Resultado de imagem para Leis, Padrões e Práticas - Como medir seu impacto financeiro

Ao se adotar regulações (que são obrigatórias), normas ou boas práticas (que são opcionais, mas sofrem pressão para serem implementadas), tirando o fato das medidas mandatórias, deveria ser mensurado qual impacto financeiro aquele objeto em questão vai gerar para a organização.

Seja a implementação do GDPR ou da ISO 27001 (passando pelo SOC1, PCI-DSS e tantos outros), como seria a medição do quanto isso agrega ou evita em perdas financeiras?

Certamente há ferramentas, benchmarks e outros modelos que atendem, ao menos de forma superficial, a este questionamento. Porém, como o CSO, CISO, Gerente de Segurança da Informação ou similar pode, de fato, ter esta informação?

Estas perguntas, assim como suas respostas, são subjetivas e, tal qual uma análise de riscos, são voláteis e dependem de uma série de variáveis, às vezes únicas naquele segmento ou instituição, que fará com que o resultado seja o mais próximo da realidade possível.

Entretanto, como método de base, podemos considerar os seguintes aspectos na formatação desta demanda:

  • Levantamento de escopo a ser coberto

A organização toda será coberta por este modelo ou apenas de forma parcial? Seus clientes (quando aplicável) também serão incluídos (e qual o aspecto legal disso)?

A definição do escopo é o primeiro passo para que se possa ter dimensão do que será coberto, quem será envolvido e comprometido e quais resultados e níveis de maturidade (ou conformidade) são esperados.

  • Impacto financeiro na implementação do item

Uma vez definido o escopo que abrangerá o programa, quanto isso custará em termos financeiros e de esforços?

Aqui já temos um componente importante que será acoplados a outros na formação do impacto financeiro em função desta implementação (Custo de Implementação deve ser menor do que o RoI a ser provisionado).

  • Retorno do investimento sobre o item, traduzido tanto em novas oportunidades de negócio quanto em diminuição dos riscos e, consequentemente, perdas com base na análise de riscos dos processos críticos e ativos de mesma severidade

Ao se adotar o modelo, quanto isso, potencialmente (e depois deve ser concretizado), trará em recursos financeiros?

Ao mesmo tempo, quanto se vitará em perdas com a diminuição dos riscos corporativos e de clientes?

Estas informações também servirão como parâmetros para a composição do impacto financeiro, pois informarão se, ao implementar esta demanda, a organização terá vantagens ou desvantagens, viabilizando ou não a continuidade do seu negócio.

  • Impacto financeiro

Se o custo da implementação for menor do que o RoI, a recomendação é que se siga em frente.

Por outro lado, se isso não se mostrar viável, é recomendável que se refaça a análise de riscos considerando eventuais perdas em temos de confidencialidade, integridade e disponibilidade, além da probabilidade de eventos, histórico de incidentes e, desta forma, se chege a um dado que reflita a realidade da instituição – Se o resultado ainda se mostrar negativo, deve-se assumir os riscos regulatórios (o que é improvável que ocorra em uma análise de riscos competente) e de novas oportunidades.

  • Recomendação

Definidos os critérios e os dados destas variáveis, o responsável deve recomendar à Alta Direção, com uma análise crítica imparcial os prós e contras de sua recomendação, sempre focado na análise e gestão de riscos, pois sua missão aqui é demonstrar como isso pode ou não fazer com que a companhia adquira resultados positivos ao menor risco possível.

  • Decisão

Uma vez levada a recomendação e tomada a decisão pelo board, o CISO ou correspondente deve traçar a estratégia e garantir a implementação, ainda focando no menor risco operacional possível e respeitando sua própria análise anterior.

Com estes critérios devidamente encaminhados há uma condição mínima de saber qual é a real consequência de ter ou não aquele modelo adotado, notando-se, como ferramenta fundamental, a análise de riscos que, quanto mais apurada e detalhada, mais precisa será.

Fonte: Security Report