El análisis de factores de riesgo de la información ( FAIR ) es una taxonomía de los factores que contribuyen al riesgo y cómo se afectan entre sí. Se ocupa principalmente de establecer probabilidades precisas para la frecuencia y magnitud de los eventos de pérdida de datos . No es una metodología para realizar una evaluación de riesgos empresarial (o individual). [1]
FAIR también es un marco de gestión de riesgos desarrollado por Jack A. Jones, y puede ayudar a las organizaciones a comprender, analizar y medir el riesgo de la información de acuerdo con Whitman & Mattord (2013) .
Varias metodologías se ocupan de la gestión de riesgos en un entorno de TI o riesgos de TI , relacionados con los sistemas y estándares de gestión de seguridad de la información como la serie ISO / IEC 27000 .
FAIR busca sacarles provecho. [1] [ aclaración necesaria ]
Aunque la taxonomía y los métodos básicos se han puesto a disposición para uso no comercial bajo una licencia de creative commons, FAIR en sí es propietario. El uso de FAIR para analizar el riesgo de ganancia comercial de otra persona (por ejemplo, mediante consultoría o como parte de una aplicación de software) requiere una licencia de RMI. [2]
Documentación
El documento principal de FAIR es "Introducción al análisis de factores de riesgo de la información (FAIR)", Risk Management Insight LLC, noviembre de 2006; [3]
El contenido de este documento técnico y el marco FAIR en sí se publican bajo la licencia Reconocimiento-No comercial-Compartir igual 2.5 de Creative Commons. El documento primero define qué es el riesgo. La sección de Riesgo y Análisis de Riesgo analiza los conceptos de riesgo y algunas de las realidades que rodean el análisis y las probabilidades de riesgo. Esto proporciona una base común para comprender y aplicar FAIR. La sección Componentes del panorama de riesgo describe brevemente los cuatro componentes principales que conforman cualquier escenario de riesgo. Estos componentes tienen características (factores) que, en combinación entre sí, generan riesgo. El factoring de riesgo comienza a descomponer el riesgo de la información en sus partes fundamentales. La taxonomía resultante describe cómo se combinan los factores para generar riesgo y establece una base para el resto del marco FAIR.
La sección Controles presenta brevemente las tres dimensiones de un paisaje de controles. Medir el riesgo analiza brevemente los conceptos y desafíos de la medición, y luego proporciona una discusión de alto nivel sobre las mediciones de los factores de riesgo.
Conceptos principales
FAIR subraya que el riesgo es un evento incierto y uno no debe enfocarse en lo que es posible, sino en cuán probable es un evento dado. Este enfoque probabilístico se aplica a todos los factores que se analizan. El riesgo es la probabilidad de una pérdida vinculada a un activo . En FAIR, el riesgo se define como la " frecuencia probable y la magnitud probable de la pérdida futura ". [4] FAIR descompone aún más el riesgo al desglosar los diferentes factores que componen la frecuencia probable y la pérdida probable que se pueden medir en un número cuantificable. Estos factores incluyen: frecuencia de eventos de amenaza, frecuencia de contacto, probabilidad de acción, vulnerabilidad, capacidad de amenaza, dificultad, frecuencia de eventos de pérdida, magnitud de pérdida primaria, frecuencia de evento de pérdida secundaria, magnitud de pérdida secundaria y riesgo secundario.
Activo
El potencial de pérdida de un activo se deriva del valor que representa y / o del pasivo que presenta a una organización. [3] Por ejemplo, la información del cliente proporciona valor a través de su papel en la generación de ingresos para una organización comercial. Esa misma información también puede generar responsabilidad para la organización si existe el deber legal de protegerla, o si los clientes tienen la expectativa de que la información sobre ellos estará debidamente protegida.
FAIR define seis tipos de pérdida: [3]
- Productividad: una reducción de la organización para producir bienes o servicios de manera efectiva con el fin de generar valor.
- Respuesta: los recursos gastados al actuar después de un evento adverso.
- Reemplazo: el gasto para reemplazar / reparar un activo afectado
- Multas y sentencias (F / J): el costo del procedimiento legal general derivado del evento adverso
- Ventaja competitiva (CA): oportunidades perdidas debido al incidente de seguridad
- Reputación: oportunidades perdidas o ventas debido a la disminución de la imagen corporativa después del evento.
FAIR define el valor / responsabilidad como: [3]
- Crítico: el efecto en la productividad de la organización.
- Costo: el costo básico del activo, el costo de reemplazar un activo comprometido
- Sensibilidad: el costo asociado a la divulgación de la información, dividido en:
- Vergüenza: la divulgación indica el comportamiento inapropiado de la gerencia de la empresa.
- Ventaja competitiva: la pérdida de ventaja competitiva ligada a la divulgación.
- Legal / regulatorio: el costo asociado con las posibles violaciones de la ley.
- General: otras pérdidas relacionadas con la sensibilidad de los datos
Amenaza
Los agentes de amenazas se pueden agrupar por comunidades de amenazas, subconjuntos de la población general de agentes de amenazas que comparten características clave. Las comunidades de amenazas deben definirse con precisión para evaluar eficazmente el efecto (magnitud de la pérdida).
Los agentes de amenazas pueden actuar de manera diferente sobre un activo : [3]
- Acceso: leer los datos sin la debida autorización
- Uso indebido: use el activo sin autorización o de manera diferente al uso previsto
- Divulgar: el agente permite que otras personas accedan a los datos.
- Modificar: cambiar el activo (modificación de datos o configuración)
- Denegar el acceso: el agente de amenazas no permite que los usuarios previstos legítimos accedan al activo.
Estas acciones pueden afectar diferentes activos de diferentes formas: el efecto varía en relación con las características del activo y su uso. Algunos activos tienen una alta criticidad pero baja sensibilidad: la denegación de acceso tiene un efecto mucho mayor que la divulgación sobre dichos activos. Por otro lado, un activo con datos altamente sensibles puede tener un efecto de baja productividad si no está disponible, pero vergüenza y efecto legal si se divulgan esos datos: por ejemplo, la disponibilidad de datos de salud de pacientes anteriores no afecta la productividad de una organización de atención médica, sino su la divulgación puede costar a la organización millones de dólares. [5] Un solo evento puede involucrar diferentes activos: un [robo de computadora portátil] afecta la disponibilidad de la computadora portátil en sí, pero puede llevar a la divulgación potencial de la información almacenada en ella.
La combinación de las características de un activo y el tipo de acción contra ese activo que determina la naturaleza fundamental y el grado de pérdida.
Ver también
notas y referencias
- ^ a b Taxonomía de riesgo estándar técnico ISBN 1-931624-77-1 Número de documento: C081 Publicado por The Open Group, enero de 2009.
- ^ "El Grupo Abierto - Gestión de Riesgos" . El grupo abierto . 2019.
- ^ a b c d e "Introducción al análisis de factores de riesgo de la información (FAIR)", Risk Management Insight LLC, noviembre de 2006
- ^ Freund, Jack; Jones, Jack (2015). Medición y gestión del riesgo de información . Waltham, MA: Butterworth-Heinemann. ISBN 9780127999326.
- ^ Artículo de CNN sobre un acuerdo de demanda colectiva por una computadora portátil robada por un asunto de veterano
enlaces externos
- Perspectiva de la gestión de riesgos
- Guía básica de evaluación de riesgos FAIR
- Solicitud de patente
- Certificación Open FAIR