Sunday, February 19, 2006

Elementos del Análisis de Riesgos (II)

3. Vulnerabilidad: es toda aquella circunstancia o característica de un activo que permite la consecución de ataques que comprometan la confidencialidad, integridad o disponibilidad de ese mismo activo o de otros activos de la organización. Ejemplos de vulnerabilidades serían la falta de conocimientos sobre seguridad del usuario, la falta de funcionalidad de la seguridad (deficiente configuración de un cortafuegos, por ejemplo), elección deficiente de contraseñas, tecnología no probada, transmisión por comunicaciones no protegidas, etc.

4. Impacto: hace referencia a la magnitud de las consecuencias que tiene para el negocio el hecho de que uno o varios activos hayan visto comprometida su confidencialidad, integridad o disponibilidad debido a que una o varias amenazas hayan explotado las vulnerabilidades de estos u otros activos. Al estimar un determinado nivel de impacto es necesario considerar la criticidad de los activos afectados. Cuanto más crítico el activo afectado, mayor impacto se producirá en la organización. Los impactos pueden tener diversa consideración, como por ejemplo:
  • Pérdida directa de dinero
  • Sanción por violación de la legislación
  • Pérdida de imagen / reputación
  • Poner en peligro al personal o a los clientes.
  • Violación de la confianza del entorno (clientes, partners, proveedores)
  • Pérdida de oportunidad de negocio.
  • Reducción de la eficiencia / desempeño operativo
  • Interrupción de la actividad de negocio

5. Riesgo: Se define como la probabilidad de que la organización se vea sometida a un determinado nivel de impacto (determinado a su vez por las consecuencias de la agresión). Su estimación se basa en la combinación de dos factores:

  • La frecuencia con la que las amenazas consideradas podrían materializarse (estimando la probabilidad de que las amenazas consideradas puedan explotar las vulnerabilidades de los activos):
  • Nivel de impacto causado en el negocio en el negocio en caso de que las amenazas consideradas se hagan efectivas. Será mayor cuanto más crítico sea el activo afectado.

0 Comments:

Post a Comment

<< Home