La Gestión de Riesgos en las empresas: Evaluación de los Riesgos de Seguridad
Evaluar los Riesgos de Seguridad es la tercera fase del Plan de Gestión de Riesgos en la empresa y hace referencia a calcular el valor de cada riesgo en sí mismo.
Para poder llevar a cabo con éxito dicha valoración, lo primero será establecer cómo podemos medir el valor, qué parámetros vamos a tener en cuenta.
1. Probabilidad del riesgo
El primero de ellos va a ser la Probabilidad de que el riesgo llegue a materializarse. Por ejemplo, cuál sería la probabilidad de recibir un malware por correo electrónico o de que deje de funcionar nuestro equipo. Es decir, se trata de establecer cuáles son las probabilidades de que sean una realidad cada uno de los riesgos que identificamos en la fase anterior del Plan; La identificación de los Riesgos de Seguridad.
No es un factor que podamos medir de forma exacta si no contamos con un estudio estadístico, por lo que podemos añadirle el cuándo va a darse. Recibir correos maliciosos va a ser muy probable, por lo que debemos tener en cuenta que vamos a recibir este tipo de notificaciones con bastante periodicidad.
Aún de este modo, su valor es aproximado y se puede clasificar porcentualmente según los siguientes grupos: Remoto (del 0 al 20%), Improbable (del 20 al 40%), Ocasional (del 40 al 60%), Probable (hasta el 80%) y Frecuente (con más del 80% de probabilidad de que suceda).
2. Gravedad del riesgo
La probabilidad de un riesgo de seguridad no es suficiente para medir su peligrosidad, ya que puede ser muy frecuente pero con poco impacto y viceversa.
El daño producido por un riesgo que llega a materializarse es medible de forma cualitativa y cuantitativa para una empresa.
Desde el punto de vista cualitativo, hablamos del daño moral para la organización de cara a clientes. Por ejemplo, la mala reputación derivada de un robo de información bancaria de nuestros proveedores. Cuantitativamente, el daño es medible desde el punto de vista económico, por equipos dañados, contratación de servicios de ciberseguridad externos, etc.
En suma, ambos tipos nos darían como resultado el daño global sufrido en la empresa, su gravedad e impacto en la organización, que podemos clasificar en diferentes estados: Muy bajo, Bajo, Medio, Alto y Extremo.
En resumen, en la fase de evaluación de los riesgos de nuestro plan, obtendremos de la lista de riesgos potenciales, su probabilidad, gravedad e impacto.
» Quizás te interesen nuestros artículos:
- La Gestión de Riesgos en las empresas: El alcance del Plan de Riesgos de Seguridad.
- La Gestión de Riesgos en las empresas: La identificación de los Riesgos de Seguridad.
¿Necesitas que te asesoremos?
En DANTIA Tecnología podemos ayudarte a conocer las técnicas y conceptos fundamentales para que puedas diseñar el plan de seguridad de tu empresa de forma eficiente.
Artículos relacionados
Ciberseguridad; El miedo y la Ingeniería Social
En la ciberdelincuencia el miedo que se genera en la víctima es susceptible de ser usado por la Ingeniería Social como […]
El valor de la auditoría de seguridad informática para la evaluación de riesgos, amenazas y vulnerabilidades
Cuando tomamos consciencia de la importancia de conseguir una mayor y mejor seguridad de nuestra empresa […]
¿Cómo se deben evaluar los ciberriesgos dentro de la infraestructura IT?
Cualquier acción o actividad que se lleve a cabo dentro de una empresa va a implicar una serie de riesgos […]