2.1 Evaluación de riesgo.

La evaluación de riesgo es probablemente el paso más importante en un proceso de gestión de riesgos, y también el paso más difícil y con mayor posibilidad de cometer errores. Una vez que los riesgos han sido identificados y evaluados, los pasos subsiguientes para prevenir que ellos ocurran, protegerse contra ellos o mitigar sus consecuencias son mucho más programáticos.

Parte de la dificultad en la gestión de riesgos es que la medición de los dos parámetros que determinan el riesgo es muy difícil, por lo cual se dice que es un proceso subjetivo. La incertidumbre asociada a la medición de cada uno de los dos parámetros (L y p) es por lo general grande. La gestión de riesgo también sería más simple si fuera posible contar con una única métrica que refleje en la medición toda la información disponible. Sin embargo esto no es posible, ya que se trata de medir dos cantidades. Un riesgo con gran magnitud de perdida o daño y una baja probabilidad de ocurrencia debe ser tratado en forma distinta que un riesgo con una reducida magnitud de perdida o daño y una alta probabilidad de ocurrencia. En teoría los dos riesgos indicados poseen una idéntica prioridad para su tratamiento, pero en la práctica es bastante difícil gestionarlos cuando se hace frente a limitaciones en los recursos disponibles, especialmente tiempo para llevar a cabo el proceso de gestión de riesgo.

Matemáticamente se expresa:

${\displaystyle R_{i}=L_{i}p(L_{i})\,\!}$

${\displaystyle R_{total}=\sum _{i}L_{i}p(L_{i})\,\!}$

En el siguiente video los Autores explican a groso modo el proceso de la evaluación de riesgos

Evaluar los riesgos significa realizar una comparación entre el nivel de riesgo detectado durante el análisis, y los criterios previamente establecidos. 

Este tipo de riesgos deben ser monitoreados periódicamente para asegurar que se mantienen aceptables. 

Si por el contrario, los riesgos caen en categorías superiores, entonces deben ser tratados dependiendo su criticidad. 

En el área informática la evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; pero se puede presupone algunas preguntas que ayudan en la identificación de lo anteriormente expuesto (1):

• "¿Qué puede ir mal?"

• "¿Con qué frecuencia puede ocurrir?"

• "¿Cuáles serían sus consecuencias?"

• "¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"

• "¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuanto tiempo?"

• "¿Cuál es el costo de una hora sin procesar, un día, una semana...?"

• "¿Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?"

• "¿Se tiene forma de detectar a un empleado deshonesto en el sistema?"

• "¿Se tiene control sobre las operaciones de los distintos sistemas?"

• "¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?"

• "¿A que se llama información confidencial y/o sensitiva?"

• "¿La información confidencial y sensitiva permanece así en los sistemas?"

• "¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?"

• "¿A quien se le permite usar que recurso?"

• "¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese recurso?"

• "¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?"

• "¿Cómo se actuará si la seguridad es violada?"

(1) RFC 1244: Site Security Handbook. J. Reynolds - P. Holbrook. Julio 1991