Evaluación del Riesgo

La evaluación del riesgo es también conocida como un análisis del riesgo o cálculo del riesgo. Para propósitos de uniformidad, se utilizará el término “evaluación del riesgo”. La evaluación del riesgo  se relaciona con las amenazas, vulnerabilidades, e impacto en la perdida de las capacidades en el procesamiento de información, o una perdida en la información por si misma. Una vulnerabilidad es una debilidad la cual podría ser explotada por una amenaza. Cada riesgo el cual puede ser identificada, debe ser perfilado, descrito, y evaluado por la probabilidad de su ocurrencia. La clave aquí es pensar fuera de la caja. Las amenazas y riesgos convencionales son frecuentemente muy limitados cuando se considera la evaluación del riesgo.

Los componentes clave para un proceso de evaluación del riesgo son delineados en:

Riesgo para el cual una organización está expuesta. Este componente permite desarrollar escenarios los cuales pueden ayudar a evaluar como enfrentar estos riesgos cuando ocurran. Un sistema operativo, servidor, o aplicación, pueden tener riesgos conocidos en ciertos entornos. Se debe crear un plan para saber como la organización podría enfrentar mejor estos riesgos, y la mejor manera de responder.

Riesgo el cual necesita ser abordado. El componente para la evaluación del riesgo también permite a una organización proporcionar una verificación realista sobre cual de los riesgos son reales y cuales son poco probables. Este proceso ayuda a una organización se enfoque sobre sus recursos, como también en los riesgos más probables de ocurrir. Por ejemplo, espionaje industrial y robo son probables, pero el riesgo del daño por un huracán al cuarto de servidores es muy bajo. Por lo tanto, más recursos deben ser asignados para prevenir espionaje o robo, opuesta a otras posibilidades.

Coordinación con BIA. El componente de evaluación del riesgo, en conjunción con BIA (Business Impact Analysis) o Análisis de Impacto para el Negocio, proporciona a una organización con un cuadro preciso de la situación enfrentada. Esto permite a una organización hacer decisiones diligentes sobre como responder a diversos escenarios.

Un ejemplo del mundo real para realizar una evaluación del riesgo.

Se es consultado para hacer una evaluación rápida de los riesgos enfrentados por la compañía desde una perspectiva de la seguridad. ¿Cuales pasos podrían tomarse para desarrollar una revisión de los problemas de la compañía?.

1. Entrevistas con los jefes de departamentos y propietarios de datos para determinar cual información sienten requieren seguridad adicional, y para identificar vulnerabilidades existentes desde su perspectiva.

2. Evaluar la infraestructura de la red para determinar vulnerabilidades conocidas, y como se podría contabilizarlas.

3. Realizar una evaluación física de la facilidad para evaluar cual riesgos físicos deben ser contabilizados.

Armado con esta información se debe iniciar, y se puede determinar cuales medidas correctivas pueden ser apropiadas para la compañía mitigue el riesgo.

Fuentes:

https://www.ready.gov/business-impact-analysis