Analisis De Riesgos

ANÁLISIS DE RIESGO

Visión general del análisis de riesgo

Evaluación del valor del activo.

Evaluación de amenazas.

Evaluación de riesgos.

Evaluación de vulnerabilidades.

Administración de riesgos.

El modelo del análisis de riesgo

Como se muestra en la Figura 1.1 –Diagrama de flujo del análisis de riesgo, el análisis de riesgo es un proceso para identificar valores de activos, amenazas y vulnerabilidades, para constatar riegos. El resultado final es identificar las opciones de moderación de amenazas y seleccionar medidas que proporcionen el mayor beneficio por la inversión. Esto se conoce como administración de riesgo.

Figura 1.1 –Diagrama de flujo del análisis de riesgo

Riesgo es la posibilidad de pérdida de, o daño a, un activo, tal como un edificio o empleados. Se mide con base al valor del activo en relación con las amenazas y vulnerabilidades que se relaciona con este. El riesgo se basa en la posibilidad de incidencia de la amenaza o peligro y las consecuencias o gravedad del incidente que resulte.

La evaluación de riesgo analiza los valores de activos, las amenazas, su probabilidad asociada de incidencia, consecuencias de que la amenaza se lleve a cabo y vulnerabilidades de los activos para constatar el nivel de riesgo de cada activo contra cada amenaza que aplique. La evaluación de riesgo proporciona a los gerentes de seguridad los perfiles de riesgo correspondientes, los cuales definen que activos están en mayor peligro contra amenazas específicas.

Conceptos claves de riesgo

No se debe implementar ningún programa de seguridad sin antes identificar los activos a proteger, las amenazas contra esos activos y que tan vulnerables son los activos ante las diversas amenazas.

Riesgo puede definirse como la posibilidad de una pérdida o daño a un activo, toma en consideración el valor del activo, las amenazas o peligros que posiblemente impacten al activo y la vulnerabilidad del activo ante la amenaza o peligro.

Se puede asignar valores a estos tres componentes de riesgo para proporcionar una clasificación general de riesgo de seguridad.

El riesgo de seguridad para cada activo puede cuantificarse mediante la siguiente ecuación:

Clasificación de riesgo de seguridad = clasificación del valor del activo x clasificación de posibilidad de la amenaza x clasificación de la gravedad del incidente x clasificación de vulnerabilidad

El ordenar los activos por clasificación de riesgos no ayuda a tomar decisiones sobre que activos necesita protegerse.

Proceso de análisis de riesgo

El proceso de análisis de riesgo es un examen detallado que incluye evaluación de riesgo, evaluación de vulnerabilidad, análisis de costo/beneficio y alternativas de administración de riesgo, que se lleva a cabo para comprender la naturaleza de consecuencias negativas y no deseadas ante la vida humana, salud, propiedad o el ambiente.

Los aspectos para determinar el valor de activos, amenazas, su posibilidad de incidencia, impacto en los activos y luego determinar la vulnerabilidad, es lo se conoce como el proceso de evaluación de riego.

Las medidas y defensas para mitigar las amenazas y reducir las vulnerabilidades incluyendo el análisis de costo-benéfico, es lo que se conoce como administración de riesgo.

Visión general de riesgo

Beneficios del análisis de riesgo

Un análisis de riesgo llevado a cabo adecuadamente puede ofrecer muchos beneficios:

El análisis demostrará la postura de seguridad vigente de la empresa.

Destacará las áreas en las que se necesita más, (o menos) seguridad.

Ayudara a formular algunos de los hechos necesarios para el desarrollo y justificación en contramedidas económicas.

Evaluación de riegos.

Existen varios enfoques distintos en la evaluación de riesgos, sin embargo, básicamente se dividen en dos tipos: cuantitativo y cualitativo.

Definamos los términos:

Cuantitativo: Relacionado con, concerniente o con base en la cantidad o número de algo, capaz de medirse o expresarse en términos numéricos.

Cualitativo: Relacionado con aquello que es característico de algo que lo hace lo que es.

Evaluación cuantitativa de riesgo

Los métodos cuantitavos se utilizan cuando el profesional posee muy buena información con respecto al costo actual de la pérdida, del impacto de un evento de amenaza y la frecuencia con la cual ocurrirá.

Probabilidad es una medida (que se expresa como un porcentaje o proporción) de la cantidad de resultados en un conjunto exhaustivo de posibilidades e iguales resultados que produce un evento dado en un número de posibles resultados.

Un concepto básico es: mientras más formas hay de que un evento particular pueda ocurrir en una circunstancia dada, mayor es la posibilidad de que ocurra. Para una evaluación efectiva de una probabilidad cuantitativa, deben conocerse y reconocerse la mayoría de tales circunstancias que podrían producir la perdida.

Este enfoque emplea dos elementos fundamentales: 1) La probabilidad o posibilidad de que ocurra un evento y 2) el cálculo de la pérdida probable en caso de que ocurra el evento. El análisis cuantitativo de riego utiliza una cifra única producto de estos elementos. A esto se llama expectativa de pérdida anual (ALE, por sus siglas en ingles). Este valor se calcula para cada amenaza multiplicando el valor de la pérdida potencial del activo (impacto o consecuencia) por la probabilidad o posibilidad de que ocurra la amenaza o:

ALE= probabilidad de amenaza x el valor de la perdida potencial

Por lo tanto, teóricamente es posible clasificar eventos en orden de ALE, lo cual proporciona un valor cuantitativo por el “riesgo” y nos permite tomar decisiones con base en este valor.

Los problemas que presentan en este tipo de análisis de riesgo, generalmente se relaciona con la posibilidad, falta de fiabilidad e inexactitud de la información relativa a los costos de reemplazo de los activos, de la probabilidad de que las amenazas acurran.

ALE también se calcula utilizando la formula siguiente:

ALE=〖10〗^((f+1+3))/3

En donde i o impacto de la pérdida se representa por los siguientes valores:

Si la valoración del costo (impacto) del suceso es:

$10, haga i = 1

$100, haga i = 2

$1.000, haga i = 3

$10.000, haga i = 4

$100.000, haga i = 5

$1.000.000, haga i = 6

$10.000.000, haga i = 7

$100.000.000, haga i = 8

Tabla 1.1

La frecuencia de incidencia (f) se representa como sigue:

Una vez en 300 años, haga f = 1

Una vez en 30 años, haga f = 2

Una vez en 3 años haga f = 3

Una vez en 100 días haga f = 4

Una vez en 10 días haga f = 5

Una vez por día haga f = 6

10 veces por día haga f = 7

100 veces por día haga f = 8

Tabla 1.2

Valores f

Valores de i 1 2 3 4 5 6 7 8

1 $ 300 $ 3 K $ 30K $300K

2 $300 3K 30K 300K 3M

3 $300 3K 30K 300K 3M 30M

4 $300 3K 30K 300K 3M 30M 300M

5 $300 3K 30K 300K 3M 30M 300M

6 3K 30K 300K 3M 30M 300M

7 30K 300K 3M 30M 300M

Las posibilidades raramente pueden ser precisas y en algunos casos este aspecto puede promover posibilidades. Además, alguna veces los controles y contramedidas aborda una capacidad de eventos potenciales y los eventos mismos a menudo están interrelacionados. A pesar de los inconvenientes, ciertos números de organizaciones has adoptado con éxito los análisis cuantitativos de riego.

La esperanza de pérdida anual (ALE) es el producto del impacto y la frecuencia. Usando los valores de f e i derivados de las tablas de conversión, el valor de ALE puede aproximarse por la fórmula:

ALE = 10 (f + i + 3)

3

Si la valoración del costo (impacto) del suceso es de $10.000, es decir i = 4 y si la frecuencia de ocurrencia estimada es una vez en 3 años, f = 3; Aplicando la formula de la Esperanza de Pérdida Anual, se obtiene como resultado

ALE = 10 (3 +4 + 3) /3

ALE = 3333.3

ALE De acuerdo a la tabla 3K = 3.000

Ahora se discutirá otro enfoque cuantitativo.

La figura 1.2 indica como calcular los posibles daños antes y después de implementar una recomendación de seguridad. La mitad superior del diagrama de resolución de problemas, la cual trata la situación antes de implementar una recomendación, indica que existe una probabilidad desconocida (A) de un agresor intente atacar un activo. Si no existe la intensión, no puede haber daño, de manera de que cuando utilizamos la ecuación siempre establecemos el valor de A en 1 lo cual indica que hubo un intento. Con la intención determinada las condiciones que rodea el activo puede prevenir un ataque (con posibilidades Pb), que no da lugar a daño o prevenir el éxito (con posibilidades 1-Sb)

El posible riesgo o daño potencial a un activo antes de implementar las defensas de seguridad se expresan mediante la siguiente ecuación.

Db = (1-Pb) (1 – Sb)* valor del activo

Db=daño

...