Análise de Risco Quantitativa: Expectativa de Perda Anual

A avaliação de risco é um componente essencial da gestão de riscos. Permite determinar potenciais perigos que podem afetar negativamente projetos específicos ou resultar de certas decisões.

Existem dois tipos de análise de risco — quantitativa e qualitativa:

• A análise de risco quantitativa é uma abordagem objetiva que utiliza números concretos para avaliar a probabilidade e o impacto dos riscos. O processo envolve o cálculo de métricas, como a expectativa de perda anual, para ajudar a determinar se um determinado esforço de mitigação de risco vale o investimento. A avaliação requer modelos de projeto bem desenvolvidos e dados de alta qualidade.
• A análise de risco qualitativa é uma maneira mais rápida de avaliar a probabilidade de riscos potenciais e seu impacto para que você possa priorizá-los para uma avaliação mais aprofundada. Enquanto a análise de risco quantitativa é objetiva, a análise de risco qualitativa é uma abordagem subjetiva que classifica os riscos em termos mais amplos, como uma escala de 1 a 5 ou simplesmente baixo, médio e

Ambas as formas de análise de risco são ferramentas valiosas na gestão de riscos. Neste artigo, vamos nos concentrar na análise de risco quantitativa e explicar como calcular a expectativa de perda anual (ALE).

O que é análise de risco quantitativa?

A análise de risco quantitativa utiliza dados relevantes e verificáveis para prever a probabilidade de determinados resultados de risco e seu custo monetário estimado.

Existem muitos tipos diferentes de riscos que os profissionais de TI precisam considerar, incluindo os seguintes:

• Erros humanos
• Ações hostis, como ciberataques, divulgação não autorizada ou uso indevido de dados
• Erros de aplicação
• Falhas no sistema ou na rede
• Danos físicos causados por motivos como incêndio, desastres naturais ou vandalismo

Quais resultados você obtém da análise de risco quantitativa?

A análise de risco quantitativa ajuda você a estimar:

• Possíveis resultados de um risco dado
• A probabilidade de alcançar objetivos específicos
• Custos realistas
• Prazos de conclusão do projeto

Quando é que a análise de risco quantitativa é mais útil?

A avaliação de risco quantitativa ajuda você a tomar decisões inteligentes e informadas por dados para o seu negócio. Você deve realizar uma análise de risco quantitativa quando precisar:

• Decida se deve investir em projetos ou ferramentas específicas
• Escolha contramedidas para mitigar potenciais fontes de perda
• Forneça dados detalhados sobre as chances de concluir um projeto dentro do orçamento e no prazo
• Crie uma reserva de contingência para o seu projeto

O que é a expectativa de perda anual?

A expectativa de perda anual é um cálculo que ajuda a determinar a perda monetária esperada para um ativo devido a um risco específico ao longo de um único ano. Você pode calcular a ALE como parte da análise quantitativa de custo-benefício do seu negócio para qualquer investimento ou ideia de projeto.

Por exemplo, vamos supor que você calcule um ALE de $10.000 e determine que custaria $15.000 por ano para eliminar o risco; com base nesses números, você pode decidir que o custo não vale o risco.

Claro, nem todas as situações são tão simples. Por exemplo, suponha que você entenda que uma violação da HIPAA pode custar-lhe $100 por violação até uma multa máxima de $250,000. Isso pode parecer gerenciável, mas um olhar mais aprofundado em informações que você pode não ter considerado pode revelar que, se a violação for devido a negligência intencional, o impacto poderia ser de até $1.5 milhões. Este exemplo ilustra que, embora a análise de risco quantitativa forneça uma maneira confiável e objetiva de avaliar riscos potenciais, os resultados são tão bons quanto os dados que você insere no processo.

Além disso, lembre-se de que o ALE determina o custo do risco. Não confunda ALE com o custo total de propriedade (TCO), que avalia o custo de uma solução específica.

Como é calculada a expectativa de perda anual?

Aqui está uma visão geral de como calcular o ALE. Cada termo é explicado em mais detalhes abaixo.

1. Inventarie seus ativos de informação e determine o valor do ativo (AV) de cada um.
2. Identifique as potenciais ameaças a cada ativo.
3. Para cada ameaça, faça o seguinte:

#1. Determine o fator de exposição (EF) para essa ameaça em cada ativo de informação.

#2. Calculou a expectativa de perda única (SLE) usando esta fórmula: AV x EF = SLE

#3. Calcule a taxa anual de ocorrência (ARO).

#4. Calcule a expectativa de perda anualizada (ALE) usando esta fórmula: SLE x ARO = ALE

• Valor do ativo — Muitos dos seus ativos são itens tangíveis, como computadores, servidores e softwares. Outros ativos são intangíveis, como expertise, bancos de dados, planos e informações sensíveis. O valor do ativo é o valor total do ativo específico; se o seu servidor vale $6,000, seu AV é $6,000. Aqui estão algumas perguntas a considerar para encontrar seu AV:
• Quanto você pagou para adquirir ou construir o ativo em questão?
• Qual é a sua responsabilidade se o ativo for comprometido?
• Qual é o custo de produção se o ativo ficar indisponível?
• Qual é o valor do ativo para usuários externos?
• De que outras formas a perda do ativo afetaria o seu negócio?
• Fator de exposição — Este é a porcentagem do valor de um determinado ativo que se perde como resultado de um incidente específico. Se você espera perder um quarto do valor de um ativo em um incidente, então o seu EF para esse ativo é de 0,25 (25%). Lembre-se de que você só pode calcular o EF em relação a um risco específico, como uma violação de segurança ou desastre natural. Também tenha em mente que uma perda pode exceder o valor de um determinado ativo; nesses casos, o EF seria maior que 1,0 (mais de 100%).
• Expectativa de perda única — Este é o montante de dinheiro que se espera perder cada vez que um ativo específico é perdido ou comprometido. Por exemplo, pode esperar perder $300 cada vez que o servidor da sua empresa avariar, ou poderá perder $1.500 cada vez que um laptop é perdido ou roubado. Para calcular a expectativa de perda única, multiplique o AV e o EF.
• Taxa anual de ocorrência — Este é o número de vezes que você espera que um incidente específico ocorra em um ano. Se você espera que seu servidor caia cinco vezes por ano, seu ARO seria 5. Se o ARO for menor que 1, você o expressa como uma porcentagem — por exemplo, se a probabilidade de um incidente é uma vez a cada quatro anos, o ARO para esse incidente seria 0,25 (25%).

Exemplo

Aqui está um cenário fictício para ajudá-lo a praticar o cálculo de um ALE e a utilizá-lo em uma decisão empresarial. Note que esta é uma conta muito simplificada que considera apenas uma ameaça a um ativo de informação.

Vamos supor que a sua organização está considerando investir em uma solução que possa ajudá-la a descobrir ações maliciosas internas nos seus servidores de arquivos para reduzir o risco de perder uma peça específica de propriedade intelectual (IP). Aqui está como você poderia determinar se investir em uma solução de segurança específica é justificado:

1. Determine o AV. Digamos que o ativo de IP de interesse tenha um valor de $75.000.
2. Calcule o EF. Vamos supor que seja 0,75 (75%).
3. Calcule o SLE multiplicando o AV pelo EF, o que resulta em um SLE de $56,250.
4. Determine a ARO. Vamos supor que seja 0,95 (o que significa que há uma chance de 95% de ocorrer atividade maliciosa interna em qualquer ano dado).
5. Calcule o ALE: $56,250 (SLE) X 0.95 (ARO) = $53,357.50 (ALE).
6. Compare o ALE com o custo de cada uma das soluções de software que está considerando. Se a taxa de licença exceder o seu ALE (US$ 53.357,50), a solução não é um investimento que valha a pena.

Conclusão

Calcular o ALE como parte de uma avaliação de risco quantitativa é essencial para tomar decisões empresariais informadas. Embora o processo possa ser confuso e árduo às vezes, determinar de forma confiável os riscos e calcular precisamente as perdas potenciais fornecerá informações valiosas para ajudá-lo a tomar decisões empresariais inteligentes. Com o ALE como uma ferramenta de avaliação de risco no seu bolso, você pode realizar de forma mais eficaz a análise de custo-benefício e determinar se a implementação de medidas específicas vale o investimento.