Este breve artigo tem o desafio de explicar de forma objetiva e clara o que é o Framework TARA, que é utilizado na indústria automotiva, para realização de análises de avaliação e remediação de ameaças (riscos).
O Framework TARA foi pensado como uma ferramenta a ser utilizada para avaliar riscos; classificá-los por probabilidade (chance de ocorrência) e impacto (tamanho do estrago/prejuízo a ser causado) e indicar como gerenciá-los, a fim de que decisões de negócios possam ser tomadas de forma embasada.
Estes métodos estão alinhados com o NIST SP 800-30 (Guia para a realização de avaliações de risco) e com a norma ISO/IEC 31010:2021 – Gestão de Riscos: Técnicas para o processo de avaliação de riscos, que apresenta 42 técnicas para identificar, analisar e avaliar todos os tipos de riscos.
O próprio significado da sigla TARA ajuda a entender sua funcionalidade para lidar com riscos. (Transfira o Risco; Anule o Risco; Reduza o Risco; Aceite o Risco).
A imagem abaixo ilustra os 4 cenários da estrutura TARA:
a) TRANSFERIR – transferir riscos é basicamente mover o potencial impacto, que aquele determinado risco pode causar, para outra pessoa.
Via de regra, esta decisão será tomada quando for mais econômico para empresa realizar essa transferência do que lidar com o risco ou quando a outra parte detiver mais condições/expertise para gerenciar aquele risco.
b) EVITAR – quando a decisão é de evitar o risco, significa que este será devidamente identificado e eliminado. É importante entender que neste cenário não se está falando de eliminar um risco existente, mas sim de evitar completamente a geração do risco, ou seja, sequer serão praticadas determinadas atividades e nem serão adotadas determinadas práticas visando que o risco não tenha chance de ser formado.
c) REDUZIR – redução pode envolver tanto a probabilidade, quanto o impacto, ou até mesmo ambos, pois nesta abordagem são implementadas medidas preventivas ou ações de melhoria em processos já existentes para minimizar o risco o máximo possível.
d) ACEITAR – essa decisão, que deve estar muito bem clara, fundamentada e devidamente autorizada pela Alta Gestão da empresa, envolve riscos que têm uma chance de ocorrência muito baixa e impactos que geram consequências mínimas, fazendo com que ações não sejam tomadas para lidar diretamente com este risco.
É importante entender que, mesmo sendo riscos de baixo impacto e probabilidade baixa de ocorrência, a autorização da Alta Direção se faz necessária, de forma específica ou geral, uma vez que aceitação de riscos é uma ação que cabe ao negócio propriamente dito.
1 – Identificação dos riscos:
Um levantamento inicial dos potenciais riscos que podem afetar o negócio. É recomendado que seja feito, em um primeiro levantamento, uma identificação de escopo abrangente, ou seja, visando incluir todas (ou o máximo possível) de áreas da empresa.
2 – Analisar os riscos:
Realizado o levantamento deverá ser feita a análise completa de cada um dos riscos identificados, buscando entender a probabilidade de ocorrência e o impacto/consequências que estes podem trazer para a empresa.
3 – Categorizar os riscos:
Depois de identificados e analisados, os riscos deverão ser categorizados de acordo com as 4 hipóteses que tratamos acima (transferir, aceitar, reduzir ou evitar). Aqui vale duas observações: 1) há frameworks e modelos de gerenciamento de riscos que chamam esta fase de “tratamento do risco”; 2) esta categorização pode ser feita, para melhor ser gerenciada, em um registro de riscos, tal como uma Matriz de Riscos.
4 – Gestão dos riscos:
Uma vez categorizados, estratégias precisarão ser desenvolvidas para lidar com cada categoria e seus respectivos riscos. Nesta fase será desenvolvida a gestão dos riscos como um processo permanente da empresa, ou seja, daqui para frente estes riscos passarão a serem acompanhados e tratados periodicamente.
Como basicamente todo processo de governança este processo para lidar com riscos, seguindo a estruturar TARA, é cíclico e deve ser apoiado/inspirado por um processo de PDCA (Plan, Do, Check, Act).
Por fim, cabe complementar que a análise TARA é justamente o método especificado pela ISO 21434:2021 para analisar ameaças e riscos presentes nos componentes de segurança digital automotiva, visando garantir a segurança cibernética dos automóveis que forem homologados.
A execução da TARA na engenharia de segurança cibernética envolve um processo detalhado e sistemático para identificar potenciais ameaças à segurança cibernética do veículo e avaliar os riscos associados.
Esta análise das ameaças e riscos cibernéticos é um processo abrangente que envolve várias etapas, feita após a definição dos itens, recursos e funcionalidades que serão disponibilizados. É um processo que parte da pré-análise até a definição dos requisitos de segurança cibernética, sendo guiado por abordagens e metodologias estruturadas.
Embora a ISO 21434 não forneça um método rigoroso para executar o TARA, com base no resultado das análises realizadas (conforme explicado nos pontos acima) são estabelecidas as bases para definir as metas de segurança cibernética que deverão ser aplicadas aos produtos definidos.
Ao aplicar o processo TARA de forma bem executada, a empresa adota uma postura proativa para lidar com diferentes fatores de risco, o que certamente aumenta a segurança, permite o melhor gerenciamento de custos, melhora a preparação contra-ataques cibernéticos, protege ativos críticos, garante a continuidade das operações e habilita os gestores a tomarem decisões mais conscientes e embasadas para lidar com eventuais incertezas e ameaças.
Especialista em Segurança da Informação; Consultor de GRC (Governança, Risco e Compliance), Cibersegurança e Proteção de Dados; Advogado; Auditor Líder ISOs 20000-1; 27001; 27701; 37001; 37701 e 42001; Implementador Líder ISO 27001:2022 e 22301:2019; Professor e Palestrante.
Compartilhe :
Aumente suas chances de sucesso com uma análise inicial gratuita.
