Proposta de Modelo de Mensuração de Apetite a Riscos Cibernéticos: Uso do Método AHP e da Estrutura Básica de Segurança Cibernética
Apetite a Risco; Segurança Cibernética; Gestão de Riscos; Métodos Multicritérios de Decisão; AHP; Cybersecurity Framework.
Realizar escolhas em relação aos desafios que o mundo cibernético tem apresentado tem sido uma das tarefas mais árduas dos gestores, sejam do setor privado como do setor público. Os prejuízos relacionados a não conformidade legal, à descontinuidade dos serviços prestados, às perdas de informações estratégicas, aos desafios relacionados à cadeia de suprimentos cibernéticos e aos custos relacionados aos controles com foco minimização de riscos, entre outros, têm trazido a necessidade, por parte de gestores, de escolhas mais adequadas, com critérios e alternativas que falem mais dos contextos em que se encontram. Este estudo visa à mensuração do apetite a risco cibernético proposto pela alta gestão, em um primeiro momento, assim como apontar uma estratégia de alcance desse objetivo por meio da implantação de uma série de controles que representem às decisões calcadas nos pesos de critérios e alternativas defendidas por seus gestores. O modelo foi aplicado à realidade de um órgão público brasileiro, o Superior Tribunal de Justiça (STJ), onde é possível observar o apetite a risco por meio da escolha de controles que se compreendeu desejados, assim como a identificação daqueles que ainda não estão sendo implementados. A pesquisa demonstrou que é possível mensurar quantitativamente o apetite a risco de uma organização e que a escolha adequada de critérios, alternativas e controles pode tornar o modelo proposto uma ferramenta de apoio à decisão bastante promissora, permitindo um alinhamento entre a alta gestão e a área operacional de uma empresa.