Detetabilidade

Como costuma tratar a questão da detetabilidade? A detetabilidade ilustra bem a máxima de que “qualquer framework é melhor que nenhuma”, no sentido em que demonstra a necessidade de tratar as várias dimensões de um problema com método e racionalidade que estejam devidamente reconhecidos e validados pela experiência.

A extrema vulnerabilidade durante 54 zero-day por ano, isto é, mais de um dia por semana, e os 205 dias que decorrem, em média, entre a violação de dados e a sua descoberta são motivos mais que suficientes para a questão da detetabilidade ser um fator crucial na gestão do risco. O desafio é: Como considerar a questão da detetabilidade?

A detetabilidade é particularmente bem considerada na framework FMEA (Failure Mode and Effects Analysis – Análise dos Modos de Falha e seus Efeitos), mas esta é uma metodologia pouco utilizada na proteção de dados pessoais. A avaliação de impacto na proteção de dados, de uma forma geral, segue a ISO 31000 (Gestão do Risco), mas esta não aborda diretamente a questão da detetabilidade.

Como articular a detetabilidade e a proteção de dados pessoais é a questão que vamos responder.

Comecemos com uma breve descrição da FMEA e vejamos um caso prático de aplicação FMEA à ISO 27001.

 A primeira referência sobre este método de análise (FMEA) data de 9 de Novembro de 1949 quando o exército norte-americano desenvolveu esta técnica de avaliação da fiabilidade para determinar o efeito das falhas num sistema ou num equipamento. As falhas eram classificadas de acordo com o seu impacto no sucesso da missão e na segurança do pessoal e equipamento.

Durante a década de 60, este procedimento foi desenvolvido e aplicado na indústria aeroespacial pela NASA (National Aeronautics and Space Administration), como resposta aos seus exigentes requisitos de fiabilidade. Em 1966 a NASA utilizou a FMEA no desenvolvimento do programa espacial Apollo, com o objetivo de eliminar falhas em sistemas que ficariam impossibilitados de ser reparados após lançamento. Atualmente tem larga utilização na indústria automóvel e na indústria farmacêutica.

A FMEA é uma metodologia que segue os princípios da gestão da qualidade e que tem como objetivo avaliar e minimizar os riscos de um sistema, recorrendo à análise das possíveis falhas (determinação da causa, o respetivo efeito/risco para cada falha) e implementação de ações corretivas para melhorar a fiabilidade e qualidade do sistema.

Esta framework ajuda a:

  • Reconhecer e avaliar a falha potencial de um sistema/ produto/ processo e seus efeitos;
  • Identificar ações que podem eliminar ou reduzir a hipótese do modo de falha potencial vir a ocorrer;
  • Documentar o processo de análise

Vejamos um exemplo de aplicação prática da FMEA à ISO 27001, aqui.

A referida folha de calculo, em exemplo, mostra como construir a estrutura RPN (Risk Priority Number) que permite definir a hierarquia de prioridades orientadora das medidas de segurança da informação e demonstração de responsabilidade no que respeita à sua adequação às ameaças existentes.

O ficheiro excel inclui uma folha de calculo com as instruções de utilização, outra com o exemplo, as folhas de calculo de severidade (impacto), probabilidade e detetabilidade bem como considerações sobre os pressupostos e limitações dos resultados alcançados.

Em síntese, o exemplo estabelece que o RPN (Risk Priority Number) é calculado da seguinte forma:

RPN = impacto x probabilidade x detetabilidade  

Sendo que o Impacto, a probabilidade e a detetabilidade assumem os valores entre 1 e 10 que forem atribuídos em análise especifica.

A aplicação de determinados controlos e medidas de mitigação conduzem a nova valorização que resulta num RPN final, devidamente documentado, capaz de demonstrar responsabilidade.

Basicamente trazemos a análise bidimensional da ISO 31000 (impacto x probabilidade) para uma análise tridimensional (impacto x probabilidade x detetabilidade).

No exemplo, não é explicitado o valor dos ativos em risco, considerando-se que o “impacto” incorpora essa dimensão da questão. Caso seja necessário evidenciar o valor patrimonial, tal deve ser calculado através da soma dos valores económico (custo de reposição do ativo) e operacional (custo resultante da falha na atividade na organização).  

De uma forma geral não há necessidade de seguir o exemplo dado, mas esta é a forma que melhor evidencia e valoriza a detetabilidade. Excetuando os casos em que a detetabilidade coloca desafios muito significativos julgo que é de manter o cálculo do RPN decorrente da normal utilização da ISO 31000 e que é:

RPN = impacto x probabilidade

Estimando o impacto com base no valor económico, valor operacional e detetabilidade.

Todos os sistemas expostos a elevadas exigências de monitorização (em que o tempo e riscos associados à detetabilidade são críticos) apelam à utilização da framework FMEA, aqui exemplificada.

De uma forma ou de outra, não se pode é deixar de considerar a questão da detetabilidade.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)