Hola comunidad,
Les comparto Conceptos básicos sobre La seguridad de la información - parte 7
Gestión de riesgo
El riesgo es una función de la probabilidad de que una fuente de amenaza determinada ejerza una vulnerabilidad potencial particular y el impacto resultante de ese evento adverso en la organización. La gestión del riesgo es una actividad compleja y multifacética que requiere la participación de toda la organización.
La publicación especial 800-39 del Instituto Nacional de Estándares y Tecnología (NIST): Guía de gestión de riesgos para sistemas de tecnología de la información define una terminología de riesgo común, de la siguiente manera:
Una fuente de amenaza es una intención y un método que tiene como objetivo la explotación intencional de una vulnerabilidad o una situación y un método que puede desencadenar accidentalmente una vulnerabilidad.
Una amenaza es la posibilidad de que una fuente de amenaza ejerza (active accidentalmente o explote intencionalmente) una vulnerabilidad específica.
Una vulnerabilidad es la debilidad que hace que el recurso sea susceptible a la amenaza. Una superficie de ataque es la suma total de las vulnerabilidades en un sistema dado que es accesible para un atacante. La superficie de ataque describe diferentes puntos donde un atacante podría ingresar a un sistema y donde podría sacar datos del sistema.
El impacto es el daño resultante a la organización causado por la amenaza.
Ninguna organización puede determinar la probabilidad exacta de que ocurra una amenaza en un momento dado. Sin embargo, la probabilidad de una amenaza podría ser una estimación fundamentada. Del mismo modo, es difícil determinar el impacto y el costo de un ataque. Factores como el tiempo de inactividad de los empleados, la pérdida de reputación y la pérdida de confianza del consumidor complican este cálculo. Una vez más, el objetivo es llegar a una estimación acordada y fundamentada.
Tipos de riesgo
En la seguridad de la información, el riesgo se refiere a la pérdida de confidencialidad, integridad o disponibilidad de la información. Los riesgos están siempre presentes; no hay forma de garantizar un sistema funcional totalmente libre de riesgos. La gestión de riesgos es el proceso de identificar el riesgo, evaluarlo y tomar medidas para reducir el riesgo a un nivel aceptable. Una evaluación de riesgos de seguridad solo puede ofrecer una instantánea de los riesgos de los sistemas de información en un momento determinado. Por lo tanto, se recomienda encarecidamente realizar evaluaciones de riesgos de seguridad con más frecuencia, si no de forma continua. La evaluación de riesgos del sistema de información se puede realizar utilizando un enfoque cualitativo o cuantitativo.
La evaluación de riesgo cuantitativa implica tratar de asignar una cantidad en dólares (o la moneda que manejamos en nuestro pais) a cada riesgo específico, y la evaluación de riesgo cualitativa implica asignar un nivel de riesgo como bajo, medio.
Tipos de riesgo en una organización comercial:
El riesgo comercial es el riesgo en el que incurre una empresa simplemente como parte de sus actividades comerciales. La exposición al riesgo comercial varía según el tipo de negocio. El riesgo comercial puede ser tan simple como que un competidor abra otra tienda, una extraña ola de frío que afecte las ventas en un puesto de helados o un aumento inesperado en los precios de la gasolina para una empresa de mensajería.
Espero les guste,
saludos,