Nos tempos que correm, com a crescente preocupação com a cibersegurança, temos verificado que a temática da avaliação e gestão do risco associado à informação e aos sistemas de informação, ganhou particular importância, estando cada vez mais presente e requerido pelas diversas autoridades.

Ao longo das últimas décadas, foram criadas diversas metodologias (e ferramentas associadas) para esse efeito. São exemplos de tal as/os seguintes: CRAMM (CCTA Risk Analysis and Management Method), NIST SP 800-30, EAR/Pilar (comercial/administração pública) e ISO 27005.

De forma simplista, todas estas metodologias, baseiam-se no seguinte:

Os ativos estão sujeitos a ameaças. Estas, caso se materializem (ativos vulneráveis), degradam [o valor] o ativo. O custo desse acontecimento chama-se impacto. Se formos capazes de estimar a frequência de ocorrências de ameaças, então poderemos estimar os riscos ao qual os ativos (sistema) estão sujeitos.

O Gestor tem a opção de implantar novos controlos (medidas de segurança), seja para reduzir a frequência ou limitar o impacto. Depois de materializadas essas medidas, o sistema fica sujeito a um risco menor, chamado de risco residual (com o qual a organização deverá estar confortável).

As diferentes metodologias “apenas” ajudam a sistematizar o processo, mas nenhuma delas é a razão principal para a adequada definição e priorização dos riscos.

O elemento fundamental num processo de avaliação de risco não se deve focar na metodologia a utilizar, mas sim na capacidade de reunir uma equipa multidisciplinar (pessoal, física, procedimental, ciber, etc.) que integre pessoas com o conhecimento necessário para poder avaliar de forma adequada cada um dos itens relevantes, nas diferentes áreas/vertentes que colocam em causa a segurança de um sistema.

Por fim, apenas referir que o objetivo desta reflexão, passa por salientar a importância do fator humano e a necessidade de constante foco no essencial (a proteção da informação).