El proceso de evaluación de riesgos de seguridad es uno de los pasos más importantes de las actividades generales de gestión de riesgos de seguridad de la información de una organización.
Una vez que se identifican los riesgos de seguridad de la información a partir de diferentes fuentes de riesgo, se evalúa la probabilidad de que ocurra la seguridad de la información. La evaluación de la probabilidad es subjetiva porque los datos o la información relevante no están disponibles para la organización que predice con precisión la probabilidad de un riesgo de seguridad de la información en particular.
Proceso de evaluaciĂłn de riesgos de seguridad de la informaciĂłn
Para evaluar la probabilidad de riesgos de seguridad de la información, la organización puede considerar varios factores, como incidentes pasados, la prevalencia del riesgo de seguridad de la información en la industria, el entorno de control interno, los recursos disponibles para abordar el fraude de datos, los esfuerzos de prevención del fraude de datos por parte de la gerencia, los estándares éticos seguidos, las pérdidas inexplicables, las quejas de los clientes, etc.
Una vez que se evalĂşa la probabilidad de riesgos de seguridad de la informaciĂłn, se evalĂşa la frecuencia de ocurrencia de los incidentes de seguridad de la informaciĂłn. La frecuencia se evalĂşa en funciĂłn de la disponibilidad de informaciĂłn pasada o histĂłrica sobre los incidentes de seguridad de la informaciĂłn.

Las frecuencias de ocurrencia de fraudes o incidentes de datos o informaciĂłn pueden definirse de la siguiente manera:
- Muy frecuente significa que se espera que el riesgo de seguridad de la informaciĂłn ocurra diariamente o varias veces al dĂa. Tales riesgos pueden no tener un impacto alto, pero debido a un gran nĂşmero de ocurrencias, el impacto puede ser alto durante un perĂodo particular. Un ejemplo puede incluir una gran cantidad de datos crĂticos de clientes a los que acceden empleados no autorizados varias veces a la semana.
- Frecuente significa que se espera que el riesgo de seguridad de la informaciĂłn ocurra con frecuencia, que puede ser una vez al dĂa, cada dos dĂas o semanalmente. Tales riesgos de seguridad de la informaciĂłn tambiĂ©n pueden no tener un impacto alto, pero debido a un gran nĂşmero de ocurrencias, el impacto acumulativo puede ser alto durante un perĂodo particular. Un ejemplo puede incluir una pequeña cantidad de datos crĂticos de clientes a los que accede un empleado no autorizado varias veces al mes.
- Razonablemente frecuente significa que se espera que el riesgo de seguridad de la informaciĂłn ocurra cada semana o mes. Estos riesgos de fraude pueden tener un alto impacto debido a un menor nĂşmero de incidentes de fraude durante un perĂodo determinado. Un ejemplo puede incluir una pequeña cantidad de datos crĂticos de clientes a los que accede un empleado no autorizado más de una vez en un perĂodo de seis meses.
- Ocasional significa que los incidentes de riesgo de seguridad de la informaciĂłn no ocurren con frecuencia, pero el estafador realiza fraude en ciertas ocasiones. Tales tipos de fraude pueden tener un alto impacto porque pueden estar respaldados por una planificaciĂłn adecuada por parte de los estafadores para obtener tantos beneficios personales como sea posible. Un ejemplo puede incluir una pequeña cantidad de datos crĂticos de clientes a los que se accede solo una vez cada varios años.
- Raro significa que el incidente de seguridad de la información ocurre una vez a lo largo de los años, pero tiene un alto impacto tanto en términos de pérdidas de reputación como financieras para la organización. Tales tipos de incidentes de seguridad de la información generalmente involucran a un gran número de estafadores, que pueden estar dispersos en diferentes jurisdicciones y ubicaciones. Los ejemplos pueden incluir ataques cibernéticos a grandes organizaciones nacionales para obtener y usar información confidencial.
Del mismo modo, para la ocurrencia de riesgos de seguridad de la informaciĂłn, la organizaciĂłn realiza las definiciones, como las siguientes:
- Casi seguro significa que las posibilidades de ocurrencia de riesgo son muy altas, lo que puede ser más del 90 por ciento de probabilidad.
- Probablemente significa que las posibilidades de ocurrencia de riesgo oscilan entre el 65 y el 90 por ciento.
- Razonablemente posible significa que las posibilidades de ocurrencia del riesgo oscilan entre el 35 y el 65 por ciento.
- Improbable significa que las posibilidades de ocurrencia del riesgo oscilan entre el 10 y el 35 por ciento.
- Remoto significa que las posibilidades de ocurrencia del riesgo son inferiores al 10 por ciento.

Reflexiones finales
Sobre la base de la evaluaciĂłn general y la utilizaciĂłn de la informaciĂłn disponible, el evaluador de riesgos de seguridad de la informaciĂłn desarrolla o diseña los controles preventivos y de detecciĂłn en diversos procesos y actividades de la organizaciĂłn. Los controles preventivos y detectives se implementan principalmente en procesos de alto riesgo, donde las posibilidades de ocurrencia de incidentes de seguridad de la informaciĂłn son altas. Dichos procesos incluyen servidores, redes, sistemas, aplicaciones, canales de prestaciĂłn de servicios en lĂnea, etc.








