La valoración de riesgos de seguridad de la información, es una parte crucial para un Sistema de Gestión de Seguridad de la Información, puesto que muchos métodos e investigaciones ejemplifican la valoración utilizando métodos cualitativos, como escalas de criterios de evaluación, por ejemplo la escala de Likert, con valores como “Casi nunca”, “Poco probable”, hasta “Muy probable”. Y esto suele estar muy fuertemente ligado al criterio del evaluador, bajo criterios como, su experiencia en la empresa, nivel de conocimientos de la metodología de gestión de riesgos, aplicación de controles de seguridad, entre otros.

¿Cuál es la esencia?

Una evaluación permitirá conocer aspectos importantes del riesgo, como saber ¿Qué está mal en la seguridad de la información? ¿Qué tan probable es el riesgo? y ¿Cuáles serían las consecuencias? Hay que recordar que todo parte desde un desencadenador de evento y tiene un estado final, sus secuencias de actividades pueden diagramarse en árboles de eventos y fallas, los cuales pueden estar comprendidos por fallas de hardware, errores humanos, incendios, fenómenos naturales, entre otros. Cabe recalcar que las fallas redundantes suelen tener mayor presencia y por lo tanto una atención en particular. La evaluación de estos escenarios se realizan utilizando toda la evidencia posible, principalmente la experiencia pasada, y no solamente juicio de expertos.

Beneficios

En comparación a los métodos cualitativos, una evaluación cuantitativa permite encontrar escenarios imprevistos tras un análisis profundo de combinaciones de factores. Esto permite que la identificación de interacciones complejas entre eventos, sistemas y operadores se vea optimizada, a través de un lenguaje común de entendimiento del riesgo, facilitando la comunicación con las partes interesadas. Al habla de interacciones de sistemas con operadores, ya no está limitado al mero pensamiento técnico de los sistemas de información, ahora se incluyen aspectos de ciencias sociales y de comportamiento. Ahora, aterrizándolo en el plano de la estructura de ISO 27005, una valoración cuantitativa de riesgo facilita la gestión de riesgos al identificar escenarios de accidentes dominantes para que los recursos no se desperdicien en elementos que contribuyen de manera insignificante al riesgo.

Limitaciones

Si nos ponemos a pensar el por qué no hay mucha fuerza en la evaluación de riesgos cuantitativa, puede no tenerse una respuesta clara, sin embargo creemos en que las limitaciones a ello se basan en ciertos elementos no fortalecidos en dicha evaluación: el factor humano durante un accidente, generalmente enfocado en actividades de mantenimiento, en donde suscitan errores de omisión, es decir, cuando los encargados o responsables ejecutan negligencia o no toman las medidas prescritas, por ejemplo eliminar una base de datos sin considerar resguardar una copia de seguridad; o también suscitan errores de comisión, los encargados o responsables empeoran la situación con sus reacciones. Sin embargo cabe mencionar que durante un accidentes los encargados o responsables suelen presentar niveles de innovación para la mitigación correspondiente. El software de apoyo, como responsables de tecnologías de la información necesitamos utilizar herramientas no construidas por nosotros mismo, por lo tanto el software adquirido se toma como una caja negra, donde uno se queda sujeto al nivel de confianza que le brinda al proveedor o de las pruebas de ensayo que realiza con dicha herramienta. La cultura de seguridad, muchos gerentes dicen tener como prioridad a la seguridad de la información, pero no siempre suele ser verdad, por lo tanto es importante considerar indicadores de evaluación de la cultura de comportamiento del equipo.

Consejo audit

La perspectiva independiente es un valor agregado a las evaluaciones de riesgos, ya que muchas veces una autoevaluación está fuertemente ligado a dejar pasar brechas críticas por resistencia al cambio. Tener conocimientos de los fuertes beneficios de una evaluación cuantitativa y las limitaciones presentes para implementarlas, obliga a concientizar a los profesionales de riesgos de seguridad de la información a investigar métodos sólidos aplicables dentro de su organización y que brinden fuertes resultados. En audit nuestros consultores capacitan e implementan mecanismos de evaluación cualitativa y cuantitativa en el alcance de seguridad de la información de su negocio.

Fuentes:

• George E. Apostolakis, How Useful Is Quantitative Risk Assessment?, Risk Analysis, Vol. 24, No. 3, 2004 [doi:10.1111/j.0272-4332.2004.00455.x]