Evaluación del Riesgo en Computadoras

  • Posted on: 4 July 2018
  • By: mile-sec

Cuando se está realizando una evaluación del riesgo, una de las más importantes cosas a realizar es priorizar. No todo debe tener un peso uniforme, porque algunos eventos tienen una mayor probabilidad de ocurrir. Además, una empresa puede aceptar algunos riesgos, mientras otros serían catastróficos para la compañía.

Un documento el cual se debe leer, corresponde a la National Institute of Standards and Technology, NIST por sus siglas en idioma inglés, la publicación número 800-30 revisión 1 tiene el título de “Guide for Conducting Risk Assessments”, o una Guía para Conducir Evaluaciones sobre Riesgo.

Señalar la revisión número 1 del documento original lo reenfoca de ser principalmente para la gestión del riesgo, a uno el cual hace un fuerte énfasis en la evaluación de los riegos.

Cálculos para el Riesgo

Para propósitos de la evaluación del riesgo, ya sea en el mundo real y para los exámenes, se debe estar familiarizado a si mismo con un número de términos, para determinar el impacto el cual podría tener un evento.

  • ALE es el valor de la expectativa de perdida anual. Esta es una medida monetaria de cuanta perdida se podría esperar este año.
  • SLE es otro valor monetario, y representa cuanto se espera perder en cualquier momento: La expectativa de perdida única. SLE puede ser dividido en dos componentes:
    • AV (valor del activo)
    • EF (factor de exposición)
  • ARO es la probabilidad, frecuentemente bosquejada desde datos históricos, de un evento ocurrido dentro de un año: la tasa anual de una ocurrencia.
     

Cuando se calcula la evaluación del riesgo, recordar la siguiente formula:

SLE x ARO = ALE

Como ejemplo, si se puede esperar razonablemente cada SLE, el cual es igual al valor del activo (AV) multiplicado por el factor de exposición (EF), será equivalente a $ 1,000 Dólares, y existirán siete de estas ocurrencias por año (ARO), entonces el ALE es de $ 7,000 Dólares. Por el contrario, si sólo hay un 10 % de posibilidades de su ocurrencia dentro del periodo de tiempo de un año (ARO = 0.1), entonces el ALE cae a $ 100 Dólares.

La clave para cualquier evaluación del riesgo es identificar los activos y las amenazas. Primero se deben identificar aquello lo cual se desea proteger, y luego cual posible daño podría venir hacia aquellos activos. Luego analizar los riegos en términos de costos o severidad.

Fuentes:

https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final

 

 

MILE-SEC - Hacking Ético & Forense Digital
informes@mile-sec.com
+51 972 213 381
https://t.me/mileseceirl