En seguridad de la información , el factor de riesgo es un nombre colectivo para las circunstancias que afectan la probabilidad o el impacto de un riesgo de seguridad .
Definiciones
JUSTO
El Análisis de factores de riesgo de la información (FAIR) se dedica al análisis de diferentes factores que influyen en el riesgo de TI . Se descompone en varios niveles, comenzando desde el primer nivel Frecuencia de eventos de pérdida y Magnitud de pérdida probable, pasando por el examen del activo , la capacidad del agente de amenaza en comparación con la vulnerabilidad (computación) y la fuerza del control de seguridad (también llamado contramedida ), la probabilidad de que el agente se pone en contacto y actúa contra el activo, la capacidad de la organización para reaccionar ante el evento y el impacto en las partes interesadas.
ISACA
Los factores de riesgo son aquellos que influyen en la frecuencia y / o el impacto comercial de los escenarios de riesgo; pueden ser de diferente naturaleza y se pueden clasificar en dos categorías principales: [1]
- Ambiental, subdividido en:
- Los factores ambientales internos están, en gran medida, bajo el control de la empresa, aunque es posible que no siempre sean fáciles de cambiar.
- Los factores ambientales externos están, en gran medida, fuera del control de la empresa.
- Capacidad de la organización, subdividida en:
- Capacidades de gestión de riesgos de TI : en qué medida la empresa está madura para realizar los procesos de gestión de riesgos definidos en el marco de gestión de riesgos de TI .
- Capacidades de TI: qué tan buena es la empresa en el desempeño de los procesos de TI definidos en COBIT
- Capacidades comerciales relacionadas con TI (o gestión del valor): en qué medida se alinean las actividades de gestión del valor de la empresa con las expresadas en los procesos de Val IT
Escenario de riesgo
Un escenario de riesgo de TI es una descripción de un evento relacionado con TI que puede generar un impacto comercial, cuando y si debe ocurrir.
Los factores de riesgo también se pueden interpretar como factores causales del escenario que se está materializando, o como vulnerabilidades o debilidades. Estos son términos que se utilizan a menudo en los marcos de gestión de riesgos. [1]
El escenario de riesgo se caracteriza por: [1]
- un actor de amenazas que puede ser:
- Interno de la organización (empleado, contratista)
- Externo a la organización (competidor, socio comercial, regulador, acto de fuerza mayor)
- un tipo de amenaza
- Malicioso,
- Accidental
- Falla
- Natural
- Evento
- Divulgar,
- Modificación
- Robo
- Destrucción
- Mal diseño
- ejecución ineficaz
- uso inapropiado
- activo o recurso
- Personas y organización
- Proceso
- Infraestructura o instalaciones
- esa infraestructura
- Información
- Solicitud
- Hora
- Duración
- Momento de ocurrencia (crítico o no)
- Tiempo para detectar
- Tiempo para reaccionar
La estructura del escenario de riesgo diferencia entre eventos de pérdida (eventos que generan el impacto negativo), vulnerabilidades o eventos de vulnerabilidad (eventos que contribuyen a la magnitud o frecuencia de eventos de pérdida que ocurren) y eventos de amenaza (circunstancias o eventos que pueden desencadenar eventos de pérdida). Es importante no confundir estos riesgos ni incluirlos en una gran lista de riesgos. [2]
Ver también
- Activo
- Ataque (informática)
- Contramedida (computadora)
- La seguridad informática
- Inseguridad informática
- Seguridad de información
- Gestión de la seguridad de la información
- ISACA
- Sistema de gestión de seguridad de la información
- ISO / IEC 27001
- Riesgo de TI
- Riesgo
- Gestión de riesgos
- El grupo abierto
- Amenaza (computadora)
- Control de seguridad
- Riesgo de seguridad
- Servicio de seguridad (telecomunicaciones)
- Vulnerabilidad (informática)