Introducción al análisis de riesgos

diciembre 6, 2007 § Deja un comentario

Por Beatriz Martínez

La seguridad en cualquier organización debe estar en consonancia con sus riesgos.

Sin embargo, el proceso para determinar qué controles de seguridad son adecuados y rentables, es a menudo complejo y responde en gran medida a cuestiones subjetivas. Una de las principales funciones de análisis de riesgos de seguridad es poner este proceso en una base más objetiva.

Existen una serie de diferentes enfoques para el análisis de riesgos pero, en esencia, suelen dividirse en dos tipos fundamentales: cuantitativos y cualitativos.

Enfoque cuantitativo de análisis de riesgos

Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un hecho y la probable pérdida en caso de que ocurra el hecho citado.

El enfoque cuantitativo de análisis de riesgos se centra en el uso de una sola cifra producida a partir de estos elementos. A esto se le suele denominar comúnmente el “Annual Loss Expectancy” – ALE (Esperanza de pérdida anual) o también “’Estimated Annual Cost” – EAC (Coste anual estimado). La forma de calcularlo para un evento en concreto se realiza mediante la multiplicación de la pérdida potencial por la probabilidad. Gracias a este enfoque, es teóricamente posible clasificar los acontecimientos en orden de riesgo (ALE) a fin de tomar decisiones sobre esta base.

Los problemas con este tipo de análisis de riesgos están generalmente asociados con la inexactitud y falta de fiabilidad de los datos. Los datos asociados a las probabilidades – estimadas por lo general bajo el criterio interno de la empresa – rara vez suelen ser precisos y pueden, en algunos casos, estar basados en la propia autocomplacencia de los dueños de los procesos de negocio. Además, los controles y las contramedidas a menudo hacen frente a una serie de posibles acontecimientos en los que los hechos que los producen están normalmente interrelacionados.

A pesar de estos inconvenientes, son numerosas las organizaciones que han adoptado y aplicado con éxito el análisis de riesgo cuantitativo.

Enfoque cualitativo de análisis de riesgos

Este es, con mucho, la metodología más utilizada para el análisis de riesgos. En este caso, la probabilidad no es necesaria y tan solo es utilizado como factor de cálculo la pérdida potencial estimada.

Para compensar esta situación, la mayoría de las metodologías de análisis de riesgo cualitativo hacen uso de una serie de elementos relacionados entre sí:

Amenazas

Se trata del conjunto de cosas que pueden “salir mal” o las acciones que pueden “atacar” la información de la entidad. Algunas amenazas comunes a muchos sectores suelen ser el fuego, el robo, el fraude interno o el fallo de componentes, entre otras muchas. La cuestión es que las amenazas están cada vez más presentes en nuestros procesos de negocio.

Vulnerabilidades

Son todos aquellos elementos que hacen a un sistema más propenso al ataque de una amenaza o aquellas situaciones en las que es más probable que un ataque tenga cierto éxito impacto en los procesos de negocio de la organización. Un ejemplo de vulnerabilidad para la amenaza de fraude interno sería la ausencia de contratos blindados firmados con el personal que hagan que la responsabilidad ante un fraude recaiga en el trabajador y no en la entidad, por ejemplo.

Controles

Cuando en análisis de riesgos aparece la palabra “controles” en realidad nos estamos refiriendo al conjunto de contramedidas necesarias para paliar las vulnerabilidades. Por lo general, existen cuatro tipos de controles:

  • Los Disuasorios son controles destinados a reducir la probabilidad de un ataque deliberado.

  • Los Preventivos son controles que nos protegen de una vulnerabilidad intentando que los ataques sean fallidos o que produzcan el menor impacto posible.
  • Los Correctivos son controles destinados a reducir el efecto de un ataque.
  • Los Detectivos son controles programados para descubrir y desencadenar ataques preventivos o correctivos.

Podemos ver la relación de todos ellos en la siguiente representacion gráfica:

analisis de riesgos

Un enfoque híbrido en la metodología de análisis de riesgos – cuantitativo y cualitativo – apoyado por indicadores externos de frecuencia o probabilidad de suceso de amenazas y vulnerabilidades ajustadas al sector de la organización, hará que el mapa que se obtenga de la situación de la entidad sea mucho más ajustado a realidad, tanto interna como externa.

Fuente: http://www.sigea.es/index.php?option=com_content&task=view&id=108&Itemid=40

About these ads

Deja un comentario

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Introducción al análisis de riesgos en Seguridad Informática.

Meta

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 116 seguidores

A %d blogueros les gusta esto: