9 de março de 2007

SWOT and Risk Analysis

Como profissional de segurança eu me considero um gestor de riscos, assim como qualquer profissional de segurança envolvido em qualquer fase da análise dos riscos e implementação de controles para mitigação.

Eu vejo empresas, profissionais e estudantes sempre a busca de uma fórmula perfeita para análise de riscos, isso se deve há um mito que foi criado sobre tal tema. Sim, na minha humilde opinião um mito, pois, o que realmente importa é identificar os riscos e trabalhar para que as ameaças não se concretizem.

Ferramentas com formulas mirabolantes e guardadas a sete chaves e métodos que são tão complicados quanto cálculo 1 e 2 para estudantes de engenharia, só colaboram para aumentar esse mito.

Lembro que há algum tempo atrás um amigo me informou que estava aprendendo na pós-graduação, SWOT para realisar análise de riscos. Naquela época eu achei que SWOT não era uma ferramenta adequada, pois, existiam inumeros métodos mais eficiêntes, como, Mosler, Fault Tree Analysis, Monte Carlo, OCTAVE e uma série de modelos complicados. Hoje eu acredito que é bem interessante a análise de SWOT na gestão de riscos.



Como a visão de SWOT poderia ser usada para análise de riscos?

Para responder isso vou falar um pouco de SWOT. Segundo a wikipedia a análise de SWOT não tem registros precisos de sua origem, a quem diga que Sun Tzu já utilizava esse conceito.

"Concentre-se nos pontos fortes, reconheça as fraquezas, agarre as oportunidades e proteja-se contra as ameaças ” (SUN TZU, 500 a.C.)

A análise busca identificar seus pontos fortes (Strengths), suas fraquesas (Weaknesses), oportunidades (Opportunities) e ameaças (Threats), que pode ser interpretada da seguinte forma:

Internamente
  • Como explorar nossos pontos fortes?
  • Como diminuir nossas fraquezas?
Externamente
  • Como explorar nossas oportunidades?
  • Como diminuir as ameaças?
Não é exatamente isso que a segurança da informação busca? Para que utilizar ferramentas complexas e manuais estilo NSA?

Eu não estou querendo pregar que as metodologias citadas são ruins, elas podem ser úteis quando já existe uma cultura, um entendimento claro de conceitos como:
  • Apetite por risco;
  • Mitigação;
  • Redução;
  • Tranferência;
  • e aceitaição.
Em situações onde já existe maturidade, os modelos citados podem ajudar a mensurar e apurar as variáveis que compoem a análise de riscos. De preferência que esses modelos mais precisos sejam implementados utilizando uma ferramenta. Afinal, nosso desafio é evitar que as ameaças se concretizem e não tornar-se um perito em cálculos complexos!

Nenhum comentário: