CRML (Cyber Risk Modeling Language)

O que é CRML (Cyber Risk Modeling Language)?

CRML, a Linguagem de Modelagem de Risco Cibernético, é uma especificação declarativa de código aberto criada para resolver a fragmentação e inconsistência que assolam a quantificação moderna de risco cibernético. Ela fornece um formato padronizado YAML/JSON para definir modelos complexos de risco cibernético, incluindo mapeamentos de telemetria, pipelines de simulação, dependências de controles e saídas necessárias. A filosofia central por trás do CRML é possibilitar o Risco como Código (RaC), transformando suposições de risco e conformidade em artefatos versionados, revisáveis e executáveis que podem ser validados consistentemente entre diferentes equipes e ferramentas.

Esta linguagem atua como uma camada de abstração, desacoplando a definição do modelo do motor de execução. Isso significa que as organizações não estão mais presas a ferramentas proprietárias ou metodologias de quantificação específicas, como motores Monte Carlo FAIR ou abordagens Bayesianas/QBER. Ao padronizar a descrição do modelo, o CRML garante que o mesmo cenário de risco, definido com suposições explícitas, possa ser executado de forma confiável em várias plataformas de simulação compatíveis, melhorando drasticamente a auditabilidade, a reprodutibilidade e a capacidade de justificar investimentos em segurança com base em resultados quantificados.

Principais Recursos

O CRML é projetado para trazer rigor e padronização para o gerenciamento quantitativo de risco cibernético:

• Design Independente do Motor (Engine-Agnostic): Funciona perfeitamente com qualquer motor de simulação que adere à especificação CRML, incluindo aqueles que suportam Monte Carlo no estilo FAIR, métodos Bayesianos ou modelos atuariais.
• Formato Declarativo YAML/JSON: Os modelos são descritos usando YAML ou JSON legíveis por humanos, tornando-os fáceis de ler, revisar, controlar por versão (via Git) e auditar.
• Modelagem de Eficácia de Controle: Permite que os usuários quantifiquem explicitamente como os controles de segurança, incluindo cenários complexos de defesa em profundidade (defense-in-depth), reduzem a exposição geral ao risco.
• Parametrização Baseada na Mediana: Simplifica o processo de entrada ao permitir a especificação direta de valores medianos para distribuições comuns, como distribuições log-normais.
• Validação Rigorosa: Incorpora validação JSON Schema para detectar erros estruturais e lógicos na definição do modelo antes que a simulação comece, economizando tempo e prevenindo resultados falhos.
• Suporte Multimoeda: Facilita a modelagem de risco global ao suportar conversão automática entre diferentes moedas.
• Auto-Calibração: Apresenta mecanismos para calibrar distribuições automaticamente com base nos dados de perda fornecidos.

Como Usar CRML (Cyber Risk Modeling Language)

Começar com o CRML envolve definir a estrutura do seu modelo de risco usando a especificação declarativa. O fluxo de trabalho geralmente segue estas etapas:

1. Definir a Estrutura do Modelo: Crie um arquivo CRML (tipicamente YAML) que descreva o cenário de risco. Isso inclui definir eventos de ameaça, frequências de eventos de perda, magnitudes de eventos de perda e os relacionamentos entre eles.
2. Mapear Controles e Suposições: Defina explicitamente os controles de segurança no escopo e quantifique sua eficácia (por exemplo, usando fatores de redução ou modificadores de probabilidade) de acordo com a especificação CRML.
3. Especificar Requisitos de Simulação: Detalhe as saídas necessárias, verificações de validação e quaisquer parâmetros específicos de simulação (como o número de execuções Monte Carlo ou priors Bayesianos).
4. Executar com um Motor Compatível: Alimente o arquivo CRML padronizado em um motor de simulação compatível (por exemplo, um motor FAIR personalizado ou um resolvedor Bayesiano). Como o modelo é padronizado, o motor sabe exatamente como interpretar as entradas e executar o cálculo.
5. Revisar e Versionar: Como o modelo agora é um artefato versionado (semelhante a Infraestrutura como Código), ele pode ser rastreado no controle de origem, revisado por pares e usado como evidência auditável para decisões de risco.

Casos de Uso

O CRML é inestimável para organizações que avançam além das avaliações de risco qualitativas em direção a uma quantificação rigorosa e defensável:

1. Justificativa de Gastos com Segurança: Quantificar a redução da Perda Anualizada Esperada (ALE) alcançada pela implementação de um controle específico (por exemplo, implementação de MFA) para justificar solicitações de orçamento à liderança executiva ou ao conselho.
2. Agregação de Risco Empresarial: Padronizar modelos de risco em unidades de negócios ou geografias díspares, permitindo a agregação e comparação consistentes da exposição ao risco cibernético em relação às metas financeiras da empresa.
3. Gerenciamento de Risco de Fornecedores: Criar perfis de risco padronizados e legíveis por máquina para fornecedores terceirizados críticos, permitindo a comparação automatizada de sua postura de segurança com benchmarks internos.
4. Rastreabilidade de Auditoria e Conformidade: Gerar registros imutáveis e versionados que vinculam explicitamente o número de risco final às suposições exatas, mapeamentos de controle e dados usados no cálculo, satisfazendo requisitos rigorosos de auditoria.
5. Modelagem de Defesa em Profundidade: Modelar com precisão arquiteturas de segurança complexas onde múltiplos controles sobrepostos mitigam uma única ameaça, garantindo que a redução de risco não seja contada duas vezes.

FAQ

P: O CRML é proprietário ou posso usar qualquer ferramenta com ele? A: CRML é uma linguagem declarativa de código aberto. É intencionalmente independente de motor (engine-agnostic). Qualquer plataforma de simulação que implemente a especificação CRML pode processar e executar modelos definidos neste formato.

P: Qual é a relação entre CRML e frameworks estabelecidos como FAIR? A: CRML foi projetado para descrever modelos que podem ser executados usando princípios FAIR ou outras metodologias. Ele padroniza a entrada e a estrutura do cenário de risco, permitindo que você use conceitos FAIR (como Frequência de Evento de Ameaça e Magnitude de Perda) dentro de um formato de arquivo padronizado e portátil.

P: Este projeto é estável para uso em produção? A: O projeto está atualmente em desenvolvimento intenso (conforme observado no repositório). Embora os conceitos centrais sejam robustos, os usuários devem monitorar o branch de desenvolvimento (crml-dev-1.3) e estar preparados para possíveis alterações disruptivas até que o projeto atinja um lançamento principal estável.

P: Como o CRML ajuda com a documentação inconsistente de controles? A: Ao forçar a eficácia do controle e as suposições de defesa em profundidade na definição estruturada YAML/JSON, o CRML elimina a dependência de planilhas inconsistentes ou documentos narrativos. Cada analista usa a mesma definição legível por máquina, garantindo consistência na forma como os controles impactam o cálculo de risco final.

P: Onde posso encontrar a documentação oficial ou exemplos? A: O projeto mantém a documentação, frequentemente gerada via MkDocs, e inclui exemplos na estrutura do repositório para demonstrar como definir vários cenários de risco e mapeamentos de controle.