La seguridad en cualquier organización debe estar en consonancia con sus riesgos.
Sin embargo, el proceso para determinar qué controles de seguridad son adecuados y rentables, es a menudo complejo y responde en gran medida a cuestiones subjetivas. Una de las principales funciones de análisis de riesgos de seguridad es poner este proceso en una base más objetiva.
Existen una serie de diferentes enfoques para el análisis de riesgos pero, en esencia, suelen dividirse en dos tipos fundamentales: cuantitativos y cualitativos.
Sin embargo, el proceso para determinar qué controles de seguridad son adecuados y rentables, es a menudo complejo y responde en gran medida a cuestiones subjetivas. Una de las principales funciones de análisis de riesgos de seguridad es poner este proceso en una base más objetiva.
Existen una serie de diferentes enfoques para el análisis de riesgos pero, en esencia, suelen dividirse en dos tipos fundamentales: cuantitativos y cualitativos.
Enfoque cuantitativo de análisis de riesgos
Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un hecho y la probable pérdida en caso de que ocurra el hecho citado.
El enfoque cuantitativo de análisis de riesgos se centra en el uso de una sola cifra producida a partir de estos elementos. A esto se le suele denominar comúnmente el “Annual Loss Expectancy” - ALE (Esperanza de pérdida anual) o también “'Estimated Annual Cost” – EAC (Coste anual estimado). La forma de calcularlo para un evento en concreto se realiza mediante la multiplicación de la pérdida potencial por la probabilidad. Gracias a este enfoque, es teóricamente posible clasificar los acontecimientos en orden de riesgo (ALE) a fin de tomar decisiones sobre esta base.
Los problemas con este tipo de análisis de riesgos están generalmente asociados con la inexactitud y falta de fiabilidad de los datos. Los datos asociados a las probabilidades – estimadas por lo general bajo el criterio interno de la empresa - rara vez suelen ser precisos y pueden, en algunos casos, estar basados en la propia autocomplacencia de los dueños de los procesos de negocio. Además, los controles y las contramedidas a menudo hacen frente a una serie de posibles acontecimientos en los que los hechos que los producen están normalmente interrelacionados.
A pesar de estos inconvenientes, son numerosas las organizaciones que han adoptado y aplicado con éxito el análisis de riesgo cuantitativo.
Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un hecho y la probable pérdida en caso de que ocurra el hecho citado.
El enfoque cuantitativo de análisis de riesgos se centra en el uso de una sola cifra producida a partir de estos elementos. A esto se le suele denominar comúnmente el “Annual Loss Expectancy” - ALE (Esperanza de pérdida anual) o también “'Estimated Annual Cost” – EAC (Coste anual estimado). La forma de calcularlo para un evento en concreto se realiza mediante la multiplicación de la pérdida potencial por la probabilidad. Gracias a este enfoque, es teóricamente posible clasificar los acontecimientos en orden de riesgo (ALE) a fin de tomar decisiones sobre esta base.
Los problemas con este tipo de análisis de riesgos están generalmente asociados con la inexactitud y falta de fiabilidad de los datos. Los datos asociados a las probabilidades – estimadas por lo general bajo el criterio interno de la empresa - rara vez suelen ser precisos y pueden, en algunos casos, estar basados en la propia autocomplacencia de los dueños de los procesos de negocio. Además, los controles y las contramedidas a menudo hacen frente a una serie de posibles acontecimientos en los que los hechos que los producen están normalmente interrelacionados.
A pesar de estos inconvenientes, son numerosas las organizaciones que han adoptado y aplicado con éxito el análisis de riesgo cuantitativo.
Enfoque cualitativo de análisis de riesgos
Este es, con mucho, la metodología más utilizada para el análisis de riesgos. En este caso, la probabilidad no es necesaria y tan solo es utilizado como factor de cálculo la pérdida potencial estimada.
Para compensar esta situación, la mayoría de las metodologías de análisis de riesgo cualitativo hacen uso de una serie de elementos relacionados entre sí:
Este es, con mucho, la metodología más utilizada para el análisis de riesgos. En este caso, la probabilidad no es necesaria y tan solo es utilizado como factor de cálculo la pérdida potencial estimada.
Para compensar esta situación, la mayoría de las metodologías de análisis de riesgo cualitativo hacen uso de una serie de elementos relacionados entre sí:
Amenazas
Se trata del conjunto de cosas que pueden “salir mal” o las acciones que pueden “atacar” la información de la entidad. Algunas amenazas comunes a muchos sectores suelen ser el fuego, el robo, el fraude interno o el fallo de componentes, entre otras muchas. La cuestión es que las amenazas están cada vez más presentes en nuestros procesos de negocio.
Se trata del conjunto de cosas que pueden “salir mal” o las acciones que pueden “atacar” la información de la entidad. Algunas amenazas comunes a muchos sectores suelen ser el fuego, el robo, el fraude interno o el fallo de componentes, entre otras muchas. La cuestión es que las amenazas están cada vez más presentes en nuestros procesos de negocio.
Vulnerabilidades
Son todos aquellos elementos que hacen a un sistema más propenso al ataque de una amenaza o aquellas situaciones en las que es más probable que un ataque tenga cierto éxito impacto en los procesos de negocio de la organización. Un ejemplo de vulnerabilidad para la amenaza de fraude interno sería la ausencia de contratos blindados firmados con el personal que hagan que la responsabilidad ante un fraude recaiga en el trabajador y no en la entidad, por ejemplo.
Controles
Cuando en análisis de riesgos aparece la palabra “controles” en realidad nos estamos refiriendo al conjunto de contramedidas necesarias para paliar las vulnerabilidades. Por lo general, existen cuatro tipos de controles:
Son todos aquellos elementos que hacen a un sistema más propenso al ataque de una amenaza o aquellas situaciones en las que es más probable que un ataque tenga cierto éxito impacto en los procesos de negocio de la organización. Un ejemplo de vulnerabilidad para la amenaza de fraude interno sería la ausencia de contratos blindados firmados con el personal que hagan que la responsabilidad ante un fraude recaiga en el trabajador y no en la entidad, por ejemplo.
Controles
Cuando en análisis de riesgos aparece la palabra “controles” en realidad nos estamos refiriendo al conjunto de contramedidas necesarias para paliar las vulnerabilidades. Por lo general, existen cuatro tipos de controles:
- Los Disuasorios son controles destinados a reducir la probabilidad de un ataque deliberado.
- Los Preventivos son controles que nos protegen de una vulnerabilidad intentando que los ataques sean fallidos o que produzcan el menor impacto posible.
- Los Correctivos son controles destinados a reducir el efecto de un ataque.
- Los Detectivos son controles programados para descubrir y desencadenar ataques preventivos o correctivos.
Podemos ver la relación de todos ellos en la siguiente representacion gráfica:
Un enfoque híbrido en la metodología de análisis de riesgos – cuantitativo y cualitativo – apoyado por indicadores externos de frecuencia o probabilidad de suceso de amenazas y vulnerabilidades ajustadas al sector de la organización, hará que el mapa que se obtenga de la situación de la entidad sea mucho más ajustado a realidad, tanto interna como externa.
Fuente: Beatriz Martínez, www.sigea.es
No hay comentarios:
Publicar un comentario