2) Análise e Avaliação de Risco

Durante o processo de Analise e Avaliação de Riscos é que serão feitos todos os levantamentos em relação as ameaças, vulnerabilidades, probabilidades e impactos aos quais os ativos estão sujeitos , esse é o processo mais trabalhoso  e de maior duração da Gestão de Riscos.

Todas as informações identificadas aqui irão embasar decisões estratégicas e táticas relacionadas a segurança um erro nesse processo pode levar a julgamentos incorretos,comprometendo a efetividade de todo o programa de segurança de uma organização.

Existem dois métodos que podem ser utilizados para executar esse processo: Quantitativo e Qualitativo

• Método Quantitativo – A métrica do risco é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco. Como resultado, o risco é representado em termos de possíveis perdas financeiras, isto é, em termos monetários.

Antes que possamos efetuar esse tipo de cálculo é necessário compreender alguns de seus componentes, começando pelo EF (Exposure Factor ou Fator de Exposição). O EF representa o percentual em relação ao valor total do ativo que era afetado por uma ameaça é utilizado para o calculo do SLE (mais adiante) o EF só é utilizado nos casos de um dano ao ativo em si. No caso de um incêndio por exemplo

Definido o EF, podemos partir para o SLE. O SLE (Single Loss Expectancy) representa o prejuízo que a organização poderá sofrer caso a ameaça que está sendo avaliada se concretize. Ele pode ou não ser calculado levando-se o EF em consideração, dependendo do tipo de ameaça , nesse caso teremos:

SLE = Valor do Ativo X EF

Ou

SLE = Prejuízo causado pela Ameaça

Para podermos avaliar o risco para um período mais longo de tempo precisamos estimar também o número de ocorrências da ameaça em questão que esperamos sofrer ao longo deste período. Esse período é normalmente de um ano e o número é representado pelo ARO (Annualized Rate Occurrence) . Se esperarmos que a ameaça ocorra 10 vezes por ano então trabalhamos com um ARO igual a 10. Se esperamos que a ameaça ocorra uma vez a cada cinco anos, trabalhamos com um ARO de 0,2 (1 dividido pó 5). Feito isso, multiplicaremos o ARO pelo SLE para chegarmos ao ALE (Annualized Loss Expectancy), que é o valor esperado de prejuízo com aquela determinada ameaça para o período de um ano. Sendo assim :

ALE = SLE x ARO

Exemplo Prático

Se tivermos um planta industrial no valor de 500.000,00 e imaginarmos que em caso de incêndio a destruição poderá beirar os 90%, então o nosso SLE para um incêndio seria na planta será de 450.000,00 (SLE = 500.00 X 90 %). Porém, caso estejamos considerando uma ameaça  de impacto destrutivo menor, menor, podemos trabalhar com um EF menor e , consequentemente, com SLE menor também. Uma explosão em uma caldeira , por exemplo , terá um EF bem menor que o de um incêncio.

• Método Qualitativo – Nesse método usarmos valores numéricos para estimar os componentes do risco, trabalharmos como menções mais subjetivas como alto, médio e baixo. Dessa forma, não há a necessidade que se levantem valores numéricos para os componentes do risco, o que torna o processo muito mais rápido.

Nesse tipo de analise, os resultados dependem muito do conhecimento do profissional que atribui as notas aos componentes do risco que foram levantados. Por isso , a necessidade de se ter profissionais capacitados no processo é maior.

Nesse exemplo temos os dois componentes do risco, impacto e probabilidade, sendo avaliados por meios de formas subjetivas. No caso da probabilidade, temos ainda seus dois componentes, ameaça e vulnerabilidade, também avaliados da mesma forma.

Uma tabela entrecruzando os julgamentos leva uma escala numérica que , por sua vez, é avaliada perante uma segunda tabela que define o que é risco alto, médio e baixo.

Essa tabela é baseada em três níveis de notas.Porem não significa que esse seja um modelo –padrão. Existe um consenso de que três níveis são insuficientes e mais do que cinco tornam o processo desnecessariamente complicado.