Por definição, uma análise de riscos é a verificação dos pontos críticos de um negócio ou projeto que possam vir a apresentar não conformidades durante sua execução. É o uso sistemático de informações para determinar com que frequência ocorrem eventos negativos e qual a magnitude de suas consequências. Uma análise de riscos pode ser qualitativa, quando feita através de constatações de fatos que comprometam um negócio ou projeto no futuro; mas o melhor é que seja quantitativa, associando valores numéricos aos riscos ou quantificando fatos qualificados.
De acordo com o site da ISO 27.000 (2013), quando se analisa riscos deve-se construir uma Matriz de Riscos levando em conta os seguintes fatores:
Impacto – É importante avaliar o ambiente em relação aos critérios básicos de segurança da informação (Disponibilidade, Integridade e Confidencialidade). Nesta avaliação é estimado o impacto baseado nestes critérios para cada item do ambiente avaliado;
Vulnerabilidade – Ela é uma característica intrínseca de qualquer elemento que tenhamos que avaliar, pois praticamente todos os componentes do ambiente possuem pontos vulneráveis;
Ameaça – Cada vulnerabilidade pode ser explorada por uma ou mais ameaças, e a melhor forma de proteção é conhecer estas ameaças e seu potencial;
Probabilidade – Saber a probabilidade de uma ameaça explorar uma vulnerabilidade é fundamental para identificar riscos. As probabilidades indicam o quão perto uma ameaça está de uma vulnerabilidade;
Risco – É uma função do Impacto x Probabilidade. Geralmente criamos uma tabela para relacionar e identificar o risco. Esta tabela segue parâmetros de criticidade específico para cada matriz de risco. Podemos tratar o risco de quatro formas: Mitigá-lo através da aplicação de controles específicos; transferi-lo através de atividades como um seguro; aceitá-lo simplesmente tomando conhecimento, mas sem adoção de medidas de controle; ou evitá-lo executando outra atividade, tomando outro caminho.
A Palisade (2013), fabricante de um dos softwares líderes mundiais em análise de riscos, recomenda em seu site (http://www.palisade-br.com/risk/risk_analysis.asp) que esta análise seja quantitativa, utilizando-se da Simulação de Monte Carlo, que é baseada em distribuições de probabilidade. Esta simulação possui uma forma realista de descrever incertezas através de distribuições probabilísticas tais como:
Normal – O usuário simplesmente define a média ou valor esperado e um desvio padrão para descrever a variação ao longo da média. Valores próximos da média têm maior probabilidade de ocorrer. É simétrica e descreve muitos fenômenos naturais como a altura das pessoas. Exemplos de variáveis descritas por distribuições normais incluem taxas de inflação e preços de energia;
Lognormal – É usada para representar valores que não se tornam negativos, mas possuem potencial positivo ilimitado. Exemplos de variáveis descritas por distribuições lognormais são valores de propriedades imobiliárias, preços de ações e reservas de óleo;
Uniform – Todos os valores têm a mesma probabilidade de ocorrer, e o usuário simplesmente define o mínimo e o máximo. Exemplos de variáveis que podem ser uniformemente distribuídas são os custos de manufatura ou as receitas de vendas futuras de um novo produto;
Triangular – O usuário define os valores mínimo, mais provável e máximo. Valores ao redor do mais provável têm maior probabilidade de ocorrer. Variáveis que podem ser descritas por uma distribuição triangular são as séries históricas de vendas passadas por unidade de tempo e níveis de estoque;
PERT– O usuário define os valores mínimo, mais provável e máximo, assim como na triangular. Valores ao redor do mais provável têm maior probabilidade de ocorrência. Entretanto, valores entre o mais provável e os extremos têm maior probabilidade de ocorrência do que na triangular, ou seja, os extremos não são tão enfatizados. Um exemplo do uso de uma distribuição PERT é a duração de uma tarefa em um modelo de gerenciamento de projetos;
Discrete – O usuário define valores específicos que podem ocorrer e a probabilidade de ocorrência. Um exemplo pode ser o resultado de um processo jurídico: 20% de probabilidade de veredicto favorável, 30% de veredicto negativo, 40% de acordo e 10% de anulação.
Toda esta análise visa entender a extensão dos riscos que uma organização está preparada para enfrentar e disposta a aceitar, enquanto oferece seus produtos e serviços ao mercado. Com as ferramentas certas se descobrem os riscos merecem atenção especial e aqueles que a empresa está disposta a correr.
Para saber mais sobre o tema visite o blog Para Ler, Refletir e Relaxar em http://blogwgs.tumblr.com
Blog EmGotas 