Infosec 101: El riesgo y su evaluación

El riesgo es una medida del grado en que una entidad se ve amenazada por un potencial evento o circunstancia, y típicamente se determina en función de:

  1. Los impactos adversos que se producirían en caso de materializarse la circunstancia o evento; y
  2. La probabilidad de ocurrencia de dichos eventos.

Los riesgos de seguridad de la información son los que se derivan de la pérdida de la confidencialidad, integridad o disponibilidad de la información o de los sistemas de información que los soportan y reflejan los potenciales impactos adversos para las operaciones de la organización es decir aquellos que pueden afectar su misión, sus funciones, su imagen o su reputación, así, como tambien pueden afectar a los activos de la organización, los individuos, a otras organizaciones, e incluso la Nación. La evaluación de riesgos es el proceso de identificación, estimación, y priorización de los riesgos de seguridad de la información. La evaluación del riesgo requiere del análisis cuidadoso de la información sobre las amenazas y las vulnerabilidades para determinar la medida en la cual las circunstancias o eventos podrían afectar negativamente a la organización y la probabilidad de que tales circunstancias o eventos ocurran. Una metodología para la evaluación de riesgos normalmente debe incluir:

  1. Un proceso de evaluación de riesgos;
  2. Un modelo de riesgo explícito, que defina (a) los términos claves, (b) los factores de riesgo evaluables y (c) las relaciones entre dichos factores;
  3. Un enfoque de evaluación (por ejemplo, cuantitativa, cualitativa o semi-cualitativa), especificando el rango de valores que los factores de riesgo pueden asumir durante la evaluación y el cómo las combinaciones de riesgo son identificados y/o analizados; y
  4. Un enfoque de análisis (por ejemplo: orientado a las amenazas, orientado a los activos,  orientado a los impactos, u orientado a las vulnerabilidades), que describa cómo son identificados y/o analizados dichas combinaciones de factores de riesgo para asegurar una cobertura adecuada del espacio del problema a un adecuado nivel de detalles.

Las organizaciones pueden utilizar una metodología única de evaluación de riesgos o pueden emplear múltiples metodologías de evaluación, la selección de una metodología específica va en función de, por ejemplo:

  1. El plazo para la planificación de las inversiones o de cambios en las políticas de planificación;
  2. La complejidad y/o madurez de los procesos de misión y/o procesos de negocio de la organización (por segmentos de la arquitectura empresarial);
  3. La fase de los sistemas de información en el ciclo de vida de desarrollo del sistema;
  4. La criticidad y/o sensibilidad de los sistemas de información relacionados con las misiones de las funciones básicas de las organizaciones y/o empresas.

Al hacer explícito el modelo de riesgo, el enfoque de la evaluación, y el enfoque del análisis empleado, las organizaciones pueden aumentar la reproducibilidad y repetibilidad de las evaluaciones de riesgos. Los modelos de riesgo definen los factores de riesgo que deben evaluarse y las relaciones entre esos factores. Los factores de riesgo son características que se utilizan en los modelos de riesgo como insumos para la determinación de los niveles de riesgo. Los factores de riesgo también se utilizan ampliamente en la comunicación de los riesgos para destacar lo que afecta en gran medida los niveles de riesgo en situaciones particulares. Los factores de riesgo típicos incluyen amenazas, vulnerabilidades, impactos, probabilidades y condiciones predisponentes.

Anuncios

Un comentario Agrega el tuyo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s