No puede defender su organización si no sabe qué amenazas, vulnerabilidades y riesgos enfrenta. Por eso la evaluación de riesgos es una parte tan importante de la gestión de riesgos. Cubriremos la definición y el proceso paso a paso a continuación.

¿Qué es la evaluación de riesgos?

La evaluación de riesgos es un proceso para identificar riesgos para las operaciones organizacionales, activos e individuos y evaluar la probabilidad de que ocurran y el daño que surgiría si ocurrieran.

La evaluación de riesgos es una parte clave de la gestión de riesgos e incorpora la gestión de amenazas y vulnerabilidades.

¿Cuál es el propósito de la evaluación de riesgos?

El propósito de la evaluación de riesgos es identificar:

  • Amenazas para su organización
  • Vulnerabilidades internas y externas
  • El impacto adverso que puede ocurrir si esas amenazas explotan esas vulnerabilidades
  • La probabilidad de que ocurra este impacto adverso

Con base en estos resultados, puede determinar el riesgo y luego responder a él.

Proceso de evaluación de riesgos

A continuación se muestra una descripción general del proceso de evaluación de riesgos descrito en NIST 800-30, Guía para realizar evaluaciones de riesgos.

1. Prepararse para la evaluación

El primer paso es prepararse, o establecer el contexto, para la evaluación de riesgos. Este contexto debe estar informado por los resultados del paso anterior en el proceso de gestión de riesgos, el encuadre de riesgos.

La preparación debe incluir la identificación de:

  • El propósito de la evaluación
  • El alcance de la evaluación
  • Los supuestos y restricciones asociados con la evaluación
  • Las fuentes de información que se utilizarán como insumos para la evaluación
  • Los factores de riesgo, herramientas y técnicas que se utilizarán durante la evaluación

2. Identificar fuentes y eventos de amenazas

Ahora es el momento de realizar la evaluación de riesgos.

Para comenzar, identifique fuentes y eventos de amenazas. Las fuentes de amenazas varían según el tipo, como adversarias, accidentales, estructurales y ambientales. Ejemplos de fuentes de amenazas incluyen personas internas, externas, equipos de TI, software y desastres naturales o provocados por el hombre. Ejemplos de eventos de amenazas que pueden ser iniciados por las fuentes descritas anteriormente son ataques de phishing, ataques de Denegación de Servicio y obtención de información sensible mediante exfiltración.

Las amenazas deben identificarse para cada activo en su inventario de activos. Debido a que las amenazas son circunstancias o eventos que pueden comprometer la confidencialidad, integridad y/o disponibilidad de un activo al explotar vulnerabilidades conocidas y desconocidas, el siguiente paso en el proceso de evaluación de riesgos es identificar tantas vulnerabilidades conocidas como sea posible.

3. Identificar vulnerabilidades y condiciones predisponentes

A continuación, identifique vulnerabilidades, o atributos de un activo, que pueden ser explotadas por eventos de amenaza.

Las organizaciones también deben considerar condiciones predisponentes que afectan la probabilidad de que los eventos de amenaza, una vez iniciados, resulten en daño. Existen diferentes tipos de condiciones predisponentes, incluidas aquellas relacionadas con la información, técnicas, operativas y ambientales. Por ejemplo, la ubicación de una instalación en una región propensa a huracanes aumenta la probabilidad de exposición a huracanes.

Las vulnerabilidades pueden ser gestionadas mediante la implementación de controles de seguridad u otras remediaciones. La gravedad de una vulnerabilidad será determinada en parte por si se implementa o planea e implementa de manera efectiva un control de seguridad u otra remediación.

4. Determinar la probabilidad de que los eventos de amenaza causen daño

A continuación, analice la probabilidad de que una amenaza específica sea capaz de explotar una vulnerabilidad específica. Esto típicamente requerirá tres pasos.

Primero, evalúe la probabilidad de que se inicien eventos de amenaza adversarios y la probabilidad de que ocurran eventos de amenaza no adversarios. Puede asignarles valores cualitativos o cuantitativos.

Aquí hay un ejemplo de cómo podría evaluar la probabilidad de que se inicien eventos de amenaza por fuentes adversarias:

Evaluación de riesgos de la probabilidad de que los eventos de amenaza causen daño

En segundo lugar, evalúe la probabilidad de que el evento de amenaza, una vez iniciado u ocurrido, resulte en daño. Puede usar los mismos valores cualitativos y cuantitativos que los anteriores. Las descripciones también serán similares. Por ejemplo, la primera fila podría decir “Si el evento de amenaza se inicia o ocurre, es casi seguro que tendrá impactos adversos”.

Finalmente, evalúe la probabilidad general de los eventos de amenaza combinando la probabilidad de ocurrencia y la probabilidad de resultar en un impacto adverso. Aquí hay un ejemplo de una escala de evaluación que puede usar para determinar la probabilidad general.

Evaluación de riesgos de la probabilidad general de los eventos

5. Determinar el nivel de impacto

Este paso se centra en evaluar el nivel de impacto o la magnitud del daño que se puede esperar cuando los eventos de amenaza explotan con éxito las vulnerabilidades y resultan en la divulgación no autorizada, modificación o destrucción de información o pérdida de disponibilidad de la información o del sistema de información.

Existen múltiples tipos de impacto, incluido el daño a las operaciones, daño a los activos y daño a las personas. Ejemplos de impacto son la incapacidad de realizar funciones comerciales actuales, la pérdida de propiedad intelectual, lesiones y el robo de identidad.

Aquí hay un ejemplo de cómo podría evaluar el impacto de los eventos de amenaza:

Evaluación de riesgos del impacto de los eventos de amenaza

6. Determinar el riesgo

Ahora está listo para determinar el riesgo considerando la probabilidad de ocurrencia de eventos de amenaza y el impacto que resultaría de los eventos.

Aquí hay un ejemplo de una escala de evaluación que puede utilizar para determinar el nivel de riesgo:

Escala de evaluación para determinar el nivel general de riesgo

7. Comunicar resultados

El proceso de evaluación de riesgos debe involucrar comunicaciones continuas y el intercambio de información entre los interesados. Esto ayuda a garantizar que los factores de riesgo que se evalúan sean precisos, que los resultados intermedios puedan ser utilizados para responder preguntas específicas o informar decisiones específicas si es necesario, y que los resultados finales sean significativos y útiles para informar el siguiente paso del proceso de gestión de riesgos (es decir, la respuesta al riesgo).

Cómo se comunican los resultados de la evaluación de riesgos depende de la cultura organizacional, así como de los requisitos legales, regulatorios y contractuales. Tener políticas y procedimientos en su lugar puede ayudar a garantizar que estos resultados se comuniquen y compartan de manera efectiva.

8. Mantener la evaluación

El último paso del proceso de evaluación de riesgos es mantener las evaluaciones de riesgos. Esto implica:

  • Monitorear los factores de riesgo identificados en las evaluaciones de riesgos de manera continua
  • Comprender los cambios en esos factores
  • Actualizar los componentes de las evaluaciones de riesgos, como el propósito, el alcance y los supuestos, para reflejar las actividades de monitoreo anteriores.

Metodología de evaluación de riesgos

Una metodología de evaluación de riesgos típicamente se compone de lo siguiente:

  1. Un proceso de evaluación de riesgos: El proceso paso a paso de identificar, estimar y priorizar los riesgos para las operaciones organizacionales, activos organizacionales y personas.
  2. Un modelo de riesgo: Un modelo de riesgo define los factores de riesgo y las relaciones entre esos factores. Los factores de riesgo son características que ayudan a determinar los niveles de riesgo durante el proceso de evaluación. Los factores de riesgo comunes son amenaza, vulnerabilidad, probabilidad, impacto y condiciones predisponentes.
  3. Un enfoque de evaluación: Un enfoque de evaluación es cómo se evalúa el riesgo y sus factores contribuyentes. Enfoques de evaluación comunes son cuantitativos y cualitativos. Este enfoque debe especificar el rango de valores que esos factores de riesgo pueden asumir durante la evaluación de riesgos y cómo se identifican o analizan las combinaciones de factores de riesgo para que sus valores puedan combinarse y evaluar el riesgo.
  4. Un enfoque de análisis: Un enfoque de análisis es cómo se evalúan los riesgos, a qué nivel de detalle y cómo se tratan los riesgos debido a escenarios de amenaza similares. Enfoques de análisis comunes son orientados a amenazas, orientados al impacto u orientados a la vulnerabilidad.

Las metodologías de evaluación de riesgos son un componente clave de la estrategia de gestión de riesgos de una organización. Como parte de esa estrategia, una organización puede usar una única metodología o múltiples.

Al definir explícitamente una metodología de evaluación de riesgos y todas sus partes, las organizaciones pueden hacer que las evaluaciones de riesgos sean más fáciles de reproducir y repetir, lo que mejorará la calidad de los datos que obtienen de esas evaluaciones.

Plantilla de evaluación de riesgos

Usa la plantilla a continuación como punto de partida para evaluar riesgos. Está diseñada para riesgos no adversos, pero puedes usarla para evaluar riesgos adversos reemplazando "rango de efectos" con "características de la fuente de amenaza".

Software de evaluación de riesgos

El software de evaluación de riesgos puede ayudar a simplificar y agilizar el proceso de evaluación de riesgos. Además de ayudar a asegurar que cada riesgo sea evaluado e informado de manera consistente y repetible, el software de evaluación de riesgos también puede ayudarte a ahorrar tiempo en la lluvia de ideas de categorías, realizando cálculos matemáticos de fórmulas de riesgo o analizando manualmente los riesgos.

Secureframe, por ejemplo, tiene un flujo de trabajo robusto que te guía a través del proceso de evaluación de riesgos paso a paso tanto para los riesgos integrados de la biblioteca de riesgos como para los riesgos personalizados. Para comenzar, se te pedirá que completes los campos requeridos para cada riesgo, incluyendo una descripción del riesgo, ID del riesgo y propietario del riesgo. También puedes asignarlo a categorías, departamentos y etiquetas. Luego se te pedirá que elijas el impacto y la probabilidad de cada riesgo usando el modelo de puntuación predeterminado de Secureframe o un modelo de puntuación personalizado que configures. Con base en estas entradas, se calculará automáticamente una puntuación de riesgo inherente. A continuación, puedes seleccionar un tipo de decisión de tratamiento y cambiar el impacto y la probabilidad del riesgo residual basado en ese tratamiento, si es posible. Con base en estas entradas, se calculará automáticamente una puntuación de riesgo residual.

O puedes usar Comply AI for Risk para automatizar este flujo de trabajo. Esto elimina el análisis manual y proporciona información casi instantánea sobre cada riesgo basado en la descripción del riesgo y la información de la empresa, incluyendo su impacto potencial, probabilidad y tratamiento recomendado, con justificaciones claras para cada salida. Estos conocimientos permiten a las organizaciones tomar decisiones rápidas e informadas para mejorar su programa de gestión de riesgos y fortalecer su postura de seguridad.

Usa la confianza para acelerar el crecimiento

Solicita una demoangle-right
cta-bg