ANÁLISE/AVALIAÇÃO DE RISCOS DE SEGURANÇA DE INFORMAÇÃO: QUANTIFICAÇÃO DE CONFIANÇA COMO UM PARÂMETRO DE REDUÇÃO DE DESVIOS DE RESULTADOS POR CAUSAS HUMANAS / RISK ASSESSMENT IN INFORMATION SECURITY: QUANTIFICATION OF TRUST AS A PARAMETER TO REDUCE BIASES IN RESULTS AS A PRODUCT OF HUMAN FACTORS

López, Víctor Leonel Orozco

28 February 2014

Coordenação de Aperfeiçoamento de Pessoal de Nível Superior / Risk management constitutes a basis for decision making since it creates a view that allows to identify and control risks that can compromise the assets of a given organization. The standard ISO 27005:2011 states that one of the fundamental steps on a risk management plan is the definition of security policies with the usage of risk assessment to estimate the severity of the threats that a given organization faces. Despite the existence of several methodologies to achieve successful risk assessments, preview evidence has demonstrated that the presence of human data sources for risk assessments can produce biased results, thus compromising the business continuity as a result of unnecessary or wrong investments. Using the confidence level of human sources to give emphasis to individuals considered as more reliable, this work presents a proposal to reduce biases by using weights in risk assessments. The concept of trust used is a function of trust among coworkers and performance evaluations, which allowed to create an evolutionary process that refines the notions of trust through the execution of continuum cycles of risk management . A validation of the evolution of the process of risk management during various periods of time showed that the use of coefficients of trust in risk assessment can effectively improve the accuracy of risk estimates. As a result the developed model for quantification of trust enabled the creation of a tool to minimize deviations of results due human causes. / A gestão de riscos constitui uma base para a tomada de decisão, uma vez que cria uma visão que permite identificar e controlar os riscos que podem comprometer os ativos de uma determinada organização. A norma ISO 27005:2011 afirma que um dos passos fundamentais em um plano de gerenciamento de risco é a definição de políticas de segurança mediante o uso de avaliação de riscos para estimar a gravidade das ameaças que uma determinada organização enfrenta. Apesar da existência de várias metodologias para realizar avaliações de risco exitosas, evidência prévia tem demonstrado que a presença de fontes de dados humanas podem produzir desvios nos resultados, podendo comprometer a continuidade dos negócios com investimentos realizados de forma desnecessária ou equivocada. Utilizando-se o nível de confiança das fontes humanas para dar ênfase aos indivíduos considerados como mais confiáveis, este trabalho apresenta uma proposta para reduzir desvios mediante o uso de ponderações nas avaliações de risco. O conceito de confiança utilizado é uma função de confiança entre os colegas de trabalho e de avaliações de desempenho, o que permite criar um processo evolutivo que refina as noções de confiança a partir da execução continua dos ciclos de gestão de risco. A avaliação da evolução do processo de gestão do risco ao longo de diversos períodos de tempo demonstrou que o uso de coeficientes de confiança em análise/avaliação de riscos pode efetivamente aumentar a precisão das estimativas de riscos. Como resultado o modelo de quantificação de confiança desenvolvido possibilitou a criação de uma ferramenta para minimizar desvios de resultados por causas humanas.

Segurança

Analise de riscos

Confiança

Fatores humanos

Risk analysis

Security

Trust

Human factors