Introdução

A análise de vulnerabilidades é a fase na qual avaliamos os sistemas de proteção capazes de mitigar os riscos críticos que constam na matriz de riscos. Estes sistemas são avaliados por meio de auditorias “in loco”. Levando-se em conta sua adequabilidade no que se refere ao capital intelectual empregado (dimensionamento e treinamento), aos recursos materiais utilizados (adequabilidade e quantidade), as Normas e Procedimentos (aderência e respeito), Capacidade de Gestão (direcionamento / clareza e controle / monitoramento) e a Cultura Organizacional (aceitação e cultura de risco).

Esta análise é baseada na medição do Índice de Vulnerabilidades (IV), ou seja, um índice que mede os gaps existentes nos sistemas de proteção existentes para fazer frente aos diversos riscos.

O Índice de Vulnerabilidade (IV) pode ser obtido de 2 formas: pela aplicação das Planilhas de Análise de Vulnerabilidades Parametrizadas ou pelo uso da Tabela Referencial do Cálculo do Índice de Vulnerabilidade (Método Sumário).

Análise de Vulnerabilidades: Método Paramétrico

O ideal é que o Índice de Vulnerabilidade seja obtido pelo uso da aplicação das Planilhas de Análise de Vulnerabilidades Parametrizada, as quais são desenvolvidas baseadas em Check lists padronizados, com 5 níveis de classificação. Embora tal procedimento demande mais tempo que utilizar a Tabela Referencial do Cálculo do Índice de Vulnerabilidade, a sua precisão é bem maior além de orientar as medidas a serem tomadas à posteriori (tais como: projetos e ações corretivas) para a melhoria dos sistemas avaliados.

De maneira geral podemos dizer que o IV é obtido após a aplicação das Planilhas de Análise de Vulnerabilidades Parametrizada “in loco” e aplicada uma “média aritmética ponderada” dos sistemas que foram analisados, obtendo-se o Índice de Vulnerabilidade (IV). Na realidade, pode-se utilizar um modelo de racionais, similar ao FMEA para a definição dos “pesos” de cada pergunta do Check list paramétrico. Neste caso, o resultado apresenta um nível de assertividade e precisão maior que a simples aplicação de pesos a cada item da lista de parâmetros (Planilha de Análise de Vulnerabilidades Parametrizada).

A Planilha de Análise de Vulnerabilidades Parametrizada permite a avaliação dos sistema de proteção baseando-se em listas paramétricas com cinco níveis, tendo como base a melhor prática existente no mercado. Desta forma, obtém-se um diagnóstico bastante preciso que servirá de base para a definição dos projetos e / ou ações necessárias para a diminuição das vulnerabilidades e mitigação dos riscos.

Uma outra vantagem em se utilizar este processo é que as listas paramétricas, uma vez confeccionadas, podem ser usadas inúmeras vezes para que se auditem a efetividade dos sistemas de proteção e para auxiliar a realização de gap analysis e na confecção dos planos de mitigação de riscos.

A seguir temos um exemplo de Planilha de Análise de Vulnerabilidades Parametrizada que são usadas pelos crash numbers (auditores de risco) para fazer a coletânea de dados no trabalho de campo. Por meio delas é possível verificar o nível de efetividade dos sistemas e processos de gerenciamento de riscos da empresa.

Uma vez que o trabalho de estruturá-las e parametrizá-las tenha sido concluído, as Planilhas de Análise de Vulnerabilidades Parametrizada tem-se mostrado uma ferramenta simples, adequada e eficiente para os esforços de identificação e quantificação dos riscos.

Sua aplicação permite agilizar o tempo de execução e diminuir custos através da substituição de profissionais de nível Sênior por profissionais de nível Junior nas fases iniciais da análise.

Assim preservam-se aqueles profissionais mais experientes para os trabalhos de revisão de relatórios e supervisão enquanto os “Juniors” realizam o trabalho de crash numbers (trabalho de campo).

Outra característica é a universalidade da metodologia que permite a elicitação do conhecimento das mais diversas áreas para a confecção das planilhas, necessitando somente dos especialistas das áreas numa fase inicial para a confecção das mesmas, mas permitindo sua execução de forma homogênea e descentralizada, gerando rapidez e economia neste processo de levantamento das vulnerabilidades.

O resultado das análises paramétricas gerará a Tabela de Análise de Vulnerabilidades Parametrizada que advém do resultado da compilação das Planilhas de Análise de Vulnerabilidades Parametrizadas. Ela fornece um “overview” dos diversos sistemas e seus respectivos níveis de efetividade.

Ademais, a aplicação das Planilhas de Análise de Risco Parametrizada possibilita a visualização de possíveis soluções para os problemas existentes uma vez que todo parâmetro definido como nível um foi baseado em uma solução considerada uma referência ou “Best Practice” pelo mercado.

Segue abaixo o resultado compilado de uma avaliação realizada com Planilha de Análise de Vulnerabilidades Parametrizada em sistemas de proteção de segurança patrimonial:

vulnerability 2
Outra forma possível de emprego desta tabela é a utilização de código de cores ao invés de números. Tal procedimento facilita a visualização e permite uma identificação rápida dos sistemas mais vulneráveis.

vulnerability 3
Quando se utiliza a Tabela de Análise de Vulnerabilidades Parametrizada pode-se utilizar também o Quadro Referencial de Necessidade Corretiva que fornece uma referência entre o Nível de Vulnerabilidade e sua Necessidade Corretiva. Desta forma permite um entendimento prático e rápido da Tabela de Análise de Vulnerabilidades Parametrizada, quer ela esteja expressa por cores ou números, permitindo facilmente a visualização das vulnerabilidades que são agrupadas de forma lógica, sistêmica e devidamente classificadas
vulnerability 3

Análise de Vulnerabilidades: Método Sumário

Caso não se tenha pronta as Planilhas de Análise de Vulnerabilidades Parametrizada específicas para determinado tema ou área de avaliação (cabe lembrar que cada risco está ligado a um sistema de proteção específico o qual é avaliado por um conjunto de planilhas de análise de vulnerabilidades próprio) ou não se tenha a esta disponibilidade de tempo para se confeccionar, pode-se estimar de forma bem mais rápida utilizando-se a Tabela Referencial de Cálculo do Índice de Vulnerabilidade (Método Sumário). Contudo, cabe lembrar que a precisão deste processo é significativamente menor que ao do ´processo anterior.

No caso de optar por esta segunda opção, utiliza-se a tabela abaixo:

vulnerability 4
Para facilitar o entendimento da utilização dos fatores da Tabela Referencial de Cálculo do Índice de Vulnerabilidade tem-se a descrição dos itens da fórmula abaixo:

vulnerability 5

É importante ressaltar que o nível de distorção é ainda maior quando se utilizam premissas não fundamentadas (“feeling”) ao invés de utilizar-se a Tabela Referencial de Cálculo do Índice de Vulnerabilidade (Método Sumário de cálculo de Índice de Vulnerabilidade) ou as Planilhas de Análise de Risco Parametrizada (Método Paramétrico de cálculo de Índice de Vulnerabilidade).

Heat Map de Vulnerabilidades

Nesta fase gera-se um Heat map de Vulnerabilidades dos Sistemas de Proteção (mapa de vulnerabilidades), permitindo ao gestor de risco ter uma ideia clara de onde encontram-se os maiores gaps em seus sistemas de proteção. Este Heat map de Vulnerabilidades nada mais é que um dashboard que proporciona ao gestor de riscos um overview do nível de efetividade dos seus sistemas de proteção por áreas da organização, conforme exemplo abaixo:

vulnerability 6

O Heat map fornece uma visão clara de priorização de ações e investimentos a serem feitos nos sistemas de proteção. Tem-se a opção de criar Heat maps em diversos níveis de detalhamento quando se usa o método paramétrico.

vulnerability 7