Evaluar el riesgo con o sin contramedidas existentes

0

Hace poco tuve una discusión con un compañero de trabajo sobre el análisis de riesgos. Cuando realiza una evaluación de riesgos, generalmente identifica las amenazas, las evalúa y luego identifica las contramedidas. En mi opinión, es mejor evaluar el riesgo de una amenaza sin las contramedidas existentes y luego identificar y evaluar las contramedidas y su efectividad.

Por ejemplo, cuando se evalúa el riesgo de que una conexión a la nube sea escuchada a escondidas, ¿se debe considerar el riesgo con o sin el TLS que realmente está en su lugar de acuerdo con el diseño?

Mi opinión es que es mejor no considerar la contramedida. Esto para evaluar la efectividad y poder documentar lo importante de esta contramedida.

    
pregunta Stefan Rasmusson 22.09.2016 - 12:37
fuente

1 respuesta

1

Tienes que considerar el objetivo de tu análisis de riesgo. Desea evaluar las amenazas y saber si estas constituyen un riesgo para sus activos. Entonces (TL; DR :) sí, debe incluir las medidas actuales.

Para realizar el análisis de riesgos, si nos basamos en los modelos ISO27k, definirá una fórmula de riesgo, evaluará su vulnerabilidad y exposición a los beneficios, y luego obtendrá un nivel de riesgo a través del cálculo de esta fórmula. Si este nivel es más alto que tu nivel de aceptación, debes actuar en él.

No importa si incluye o no la medida actual. Sin la contramedida, debe elevar el nivel por encima de ese umbral y obligarlo a agregar información adicional sobre la contramedida que coloca para reducir el riesgo. Sin embargo, es probable que sea mejor ya tener en cuenta las medidas existentes y tener bien el factor de riesgo resultante (no agregar a su trabajo).

La efectividad de la contramedida es un aspecto totalmente diferente de la gestión de riesgos, y debería aparecer cuantitativamente en otros documentos de su sistema de gestión de riesgos. En caso de que no sean eficientes, tendrá que volver a evaluar los riesgos y cambiarlos.

"el riesgo de una conexión" no es un elemento de riesgo real por cierto. El "robo de datos" o la "suplantación de usuarios" son amenazas para su empresa. Estas amenazas pueden surgir debido a la vulnerabilidad de la conexión (entre otras cosas). Esta vulnerabilidad tiene una probabilidad de ocurrencia específica y un impacto dado si tiene éxito en su negocio. El objetivo del análisis de riesgo es identificar las vulnerabilidades, las amenazas relacionadas, los impactos y la plausibilidad de un ataque exitoso, ya sea que sufra un gran costo o no. Si es así, tienes que hacer algo al respecto.

Para concluir, no veo ningún beneficio real al no tener en cuenta las contramedidas ya implementadas para el análisis de riesgo. Si le preocupa la eficiencia, debe consultar los indicadores de su SGSI.

    
respondido por el M'vy 22.09.2016 - 13:38
fuente

Lea otras preguntas en las etiquetas