Análise/avaliação de riscos de segurança de informação: quantificação de confiança como um parâmetro de redução de desvios de resultados por causas humanas
Date
2014-02-28Metadata
Show full item recordAbstract
A gestão de riscos constitui uma base para a tomada de decisão, uma vez que cria uma
visão que permite identificar e controlar os riscos que podem comprometer os ativos de uma
determinada organização. A norma ISO 27005:2011 afirma que um dos passos fundamentais
em um plano de gerenciamento de risco é a definição de políticas de segurança mediante o uso
de avaliação de riscos para estimar a gravidade das ameaças que uma determinada organização
enfrenta. Apesar da existência de várias metodologias para realizar avaliações de risco exitosas,
evidência prévia tem demonstrado que a presença de fontes de dados humanas podem produzir
desvios nos resultados, podendo comprometer a continuidade dos negócios com investimentos
realizados de forma desnecessária ou equivocada.
Utilizando-se o nível de confiança das fontes humanas para dar ênfase aos indivíduos
considerados como mais confiáveis, este trabalho apresenta uma proposta para reduzir desvios
mediante o uso de ponderações nas avaliações de risco. O conceito de confiança utilizado é uma
função de confiança entre os colegas de trabalho e de avaliações de desempenho, o que permite
criar um processo evolutivo que refina as noções de confiança a partir da execução continua dos
ciclos de gestão de risco.
A avaliação da evolução do processo de gestão do risco ao longo de diversos períodos de
tempo demonstrou que o uso de coeficientes de confiança em análise/avaliação de riscos pode
efetivamente aumentar a precisão das estimativas de riscos. Como resultado o modelo de quantificação
de confiança desenvolvido possibilitou a criação de uma ferramenta para minimizar
desvios de resultados por causas humanas.