnerabilidades e Controlos (de restrição, de precaução/prevenção, corretivos e detetivos). Estes elementos podem ser ilustrados recorrendo a um simples modelo relacional, presente na Figura 6.
Wake (2012f) faz uso do princípio orientador que diz que um risco é algo onde há vulnerabilidade e um ator de ameaça que pode explorar essa vulnerabilidade, isto é, alguém que é capaz de entrar em contacto com a vulnerabilidade e que provavelmente tem interesse em explorá-la. Ao determinar os controlos, deve-se procurar opções que reduzam a probabilidade de ocorrência do risco ou que reduzam qualquer impacto resultante. Observe-se a Figura 7.
Reduce Risk Reduce Probability Reduce Impact Eliminate Threat Vector Vulnerability Attack
Vector Threat Actor Risk
Figura 8 – Framework para Information Security Risk Management (Fonte: Saleh e Alfantookh, 2011)
Uma vez apresentada a visão holística da ESRM, vai entrar-se agora no domínio específico da Informação. De acordo com Saleh e Alfantookh (2011), várias organizações de Tecnologias da Informação, preocupadas com as normas, têm vindo a publicar diferentes métodos de Gestão do Risco. Porém, embora estes métodos tenham sido aplicados de modo parcial ou total por várias empresas, para identificação, análise e tratamento de riscos nas suas atividades de TI, teria sido mais conveniente para essas organizações se existisse um método abrangente e holístico. Recentemente, muitos autores têm sugerido a necessidade de um método holístico aplicado à Information Security Risk Management (ISRM). A existência de uma ferramenta aglutinadora dos vários requisitos e exigências dos inúmeros métodos publicados, apoiaria certamente a compatibilidade de Gestão de Risco entre empresas detentoras de TI, proporcionando um ambiente comum e estruturado (Niekerk e Labuschagne, 2006; Spears, 2006; Zuccato, 2006; Anderson, 2007; Huang et al, 2008).
Segundo Saleh e Alfantookh (2011), os elementos básicos de uma empresa, no que diz respeito ao ISRM, são essencialmente os seus: ativos, desafios de segurança e controlos de segurança. Saleh e Alfantookh (2011) desenvolveram, assim, uma framework para a ISRM, destinada, portanto, às organizações que utilizam TI. Esta framework tem duas partes principais: uma parte diz respeito à sua visão estrutural (com duas dimensões: âmbito e critérios), e a outra está associada à sua visão processual (com duas dimensões: processo e ferramentas). A framework é descrita através destas quatro dimensões, tal como se pode visualizar na Figura 8.
O “âmbito” da framework é baseado nos cinco domínios STOPE (estratégia, tecnologia, organização, pessoas e ambiente), com diferentes níveis de detalhes, associados a cada domínio. A STOPE tem vindo a mostrar-se cada vez mais importante na estruturação de questões de Segurança da Informação (Saleh et al, 2007; Saleh et al, 2006; Saleh e Bakry, 2008; Esteves e Joseph, 2008). Os “critérios” de gestão da framework estão associados aos controlos da família de normas de Segurança da Informação ISO. No entanto, também podem ser considerados outros requisitos. O “processo” da framework adota as cinco fases cíclicas do modelo DMAIC da metodologia Six-Sigma (definir, medir, analisar, melhorar e controlar). As “ferramentas” de apoio da framework incluem os vários meios que promovem o trabalho, incluindo: ferramentas de levantamento, modelos matemáticos e software.
De acordo com o DTI (2002), embora se constate um número crescente de métodos na área da Gestão do Risco, a difusão dos atuais métodos de Gestão do Risco dentro das organizações tem sido muito limitada, devido à falta de consciencialização, elevado custo, necessidade de especialização e duração longa do processo. De facto, a maioria desses métodos raramente considera fatores humanos, organizacionais, estratégicos ou ambientais. Deste modo, para aplicar as medidas de continuidade das atividades de uma forma coerente e eficaz em termos de custos, esta deve ser adotada e aplicada à empresa, como um todo (Nosworthy, 2000; Huang et al, 2008; Werlinger et al, 2009).