A métrica mais granular usada para medir riscos é o PSR: probabilidade x severidade x relevância. Essa métrica leva em conta a probabilidade de que as vulnerabilidades identificadas sejam exploradas, a severidade do impacto causado caso isso ocorra e a relevância do ativo em questão para a organização.
Probabilidade: a probabilidade (P) estima a probabilidade de que ocorra um evento.
"P" é pontuado de 1 a 5:
|
Probabilidade |
Possibilidade de ocorrência do risco |
|
5 – Muito Alta |
É praticamente uma certeza (P > 95%) |
|
4 – Alta |
É muito provável (65% < P ≤ 95%) |
|
3 – Média |
É provável (35% < P ≤ 65%) |
|
2 – Baixa |
Não é muito provável (5% < P ≤ 35%) |
|
1 – Muito Baixa |
É pouco provável (P ≤ 5%) |
Para estimar a probabilidade, um ou mais fatores que podem influenciar nos valores devem ser considerados. São eles:
•O conhecimento necessário para explorar a vulnerabilidade (em geral, quanto mais conhecimento, mais alta é a probabilidade). Por exemplo, o entendimento das falhas internas da organização ou de seus relacionamentos com terceiros.
•Os recursos técnicos necessários para a sua exploração (em geral, quanto menos recursos necessários, mais alta é a probabilidade).
•O tempo necessário para exploração (em geral, quanto menor o tempo necessário, mais alta é a probabilidade).
•O nível de proteção de um ativo através de outros controles (geralmente existentes) (em geral, quanto mais baixa é a proteção, mais alta é a probabilidade).
•A atratividade do alvo (em geral, quanto mais atrativo, mais alta é a probabilidade).
•As repercussões para o agente se detectado (em geral, quanto mais baixas as consequências, mais alta é a probabilidade).
•As circunstâncias temporais, políticas, culturais, etc. (que podem aumentar ou diminuir a probabilidade).
•Outros fatores específicos do ambiente (que podem aumentar ou diminuir a probabilidade).
Severidade: a severidade (S) pontua o nível do impacto na organização caso ocorra o risco previsto. Isso significa que, se o incidente ocorrer, a severidade vai pontuar o grau de comprometimento do desempenho, da confiabilidade ou da qualidade dos ativos.
"S" é pontuado de 1 a 5:
|
Severidade |
A ocorrência do risco causará |
|
5 – Muito Alta |
Comprometimento total |
|
4 – Alta |
Comprometimento muito severo |
|
3 – Média |
Comprometimento severo |
|
2 – Baixa |
Comprometimento menos severo |
|
1 - Muito Baixa |
Praticamente não haverá comprometimento |
Para estimar a severidade, uma combinação de um ou mais fatores, apresentados abaixo, deve ser considerada que poderá influenciar esse valor:
•Grau de comprometimento do desempenho dos ativos. Por exemplo, produtividade dos processos, serviços ou equipamentos.
•Grau de comprometimento da confiabilidade dos resultados ou informação dos processos, bem como o sistema ou os ambientes suportados pelo ativo. Por exemplo, modificação inadequada de uma informação localizada (menos severa) ou de um sistema ou um ambiente inteiro (mais severo).
•Grau de comprometimento da qualidade dos serviços, informações, sistemas ou afins. Por exemplo, a não utilização de um pequeno conjunto de informações ou parte do sistema ou do ambiente (menos severa) ou a rejeição de todo o sistema ou ambiente (mais severa).
Relevância: a relevância (R) pontua o nível de importância que o ativo tem para a organização levando em consideração os componentes de negócio que ele suporta.
"R" é pontuado de 1 a 5:
|
Relevância |
Comprometimento do ativo: |
|
5 – Muito Alta |
Poderá afetar toda a organização e as perdas serão extremante altas |
|
4 – Alta |
Poderá afetar um ou mais negócios da organização e as perdas serão graves |
|
3 – Média |
Poderá afetar parte dos negócios da organização e as perdas serão consideráveis |
|
2 – Baixa |
Poderá afetar uma parte pequena e localizada da organização e as perdas serão baixas |
|
1 – Muito Baixa |
Poderá afetar uma parte muito pequena e localizada da organização e as perdas serão mínimas |
Depois de definir o P, o S e o R de um ativo, o risco associado a ele pode ser calculado multiplicando-se os valores de cada um desses três termos (veja abaixo).
Ao adotar a fórmula acima, o resultado encontrado estará sempre na faixa entre 1 e 125 (ver tabela abaixo).
|
Nível de Risco |
Valores possíveis do PSR |
|
Muito Baixo |
1, 2, 3, 4, 5, 6 |
|
Baixo |
8, 9, 10, 12, 15, 16 |
|
Médio |
18, 20, 24, 25, 27, 30 |
|
Alto |
32, 36, 40, 45, 48, 50 |
|
Muito Alto |
60, 64, 75, 80, 100, 125 |
Para o propósito de calcular riscos, um controle de um questionário de riscos tem somente três possíveis situações: Implementado, Não Implementado ou Não Aplicável (controles cuja situação é Não Respondido tornam-se Não Aplicável quando a análise é fechada). O PSR poderá então ser consolidado para os controles da seguinte maneira:
•PSR identificado de determinado objeto: soma do PSR dos controles não implementados para o objeto.
•PSR controlado de determinado objeto: soma do PSR dos controles implementados para o objeto.
•PSR não aplicável de determinado objeto: soma do PSR dos controles não aplicáveis para o objeto.