El análisis de factores de riesgo de la información ( FAIR ) es una taxonomía de los factores que contribuyen al riesgo y cómo se afectan entre sí. Se ocupa principalmente de establecer probabilidades precisas de la frecuencia y magnitud de los eventos de pérdida de datos . No es una metodología para realizar una evaluación de riesgos empresarial (o individual). [1]
FAIR también es un marco de gestión de riesgos desarrollado por Jack A. Jones, y puede ayudar a las organizaciones a comprender, analizar y medir el riesgo de la información de acuerdo con Whitman & Mattord (2013) .
Varias metodologías se ocupan de la gestión de riesgos en un entorno de TI o riesgos de TI , relacionados con los sistemas y estándares de gestión de seguridad de la información, como la serie ISO / IEC 27000 .
Aunque la taxonomía y los métodos básicos se han puesto a disposición para uso no comercial bajo una licencia creative commons, FAIR en sí es propietario. El uso de FAIR para analizar el riesgo de ganancia comercial de otra persona (por ejemplo, mediante consultoría o como parte de una aplicación de software) requiere una licencia de RMI. [2]
El documento principal de FAIR es "Introducción al análisis de factores de riesgo de la información (FAIR)", Risk Management Insight LLC, noviembre de 2006; [3]
El contenido de este documento técnico y el marco FAIR en sí se publican bajo la licencia Reconocimiento-No comercial-Compartir igual 2.5 de Creative Commons. El documento primero define qué es el riesgo. La sección de Riesgo y Análisis de Riesgo analiza los conceptos de riesgo y algunas de las realidades que rodean el análisis y las probabilidades de riesgo. Esto proporciona una base común para comprender y aplicar FAIR. La sección Componentes del panorama de riesgo describe brevemente los cuatro componentes principales que conforman cualquier escenario de riesgo. Estos componentes tienen características (factores) que, en combinación entre sí, generan riesgo. El factoring de riesgo comienza a descomponer el riesgo de la información en sus partes fundamentales. La taxonomía resultante describe cómo los factores se combinan para impulsar el riesgo y establece una base para el resto del marco FAIR.