¿Cómo se evalúa adecuadamente el riesgo?

ISO / IEC 27005: 2011 es la norma ISO que proporciona pautas para la gestión de riesgos y contiene muchos consejos para la parte de evaluación de ese proceso. Un resumen abreviado de ridículamente podría ser:

• Identifique el riesgo mediante:
  • identificar sus activos
  • identificar las amenazas para cada activo
  • identificar los controles existentes que protegen cada activo
  • identificar las vulnerabilidades en cada activo que las amenazas podrían explotar
  • identificar las consecuencias del daño para cada activo
• Analizar los riesgos por:
  • determinar la probabilidad de daño (es decir, pérdida de confidencialidad, integridad o disponibilidad)
  • determinar el impacto del daño
  • combinando esos valores para asignar un nivel de riesgo
• Evalúe el riesgo comparando el nivel con su umbral de riesgo aceptable

Por lo general, realizaría el paso de identificación haciendo un inventario de sus activos y entrevistando a sus propietarios y mantenedores acerca de ellos.

La etapa de análisis suele ser cualitativa y bastante simple. Por ejemplo, puede asignar valores de bajo, medio o alto tanto a la probabilidad como al impacto de cada riesgo, y luego tener una tabla simple que muestre el valor del riesgo consiguiente. Alta probabilidad y alto impacto significa un alto riesgo, y así sucesivamente. Esto parece bastante simplista, pero es muy difícil dar valores cuantitativos precisos a la probabilidad y al impacto en todos sus riesgos. ¿Cuál es la probabilidad de que mi oficina se queme la próxima semana? Spock podría estimar la probabilidad en 2.457%, pero yo soy humano, por lo que lo mejor que puedo hacer es estimar que es "Muy bajo". Sus circunstancias pueden ser diferentes, por supuesto.

Finalmente, la etapa de evaluación es simplemente comparar el nivel de riesgo con lo que usted encuentra aceptable, para ver si el riesgo necesita tratamiento. Nuevamente, es un poco simplista, pero la razón por la que estás haciendo un análisis es para determinar a) qué riesgos debes tratar y b) en qué orden de hacerlos.     

No puedo responder por organizaciones grandes, pero para organizaciones pequeñas, encontré que la siguiente matriz de evaluación de riesgos suele ser lo suficientemente buena como para que la administración: a) piense sobre la seguridad y las posibles implicaciones del fracaso b) ayude a tomar decisiones sobre los recursos / esfuerzos que puede / necesita invertir.

+----------------+---------------------------+---------------------------+------------------+-------------------------------+
| What           | Current level of security | Improvement Effort Needed | Data Sensitivity | Impact of Worst Case Scenario |
+----------------+---------------------------+---------------------------+------------------+-------------------------------+
| Product Foo    | low                       | ++                        | -                |                               |
| - component a  | reasonable/good           | High                      | Medium           | Major                         |
| - component b  | very low!                 | Medium (requires time)    | Medium+          | Non acceptable                |
| - ...          | ...                       | ...                       | ...              | ...                           |
+----------------+---------------------------+---------------------------+------------------+-------------------------------+

La matriz anterior es bastante simple y está lejos de ser perfecta, pero hace que la gente piense sobre el problema y las posibles consecuencias, es lo suficientemente intuitiva como para ser útil en varios niveles dentro de la organización y sirve como base para comenzar a establecer prioridades donde poner esfuerzo.