Métodos cuantitativos de análisis de riesgos
En base al crecimiento de generación de información a través de internet, el nacimiento de nuevas estrategias en hackers, ataques internos, virus y software maliciosos, era inminente, es por ello que la búsqueda de herramientas que permitan controlar estas amenazas se ha convertido en la estrategia principal para afrontar las amenazas informáticas por parte de la organización. Sin embargo, para llegar a controlar correctamente las riesgos, es necesario saber el valor de riesgo que este presenta, es decir, analizar en profundidad el riesgo y determinar un valor acorde a lo que representa. En esta parte generalmente se le asigna valores cualitativos, dejando de lado métodos de análisis de riesgos de seguridad cuantitativos, veamos.
ALE
De sus siglas en inglés de Annual Loss Expectancy, que significa, Expectativa de Pérdida Anual, el cual es una métrica de cálculo convencional que cuantifica la pérdida monetaria de un activo debido al riesgo de seguridad durante un periodo de un año. Su fórmula se refleja en ALE=SLExARO, donde SLE son las siglas de Single Loss Expectancy, y significa: la expectativa de pérdida única que define la pérdida monetaria esperada cada vez que ocurre un riesgo en un activo. Dicho valor se calcula en base del producto del Valor del activo y su factor de exposición.
ISRAM
Quizá el más conocido de los tres, cuyas siglas vienen de Information Security Risk Analysis Method, el cual significa Método de Análisis de Riesgos de Seguridad de la Información. Es un método con alcance cuantitativo, que utiliza resultado de encuestas para entender el impacto de los riesgos de seguridad de la información en las organizaciones. El propósito de ISRAM es analizar las brechas de seguridad, para ello cuenta con 7 pasos principales: primero la identificación o extracción de problemas de seguridad de la información, segundo, la identificación de factores que influyan en la probabilidad de ocurrencia , tercero, la evaluación de riesgos, el cual consisten en asignarle un valor de riesgo, cuarto, agrupación según niveles de riesgos, a través de una preparación de encuestas se determinan los grupos de entendimiento del tema análisis de riesgos, quinto, conducción de ejecución de encuestas, sexto, la computación de resultados y finalmente la evaluación de resultados.
M2FC
De las sigas Multi-dimension Mean Failure Cost, o en español Costo de falla promedio multidimensional, es un modelo cuantitativo de valoración de riesgos de seguridad que estima la pérdida de las fallas del sistema según la unidad de tiempo de operación (podría ser 1 hora).Los cuatro pasos de este método son: Identificar requerimientos de seguridad, dimensionar las amenazas y determinar sus probabilidades de desencadenamiento, determinar los riesgos más críticos y establecer un plan de tratamientos de riesgos.
Consejo audit
Las necesidades de las partes interesadas tienen mucho que ver respecto a la selección de un método de análisis de riesgos de seguridad, y para evitarse dolores de cabeza en cálculos, lo que hacen es realizar calificaciones en base a su juicio de experto o en evaluaciones cualitativas. En audit contamos con nuestra plataforma aValue el cual brinda agilidad e integración en las operaciones del día a día.