Definición y propósito

FAIR proporciona un modelo para comprender, analizar y cuantificar el riesgo cibernético y el riesgo operativo en un lenguaje que los líderes empresariales entienden: el dinero. El propósito del marco FAIR es ayudar a las organizaciones a tomar mejores decisiones sobre seguridad y riesgo operativo, basadas en una comprensión sólida de la frecuencia y el impacto de los eventos de riesgo.

Órgano de gobierno

El marco FAIR fue inicialmente desarrollado por Jack Jones y ahora es mantenido y promovido por el Instituto FAIR, una organización experta sin fines de lucro que tiene como objetivo propagar el conocimiento y las mejores prácticas del modelo FAIR.

Última actualización

El marco FAIR fue desarrollado en 2005. El Instituto FAIR continúa desarrollando y refinando materiales de orientación y capacitación.

Se aplica a

FAIR es independiente de la industria y puede aplicarse en varios sectores. Es beneficioso para cualquier organización que necesite comprender, analizar y cuantificar el riesgo de información. Esto incluye, pero no se limita a, servicios financieros, atención médica, manufactura, comercio minorista y entidades gubernamentales.

Controles y requisitos

FAIR no tiene una lista tradicional de controles, sino que se enfoca en los factores que contribuyen al riesgo. Al realizar un análisis FAIR, normalmente definirías, medirías y analizarías los siguientes factores:

• Frecuencia de eventos de amenaza: Con qué frecuencia es probable que ocurran eventos de amenaza.
• Frecuencia de contacto: La interacción entre amenazas y activos.
• Probabilidad de acción: La probabilidad de que una acción de amenaza resulte en pérdida.
• Vulnerabilidad: La probabilidad de que un activo no pueda resistir las acciones de un evento de amenaza.
• Magnitud de la pérdida: El impacto potencial o la pérdida de un evento de amenaza, que puede incluir pérdidas tanto primarias como secundarias.

Por favor, consulta la documentación oficial del Instituto FAIR para obtener detalles sobre controles y requisitos.

Tipo de auditoría, frecuencia y duración

Las auditorías en el contexto de FAIR implicarían una evaluación de los procesos de gestión de riesgos de la organización, específicamente cómo se identifican, analizan y cuantifican los riesgos. La frecuencia de las evaluaciones de FAIR generalmente se basa en la política de gestión de riesgos de la organización, cambios en el entorno empresarial o en respuesta a incidentes.

La duración de una evaluación de FAIR puede variar enormemente dependiendo del alcance de los escenarios de riesgo que se estén analizando y la complejidad de las operaciones de la organización.