8 pasos para hacer una evaluación de riesgos (parte II)

En la publicación anterior revisamos los primeros cuatro pasos para hacer una evaluación de riesgos en OCTAVE Allegro, útiles para llevar a cabo un análisis de posibles riesgos de seguridad y definir opciones de tratamiento de los mismos, como una forma de prevenir la materialización de amenazas. En esta publicación vamos a conocer los últimos cuatro pasos considerados en este método.

5. Identificar escenarios de amenaza

En el quinto paso las áreas de preocupación son extendidas a escenarios de amenaza, lo que significa la identificación de otras preocupaciones para la organización que están relacionadas con sus activos de información críticos y que no son visibles a primera vista, como en el paso anterior.

Para lograrlo, se puede utilizar un cuestionario por cada tipo de contenedor del paso 3 (técnico, físico o humano), que contiene un conjunto de condiciones y preguntas diseñadas para detallar la identificación de amenazas.

Otra manera de identificar condiciones de riesgo es a través de árboles de amenaza, que son estructuras lógicas para visualizar combinaciones de eventos y que consideran amenazas a través de medios técnicos y físicos, con actores internos o externos, por motivos accidentales o intencionales, que pueden provocar alguna consecuencia como la divulgación, modificación, interrupción o destrucción de un activo de información, como se muestra en la siguiente imagen:

Arbol
Otros árboles de amenaza consideran problemas técnicos como defectos de software y hardware, fallas en sistemas o incidentes por códigos maliciosos. También, fallas de suministro eléctrico, en telecomunicaciones, relacionados con terceros, incluso por desastres naturales que pueden afectar los activos.

Es importante mencionar que no todas las combinaciones representan una amenaza real en la organización, por lo que algunas pueden ser descartadas.

6. Identificar riesgos

Aquí se calcula el riesgo a través de la siguiente ecuación:

Riesgo = Amenaza (condición) + Impacto (consecuencia)

Se determina el impacto a la organización si se realiza un escenario de amenaza descrito en los pasos 4 y 5, a través de los enunciados de impacto, la descripción detallada de la manera en que se ve afectada la organización. Para ello se debe tomar como referencia cada uno de los criterios definidos en el paso 1, es decir, las áreas de impacto que preocupan a la empresa.

De manera opcional se puede definir la probabilidad realista de la ocurrencia de la amenaza (altamente recomendable). Se trata de una actividad que permitirá priorizar los riesgos a tratar y requiere de un conocimiento amplio sobre los problemas de seguridad que ha padecido la organización, por lo que se pueden utilizar información estadística como los registros de incidentes. A una probabilidad de ocurrencia alta se asigna un valor de 3, si es media un valor de 2 y una valor de 1 para una probabilidad baja.

7. Analizar riesgos

En este paso se mide de forma cualitativa el grado en el que la organización es afectada por una amenaza y se calcula una puntuación para cada riesgo de cada activo de información. Para ello, se comparan las áreas de impacto de cada categoría de los criterios del paso 1, con el escenario de amenaza.

Se debe calcular un puntaje para cada escenario de amenaza generado, en este caso, se considera un incidente de seguridad que se conoce públicamente, por lo que el valor de impacto es alto (correspondiente a un  3). Para cada criterio puede existir más de un área de impacto, por lo que en el cálculo se considera el impacto de mayor valor. Luego se multiplica el valor de impacto del área con la prioridad definida en el paso 1:Puntaje
El resultado final o puntaje total, es la suma de los productos de la puntuación. El resultado es un valor cuantitativo que puede ir de 0 a 45, a un valor más grande, el impacto será mayor sobre los activos de la empresa.

8. Seleccionar un enfoque de mitigación

En el último paso, se deben determinar las opciones de tratamiento de riesgos con base en los resultados del análisis, es decir, utilizando los valores de impacto y probabilidad calculados en los pasos anteriores. Este criterio puede variar de una organización a otra, pero en general, se busca mitigar aquellos riesgos que resulten con un valor alto (cercano a 45) y con una probabilidad de ocurrencia alta.

En OCTAVE Allegro se puede hacer uso de la matriz de riesgo relativo, un elemento que permite visualizar los riesgos a tratar con base en la probabilidad y el puntaje de riesgo. Se categorizan grupos de escenarios de amenazas para su tratamiento con base en estos resultados, como se muestra en la siguiente imagen. Los riesgos que pertenecen al grupo 1 deberían ser tratados con mayor prioridad:MatrizLos enfoques de tratamiento para este método son mitigar, postergar, transferir o aceptar. Estas opciones pueden variar de una metodología a otra, aunque generalmente coinciden. Finalmente, es conveniente priorizar los riesgos para identificar aquellos que deban tratarse primero.

Con este método, es posible que a partir de criterios cualitativos, se pueda obtener un resultado numérico, es decir un valor cuantitativo, que permite priorizar los riesgos, con base en un puntaje y su probabilidad de ocurrencia.

OCTAVE Allegro puede ser de mucha utilidad, ya que se enfoca en los activos de información y ofrece opciones para crear los escenarios de amenaza, que permiten tener un mayor alcance para la identificación a la hora de hacer un análisis de riesgos y prevenirlos, con base en la propensión de la organización y los criterios que definan los tomadores de decisiones.

Créditos imagen: ©Johan Hansson/Flickr

Autor , ESET

Síguenos