Evaluación de riesgos - Probabilidad de robo de una ubicación física

Navega tus respuestas
1

Nuestro proveedor de seguridad acaba de realizar una evaluación de riesgos para nuestra organización y nos ha proporcionado el informe. Una de las 'Amenazas' identificadas por el proveedor es 'Robo', y nuestras 4 oficinas se han incluido entre los activos bajo el tipo 'Ubicación física'.

En el informe final, a la probabilidad y la frecuencia del robo se les ha dado el valor de 1 para nuestras 4 oficinas. Me pareció extraño que el robo de una ubicación física esté marcado como probable, aunque el valor asignado a esa amenaza sea 1 (probablemente en una escala de 1-3).

Inicialmente, asumí que la probabilidad había sido marcada por un informante para el robo de dispositivos, equipos o IP, pero esas cosas se identificaron como activos diferentes y tienen su propio riesgo estimado de robo.

Mis preguntas son:

1) ¿Es una práctica de la industria que "el robo de una ubicación física" reciba el menor valor de probabilidad?

2) ¿Es aceptable en una evaluación de riesgos asignar un valor de cero para la probabilidad de amenazas como esta?

¿Qué me estoy perdiendo?

    
pregunta Sree 24.05.2017 - 13:21
fuente

1 respuesta

2

Las escalas de evaluación de riesgos son típicamente de naturaleza cualitativa; son "las mejores conjeturas". Desde esta perspectiva, nunca puede calificar la probabilidad de un evento como 0, porque eso se convierte en una medida cuantitativa de certeza. Por lo tanto, incluso el evento más improbable se califica por encima de 0. En una escala de 3 puntos, es 1.

Entonces, para responder a su segunda pregunta, no, no verá un 0 en una evaluación de riesgos.

Pero, en serio, ¿robo de un edificio? Normalmente, las cosas tan poco probables de suceder, o las cosas que sucedieran si se presentasen un riesgo mucho mayor en otras áreas, se consideran fuera de alcance.

Técnicamente, hay una pequeña posibilidad de que los marcianos puedan volar y robar su oficina, por lo que si el robo de su oficina está dentro del alcance, se consideraría un 1, pero no debería estar dentro del alcance. Desafiaría al preparador de informes por qué tal evento fue considerado dentro del alcance ...

    
respondido por el schroeder 24.05.2017 - 13:49
fuente

Lea otras preguntas en las etiquetas

Queremos dar a un tercero externo acceso a un entorno de demostración. ¿Cómo nos aseguramos de que solo ellos accedan solo a su versión del entorno? característica de seguridad de solicitud de contraseña [duplicar]