Este módulo es un recurso para los catedráticos
Riesgo
Las decisiones para salvaguardar los activos se hacen en condiciones de incertidumbre; es decir, se hacen en ausencia de un conocimiento absoluto sobre las potenciales amenazas, vulnerabilidades y aprovechamiento de dichas vulnerabilidades (Knight, 1921). Originalmente, la definición del riesgo se limitaba a la probabilidad (o posibilidad) de una amenaza y su impacto (o consecuencias) en caso de materializarse la amenaza (Dali y Lajtha, 2012). Este concepto de riesgo se representa en la siguiente fórmula:
R iesgo = P robabilidad x I mpacto
Se utilizan fórmulas, como la presentada arriba, para cuantificar los riesgos (para obtener información sobre la manera de cuantificar la seguridad cibernética y las limitaciones de estos esfuerzos, consulte: Freund y Jones, 2015; Hubbard y Seiersen, 2016).
En 2009, la Organización Internacional de Normalización (ISO, por sus siglas en inglés), una organización internacional no gubernamental que desarrolla y publica normas internacionales para armonizar las prácticas entre países, propuso una definición diferente, con la intención de que sirva como referencia para promocionar el entendimiento mutuo y la consistencia en el uso de términos clave relativos al riesgo (Luko, 2013; Dali y Lajtha, 2012). De manera puntual, la Guía ISO 73 (2009) define riesgo como el «efecto de la incertidumbre sobre el logro de los objetivos» (consulte 3.1 de la Guía ISO 73 (2009)) que se presenta, por ejemplo, en las metas financieras a corto y largo plazo. En esta definición de riesgo, la incertidumbre se refiere al «estado, incluso parcial, de deficiencia de información, entendimiento o conocimiento de un evento...» [(es decir, una «ocurrencia o cambio de un conjunto de circunstancias en particular» Sección 3.5.1.3 de la Guía ISO 73)], ...de su consecuencia... [(«resultado de un evento que afecta los objetivos» Sección 3.6.1.3 de la Guía ISO 73)], ...o de su probabilidad [(la «posibilidad de que ocurra algo, ya sea definida, medida o determinada de manera objetiva o subjetiva, y descrita matemáticamente o en términos generales (como por ejemplo, una probabilidad matemática o la frecuencia durante un periodo de tiempo determinado)» notas de la Sección 3.6.1.1 de la Guía ISO 73)]» (consulte las notas 3.1 de la Guía ISO 73; para obtener un análisis más detallado de la terminología relativa al riesgo, consulte Hoyle, 2018).
Figura 1: Grupo de análisis de amenazas
Fuente: Threat Analysis Group. (2012). Gestión de los riesgos para la seguridad – Metodología.
Las evaluaciones de riesgo (descritas en la figura 1) identifican las vulnerabilidades de los activos, identifican o se basan en la información acerca de las amenazas internas y externas que proporcionan los medios de comunicación u organizaciones asociadas tanto del sector público como del privado e identifican los impactos y probabilidad de las amenazas (NIST, 2018). El propósito de una evaluación de riesgos es «identificar...amenazas; ...daños (impactos adversos) que puedan ocurrir a causa de las potenciales amenazas derivadas del aprovechamiento de vulnerabilidades y... la probabilidad de que ocurran daños» (NIST, 2012; para obtener información sobre las limitaciones y dificultades de las evaluaciones de riesgo en materia de seguridad cibernética y sobre lo que puede hacerse para superar esas limitaciones y dificultades, consulte Hubbard y Seiersen, 2016).
Después de evaluar los riesgos, se identifican las respuestas (tratamiento de riesgos) y se priorizan sobre la base de los recursos (p. ej., financieros) y las necesidades. Luego se implementan medidas para eliminar, reducir o mitigar el riesgo (Maras, 2014b).
Siguiente: Divulgación de las vulnerabilidades
Volver al inicio