fbpx

Proceso de evaluación de riesgos de seguridad de la información: Gestión de riesgos de seguridad de la información Paso #3

Posted in Gestión de riesgos on diciembre 11, 2023
Security Risk Assessment Process

El proceso de evaluación de riesgos de seguridad es uno de los pasos más importantes de las actividades generales de gestión de riesgos de seguridad de la información de una organización.

Una vez que se identifican los riesgos de seguridad de la información a partir de diferentes fuentes de riesgo, se evalúa la probabilidad de que ocurra la seguridad de la información. La evaluación de la probabilidad es subjetiva porque los datos o la información relevante no están disponibles para la organización que predice con precisión la probabilidad de un riesgo de seguridad de la información en particular.

Proceso de evaluación de riesgos de seguridad de la información

Para evaluar la probabilidad de riesgos de seguridad de la información, la organización puede considerar varios factores, como incidentes pasados, la prevalencia del riesgo de seguridad de la información en la industria, el entorno de control interno, los recursos disponibles para abordar el fraude de datos, los esfuerzos de prevención del fraude de datos por parte de la gerencia, los estándares éticos seguidos, las pérdidas inexplicables, las quejas de los clientes, etc.

Una vez que se evalúa la probabilidad de riesgos de seguridad de la información, se evalúa la frecuencia de ocurrencia de los incidentes de seguridad de la información. La frecuencia se evalúa en función de la disponibilidad de información pasada o histórica sobre los incidentes de seguridad de la información.

Proceso De EvaluacióN De Riesgos De Seguridad

Las frecuencias de ocurrencia de fraudes o incidentes de datos o información pueden definirse de la siguiente manera:

  • Muy frecuente significa que se espera que el riesgo de seguridad de la información ocurra diariamente o varias veces al día. Tales riesgos pueden no tener un impacto alto, pero debido a un gran número de ocurrencias, el impacto puede ser alto durante un período particular. Un ejemplo puede incluir una gran cantidad de datos críticos de clientes a los que acceden empleados no autorizados varias veces a la semana.
  • Frecuente significa que se espera que el riesgo de seguridad de la información ocurra con frecuencia, que puede ser una vez al día, cada dos días o semanalmente. Tales riesgos de seguridad de la información también pueden no tener un impacto alto, pero debido a un gran número de ocurrencias, el impacto acumulativo puede ser alto durante un período particular. Un ejemplo puede incluir una pequeña cantidad de datos críticos de clientes a los que accede un empleado no autorizado varias veces al mes.
  • Razonablemente frecuente significa que se espera que el riesgo de seguridad de la información ocurra cada semana o mes. Estos riesgos de fraude pueden tener un alto impacto debido a un menor número de incidentes de fraude durante un período determinado. Un ejemplo puede incluir una pequeña cantidad de datos críticos de clientes a los que accede un empleado no autorizado más de una vez en un período de seis meses.
  • Ocasional significa que los incidentes de riesgo de seguridad de la información no ocurren con frecuencia, pero el estafador realiza fraude en ciertas ocasiones. Tales tipos de fraude pueden tener un alto impacto porque pueden estar respaldados por una planificación adecuada por parte de los estafadores para obtener tantos beneficios personales como sea posible. Un ejemplo puede incluir una pequeña cantidad de datos críticos de clientes a los que se accede solo una vez cada varios años.
  • Raro significa que el incidente de seguridad de la información ocurre una vez a lo largo de los años, pero tiene un alto impacto tanto en términos de pérdidas de reputación como financieras para la organización. Tales tipos de incidentes de seguridad de la información generalmente involucran a un gran número de estafadores, que pueden estar dispersos en diferentes jurisdicciones y ubicaciones. Los ejemplos pueden incluir ataques cibernéticos a grandes organizaciones nacionales para obtener y usar información confidencial.

Del mismo modo, para la ocurrencia de riesgos de seguridad de la información, la organización realiza las definiciones, como las siguientes:

  • Casi seguro significa que las posibilidades de ocurrencia de riesgo son muy altas, lo que puede ser más del 90 por ciento de probabilidad.
  • Probablemente significa que las posibilidades de ocurrencia de riesgo oscilan entre el 65 y el 90 por ciento.
  • Razonablemente posible significa que las posibilidades de ocurrencia del riesgo oscilan entre el 35 y el 65 por ciento.
  • Improbable significa que las posibilidades de ocurrencia del riesgo oscilan entre el 10 y el 35 por ciento.
  • Remoto significa que las posibilidades de ocurrencia del riesgo son inferiores al 10 por ciento.
Proceso De EvaluacióN De Riesgos De Seguridad

Reflexiones finales

Sobre la base de la evaluación general y la utilización de la información disponible, el evaluador de riesgos de seguridad de la información desarrolla o diseña los controles preventivos y de detección en diversos procesos y actividades de la organización. Los controles preventivos y detectives se implementan principalmente en procesos de alto riesgo, donde las posibilidades de ocurrencia de incidentes de seguridad de la información son altas. Dichos procesos incluyen servidores, redes, sistemas, aplicaciones, canales de prestación de servicios en línea, etc.