FAIR (Factor Analysis Information Risk) Approach é uma metodologia de analise de risco na área de Cyber Security, mas que pode ser utilizada fora da área de Tecnologia da Informação, desde que seja compreendida a sua ontologia, que será apresentada a seguir.
Figura 1 – FAIR Ontology
Com o entendimento das definições de cada um dos elementos da ontologia do FAIR, somos capazes de compreender como a materialização do risco ocorre e podemos ir além da análise da probabilidade e impacto que alguns métodos de gestão de risco dão seu foco, e analisar o que está por trás da gestão de risco. E ainda definirmos os controles para evitar que as ameaças se materializem em perdas ou minimiza-las.
É importante deixar claro que o FAIR não considera oportunidades e somente ameças, uma vez que foi concebido para a área de Cyber Security e no prisma deste, só há ameças e não oportunidades. Enquanto que em outros métodos são utilizados a palavra impacto, no FAIR é utilizada a palavra perda (loss).
A seguir veremos as definições da ontologia do FAIR para uma melhor compreensão de como funciona o FAIR.
DEFINIÇÕES
LEF – Loss Event Frequency – A frequência provável em um determinado período de tempo, que uma perda se concretizará pela ação de uma ameaça.
TEF – Threat Event Frequency – A frequência provável em um determinado período de tempo, de que ameaças se materializarão e que possa resultar em perdas.
CF – Contact Frequency – A frequência provável em um determinado período de tempo, de que ameaças entrarão em contato com aquilo que pretendemos defender (vidas, patrimônios, ativos, etc).
PoA – Probability of Action – A probabilidade de uma ameaça poder agir sobre aquilo que pretendemos defender (vidas, patrimônios, ativos, etc) após a ocorrência do contato.
Vuln – Vulnerability – A probabilidade que uma ação de uma ameaça irá resultar em perda.
TCap – Threat Capability – A capacidade de uma ameaça. Precisamos analisar quem está por trás desta ameaça (cyber criminosos, ladrões, doenças, pessoas internas, empresas terceirizadas, etc).
Diff – Difficulty – O nível de dificuldade que uma ameça deve superar. Em versões anteriores do FAIR, ao invés do Diff, tínhamos o RS – Resistance Strengths, que a definição seria que as ameças deveriam superar as forças de resistência.
LM – Loss Magnitude – A provável magnitude de perda primária e secundária em decorrência de um evento.
PLM – Primary Loss Magnitude – A perda de uma parte interessada primária que se materializa em decorrência do resultado de um evento.
SR – Secondary Risk – Exposição à perdas das partes interessadas primárias devido à possíveis reações secundárias ao evento primário.
SLEF – Secondary Loss Event Frequency – O percentual de eventos primários que tem efeitos secundários.
SLM – Secondary Loss Magnitude – Perdas relacionadas com reações de partes interessadas secundárias.
CENÁRIOS E EXEMPLOS PRÁTICOS
Muitas das vezes as definições por si só não tem a capacidade de compreendermos, fica mais fácil através de exemplos e cenários.
Vamos supor que você pretende comprar uma casa em uma rua totalmente residencial e, antes de tomar a decisão de comprar o imóvel, deseja saber qual é o risco da almejada residência ser assaltada.
Figura 2 – Risco de assalto à residência
Para responder essa pergunta, precisamos saber qual é a nossa TEF (Threat Event Frequency), e ao fazer uma pesquisa, você descobre que no ano anterior houve duas tentativas de assalto na vizinhança. Com esses dados é um ótimo ponto de partida, mas ainda não conseguimos ter a resposta da nossa pergunta (qual o risco da casa que deseja comprar seja assaltada).
Precisamos descer mais o nível na ontologia do FAIR e verificar qual é a nossa vulnerabilidade (Vuln), ou seja, a probabilidade de um ladrão invadir a sua casa e furtar ou roubar seus bens. Precisamos analisar alguns aspectos como se a rua possui iluminação adequada, se tem vigia 24 horas, se a residência possui portão automático, sistema de alarme, câmeras de monitoramento, etc. Todos esses itens são ajudas para a redução da vulnerabilidade e se encaixam no elemento Diff da ontologia do FAIR. Outro ponto a ser observado são as habilidades do ladrão, que este está por trás do elemento TCap da ontologia do FAIR.
Para este exemplo em questão consideramos uma vulnerabilidade baixa, na faixa de 1% a 10%, considerando os elementos que fazem parte do Diff e TCap. E ainda considerando que houve um TEF de 2 tentativas em um período de um ano sem uma LM ter sido materializada, você decidiu em concretizar a compra da nova residência por ser um risco muito baixo.
Figura 3 – Análise FAIR no cenário de assalto à residência
Para aqueles que já assistiram a 4ª temporada da série La Casa de Papel no 8º e último episódio, vai aqui um outro exemplo. (Atenção: se ainda não assistiu e não quer um spoiler, sugiro a não ler a próxima sessão e passe para a próxima sessão).
O Resgaste da Lisboa
Para aqueles que assistiram o último episódio da 4ª temporada da série La Casa de Papel irão se lembrar como foi o resgaste da Lisboa (Raquel). O professor (Sérgio) recrutou mineiros e antes de partir para a execução da tarefa, os mineiro contratados receberam uma aula de como seria feito o resgate. O professor parecia que tinha conhecimento do FAIR, pois ele usou a palavra vulnerabilidade ou ponto mais vulnerável ao instruir a equipe de mineiros como seria feito o resgaste. Vamos aos fatos: a Lisboa estava sob custódia da polícia e foi levada até o tribunal e uma van e sob forte escolta de outros carros policiais, mas após chegar ao tribunal apenas a van que transportava a Lisboa entrava na garagem e os demais carros ficavam na rua. Durante todo o trajeto da tenda da polícia até o tribunal com o comboio fazendo a escolta, a vulnerabilidade era muito baixa, mas quando entrava na garagem, o comboio se reduzia apenas ao transporte que levava a Lisboa, e neste ponto a vulnerabilidade passou a ser grande e, portanto, o professor utilizou dessa brecha para colocar seu plano em ação e resgatar a Lisboa.
Figura 4 – Lisboa – La Casa de Papel – Fonte: falauniversidades.com.br
Pandemia do Coronavírus
O Ministério da Saúde em linha com a Organização Mundial da Saúde, orienta a população a ficar em casa e fazer o isolamento social. Mas por quê o isolamento social é tão importante nessa pandemia? Abstraindo o lado médico, vamos explicar através do FAIR o por que se faz necessário o isolamento social.
Vamos relembrar a definição de CF (Contact Frequency): A frequência provável em um determinado período de tempo, de que ameaças entrarão em contato com aquilo que pretendemos defender (vidas, patrimônios, ativos, etc), e PoA (Probability of Action): A probabilidade de uma ameaça poder agir sobre aquilo que pretendemos defender (vidas, patrimônios, ativos, etc) após a ocorrência do contato.
Se houver um isolamento social e não haja aglomerações, conseguiremos reduzir a frequência de contato (CF) entre pessoas, que são os portadores dos vírus, e também, consequentemente, a probabilidade de ação (PoA) de uma ameaça será bastante reduzida. Com ação do isolamento social no viés do FAIR, teremos TEF bastante reduzida.
Em relação a vulnerabilidade (Vuln), a capacidade do agente de ameaça (TCap) é letal independente de idade, mas aqueles grupos de risco são mais suscetíveis a ter maiores complicações, e para reduzir a vulnerabilidade, alguns controles (Diff) precisam ser tomados, desde os mais suscetíveis até os mais jovens.
Figura 5 – Analise FAIR no cenário do Coronavírus
Com a medida de isolamento social imposta pelos governos estaduais e municipais, as empresas estão tendo redução financeira e com isso estão demitindo funcionário, com isso, os governos terão perda em arrecadação de impostos. Dentro da ontologia do FAIR isso está caracterizado no SR – Secondary Risk – que tem a definição: Exposição à perdas das partes interessadas primárias devido à possíveis reações secundárias ao evento primário.
Já as empresas, deixando de faturar e ter que demitir seus funcionários, se caracteriza pelo elemento SLEF – Secondary Loss Event Frequency – da ontologia, que tem por definição: O percentual de eventos primários que tem efeitos secundários.
Figura 6 – Analise FAIR no cenário do Coronavírus – parte 2
CONSIDERAÇÕES FINAIS
Como dito no início do artigo, o FAIR foi concebido para analisar riscos dentro da área de Cyber Security, mas as pessoas sabendo suas definições e sabendo colocar em prática, pode ser aplicada em qualquer área, e também serve para analisar os riscos além de uma mera análise de probabilidade e impacto.
Neste artigo foi feita uma análise qualitativa, mas o FAIR se adequada muito bem em análises quantitativas utilizando a Simulação de Monte Carlo.
Alguns outros conceitos não foram mencionado neste artigo, mas se fazem necessários para montar um escopo de análise, que são eles: Asset (Ativo que deve proteger), Threat Community (quem está por trás das ameças), Threat Type (categorização das ameaças) e Effect ( o efeito que terá na organização).
Aqueles que desejarem se aprofundar sobre o assunto, sugiro a leitura do livro oficial – Measuring and Managing Information Risk – A FAIR Approach. Disponível apenas na língua inglesa.
Figura 7 – Livro Measuring and Managing Information Risk – A FAIR Approach