miércoles, 23 de octubre de 2019

2.2 Determinación de la probabilidad.


MEDICIÓN DE LA PROBABILIDAD DE RIESGO
Antes de conocer los 5 pasos debemos recordar que un control efectivo o funcional, ofrece soluciones adecuadas para controlar los problemas.
Especificidad
• Cuadrante I. Riesgos de Atención Inmediata.- Son críticos por su alta probabilidad de ocurrencia y grado de impacto, se ubican en la escala de valor mayor a 5 y hasta 10 de ambos ejes;
• Cuadrante II. Riesgos de Atención Periódica.- Tienen alta probabilidad de ocurrencia ubicada en la escala de valor mayor a 5 y hasta 10 y bajo grado de impacto de 0 y hasta 5;
• Cuadrante III. Riesgos Controlados.- Son de baja probabilidad de ocurrencia y grado de impacto, se ubican en la escala de valor de 0 y hasta 5 de ambos ejes, y
• Cuadrante IV. Riesgos de Seguimiento.- Tienen baja probabilidad de ocurrencia con valor de 0 y hasta 5 y alto grado de impacto mayor a 5 y hasta 10.
Existen 5 pasos para llevar a cabo la verificación de controles al interior de la organización, a continuación describiremos cada uno y determinaremos la suficiencia de su implementación.
• QUE ESTE DOCUMENTADO: Debe estar por escrito.
• QUE ESTE FORMALIZADO: Lo respalda comunicación oficial.

Con el fin de derivar una probabilidad o una estimación de la ocurrencia de un evento, los siguientes factores deben ser tomados en cuenta:
·         Fuente de la amenaza y su capacidad.
·        Naturaleza de la vulnerabilidad.



La probabilidad que una vulnerabilidad potencial pueda ser explotada por una fuente de amenaza la podemos clasificar en alta, media-alta, media, media-baja y baja, como se describe a continuación.


Fundamento de la Matriz
  • 1 = Insignificante (incluido Ninguna)
  • 2 = Baja
  • 3 = Mediana
  • 4 = Alta
  • Bajo Riesgo = 1 – 6 (verde)
  • Medio Riesgo = 8 – 9 (amarillo)
  • Alto Riesgo = 12 – 16 (rojo)
Uso de la Matriz
  • Proteger los datos de RR.HH, Finanzas contra virus
  • Proteger los datos de Finanzas y el Coordinador contra robo
  • Evitar que se compartan las contraseñas de los portátiles
  • Etc, etc
  • Proteger el Personal (Coordinador y Personal técnico) contra Virus de computación
  • Evitar la falta de corriente para el Coordinador
  • Etc, etc









La Matriz la basé en el método de Análisis de Riesgo con un grafo de riesgo, usando la formula Riesgo = Probabilidad de Amenaza x Magnitud de Daño
La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y condiciones respectivamente
matriz_1_grafo_riesgo
El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza por Magnitud de Daño, está agrupado en tres rangos, y para su mejor visualización, se aplica diferentes colores.
La Matriz verdadera la basé en un archivo con varias hojas de calculo que superan el tamaño de una simple pantalla de un monitor. Entonces por razones demostrativas, en las siguientes imágenes solo se muestra una fracción de ella.
La Matriz contiene una colección de diferentes Amenazas (campos verdes) y Elementos de información (campos rojos). Para llenar la Matriz, tenemos que estimar los valores de la Probabilidad de Amenaza (campos azules) por cada Amenaza y la Magnitud de Daño (campos amarillas) por cada Elemento de Información.
matriz_2_tabla_vacia
Para la estimación de la Probabilidad de amenazas, se trabaja con un valor generalizado, que (solamente) está relacionado con el recurso más vulnerable de los elementos de información, sin embargo usado para todos los elementos. Si por ejemplo existe una gran probabilidad de que nos pueden robar documentos y equipos en la oficina, porque ya entraron varias veces y no contamos todavía con una buena vigilancia nocturna de la oficina, no se distingue en este momento entre la probabilidad si robarán una portátil, que está en la oficina (con gran probabilidad se van a llevarla), o si robarán un documento que está encerrado en una caja fuerte escondido (es menos probable que se van a llevar este documento).
Este proceder obviamente introduce algunos resultados falsos respecto al grado de riesgo (algunos riesgos saldrán demasiado altos), algo que posteriormente tendremos que corregirlo. Sin embargo, excluir algunos resultados falsos todavía es mucho más rápido y barato, que hacer un análisis de riesgo detallado, sobre todo cuando el enfoque solo es combatir los riesgos más graves.
En el caso de que se determine los valores para la Probabilidad de Amenaza y Magnitud de Daño a través de un proceso participativo de trabajo en grupo (grande), se recomienda primero llenar los fichas de apoyo (disponible en Descargas) para los Elementos de Información y Probabilidad de Amenaza, y una vez consolidado los datos, llenar la matriz.
Dependiendo de los valores de la Probabilidad de Amenaza y la Magnitud de Daño, la Matriz calcula el producto de ambos variables y visualiza el grado de riesgo.
matriz_3_tabla_llenada
Dependiendo del color de cada celda, podemos sacar conclusiones no solo sobre el nivel de riesgo que corre cada elemento de información de sufrir un daño significativo, causado por una amenaza, sino también sobre las medidas de protección necesarias
También, como se mencionó anteriormente, existen combinaciones que no necesariamente tienen mucho sentido y por tanto no se las considera para definir medidas de protección
en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Como proteger el Software y el codigo

Existen diversas maneras para proteger un programa de computación por Propiedad Intelectual. Para proteger un software de computa...