Análisis Factorial de Riesgo de Información. (FAIR)

Ensayo sobre la lectura The FAIR Risk Ontology

Análisis Factorial de Riesgo de Información. (FAIR)

Interesante reflexión a la que nos sumerge el autor al observar el uso del análisis factorial de riesgo de información, por un lado, la taxonomía que nos habla de los métodos, principios y fines de clasificación y por el otro la ontología que estudia parte de la metafísica que estudia al ser y sus propiedades.

Me parece interesante el trato que se le da a un término que pareciera común de utilizar, pero que en su implementación conlleva a muchas otras consideraciones como el caso de la ontología la cual representa un modelo de cómo funciona un riesgo, al describir los factores que conforman y sus relaciones entre sí.

Además de que se utilizan las herramientas matemáticamente, permitiéndonos calcular el riesgo a partir de mediciones y estimaciones de las relaciones de distintos factores, supongo que con el fin de ser más exactos o próximos a lo que pudiera acontecer.

El autor hace énfasis en la importancia de definir bien los términos repercute en los desafíos a los que se enfrenta la seguridad de la información.

Una terminologia inconsistente y mal definida es uno de los desafíos más importantes a los que se enfrenta la seguridad de la información y la profesión de riesgo operacional.

La reflexión sobre no hay modelos perfectos es adecuada y además yo agregaría no hay modelos que representen al 100% la realidad, pero en base a estudios y metodologías si pudieran acercase.

Se dice que la ontología sobre el FAIR ha evolucionado a lo largo de los años hasta refleja el crecimiento en nuestra comprensión del riesgo, supongo por que es un aprendizaje progresivo en constante evaluación y modificación.

Para entender el riesgo, el autor analiza varios escenarios y enfoques que ayudan a estar en contexto de las distintas variantes.

Habla del enfoque inductivo, en el cual se utiliza para modelar, con la utilización de datos, grandes cantidades de datos, sin embargo, se dice que no es bueno empezar por este enfoque cuando el FAIR apenas se está desarrollando.

Otro enfoque es el de naturaleza deductiva, usando la lógica y pensamiento crítico, para inferir elementos del modelo.

El utilizar un modelo determinad cuales quiera que sea utilizado debe ser evaluado continuamente y ser mejorado o inclusive remplazado con algo mejor.

El autor menciona la utilización de la expresión: “la exposición a la perdida” como generadora de menos controversia que al utilizar solo la palabra “riesgo” por las diferentes interpretaciones que pueden derivar.

Se hace mención de un elemento que me pareció muy interesante el cual es la frecuencia probable, la cual habla de un arco de tiempo determinado, que medido en forma que resulta probabilística nos ayuda a determinar los tipos de riesgos que hay y con qué frecuencia podrían presentarse.

El autor también hace énfasis que la noción de un evento de perdida se consolide firmemente en la mente ya que es una piedra angular para el análisis.

La importancia de diferenciar el evento amenaza del evento perdida con ejemplos que nos ayudan a una mejor compresión como el de un pirata informático que ataca un sitio web es un evento de amenaza, si logra dañar el sitio o robar información eso sería un evento de pérdida.

Tambien existe el evento de contacto, que si bien no se pude tener certeza de que alguien sea mal intencionado, pueden ocurrir ciertas circunstancias en las cuales se este expuesta la vulnerabilidad que haga que las personas empiecen a analizar un posible acto de amenaza con la información que van obteniendo.

Probabilidad de acción se refiere a un agente de amenaza actúe sobre un activo una vez que haya ocurrido el contacto, al autor hace mención de la importancia de examinar supuesto.

Los controles para contener la probabilidad de riesgo podrían ser aumentar la percepción del nivel de riesgo para el agente amenazador o también implementar medidas que afecten el valor aparente de el activo a proteger.

...