En este post vamos a ver la principal terminología que se utiliza cuando se habla de riesgos de seguridad de la información. Ilustraremos estos términos con un ejemplo.
Empecemos por la siguiente definición y vamos a revisar cada una de las palabras resaltadas para definir los primeros cinco términos:
El riesgo es la probabilidad de que una amenaza se aproveche de una vulnerabilidad en un activo para causar un impacto los objetivos del negocio.
- Riesgo: Efecto de la incertidumbre sobre los objetivos.
- Probabilidad: Posibilidad de que algo suceda.
- Amenaza: Causa potencial de un incidente no deseado, que puede causar daños a un sistema u organización.
- Vulnerabilidad: Debilidad de un activo o control que puede ser explotado por una o más amenazas.
- Impacto: consecuencia de la materialización de una amenaza.
Un ejemplo que involucre estas definiciones puede ser este:
La organización no cuenta con protección de aplicaciones web, por lo tanto, la probabilidad de que un delincuente informático pueda dejar sin servicio el portal transaccional de la organización es alta y su impacto será catastrófico.
Existe un gran número de metodologías para hacer gestión de riesgos, sin embargo, la mayoría de ellas concuerdan con las siguientes definiciones:
- Criterios de riesgos: Términos de referencia contra los cuales se evalúa la importancia del riesgo.
- Identificación de riesgos: Proceso de búsqueda, reconocimiento y descripción de riesgos.
- Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y para determinar el nivel de riesgo.
- Evaluación de riesgos: Proceso de comparar los resultados del análisis de riesgo con los criterios de riesgo para determinar si el riesgo y / o su magnitud es aceptable o tolerable.
- Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
