Gbitten

Já venho pensado neste assunto a algum tempo, e o post do Augusto Paes de Barros em seu blog me motivou a externar minha opinião.

Sinceramente, acho que a abordagem de análise de risco orientada a vulnerabilidade é um caminho equivocado para SI.

Uma seguradora, ao avaliar o risco de uma apólice de seguro de carro, não enumera as vulnerabilidade do carro, do motorista ou das estradas. Da mesma maneira, um banco, ao avaliar o risco de um empréstimo, não enumera as vulnerabilidades de cliente nem da economia.

Para calcular o risco é muito mais lógico trabalhar com ameaça e fator de exposição do que com vulnerabilidade.

Para mim, deveriam haver dois processos distintos e paralelos:

• Gestão de Vulnerabilidade - onde se realizaria a varredura e a correção/redução das vulnerabilidades.
• Gestão de Risco - onde se indentificaria as ameaças, os fatores de exposição correpondentes, calcularia o risco e definiria ações para mitigar o risco.

A interação de entre esse processos deveria ser mínima, cabendo a redução das vulnerabilidades um fator de redução em alguns fatores de exposição.

O problema é que ao juntar esses dois processos, muitas vezes existe um esfoço muito grande na gestão de vulnerabilidade, e a gestão de risco acaba tento uma qualidade muito baixa.

Marcadores: Risco

postado por Gustavo Araujo Bittencourt  # 11:27 AM