Evaluación de seguridad vs. Análisis de riesgos

En el ámbito de la seguridad de TI, el análisis de riesgo cuantitativo se realiza mediante el desarrollo de un modelo matemático riguroso para representar la definición deseada del riesgo o algún aspecto del riesgo. La seguridad (de una red, por ejemplo) se evalúa utilizando el modelo desarrollado.

Un ejemplo de este enfoque es el análisis de riesgo de las redes empresariales que utilizan el análisis cuantitativo de los gráficos de ataque.

Una evaluación de seguridad de TI es un tipo de evaluación de riesgos. Aquí está el proceso habitual:

1. Identifique el alcance de la evaluación y los activos de información que son importantes para el objetivo.
2. Realice un análisis de la seguridad técnica del objetivo, por ejemplo. A través de ataques de red, penetración física, etc.
3. Si está dentro del alcance, realice un análisis de las políticas de seguridad que tiene actualmente el objetivo.
4. Si está dentro del alcance, realice un análisis de la seguridad humana del objetivo, por ejemplo. a través de la ingeniería social.
5. Compile los resultados de estos análisis en un informe, utilizando un marco de categorización de riesgos adecuado.

Esto no es de ninguna manera exhaustivo, y el orden de las tres tareas internas es arbitrario.

La diferencia entre una evaluación de riesgos genérica y una evaluación de riesgos de TI es que esta última no es algo que realmente se pueda calificar, es como preguntar acerca de la diferencia entre una fruta y una manzana.

Si está considerando las normas ISO27000 específicamente, estas son solo una manera de hacer cumplir y estandarizar un código de práctica en particular y un conjunto de tareas de análisis, para demostrar que una organización ha realizado una evaluación de riesgos de seguridad a un nivel particular . No cambian el marco básico de una evaluación de riesgos, solo le dan un conjunto de mínimos que debe realizar.

Primero, debe saber que la familia de estándares ISO27000 no es específica sobre TI. Dependiendo del alcance que defina al principio, su análisis de riesgo también podría cubrir varias actividades de su empresa. Por supuesto, como la atención se centra en la administración de la seguridad de su información, existen muchos controles recomendados que se refieren a TI.

Dicho esto, la norma dice que debe realizar un análisis de riesgo en sus activos, pero dice muy poco sobre cómo debe hacerlo. La metodología es algo que eres libre de definirte. La mayoría de las veces, no querrá reinventar la rueda y usar alguna metodología conocida, pero la elección es suya. Por lo general, se trata de identificar sus activos y su valor para usted, luego las diversas amenazas a estos activos y las vulnerabilidades que estas amenazas podrían explotar.

Por lo tanto, realmente no puede comparar el análisis de riesgos realizado en el proceso de establecer su SGSI (según ISO27001) con un tipo particular de análisis de riesgos. Si lo desea, es como si preguntara cuál es la diferencia entre construir una pared y una mampostería de ladrillo.