Si el impacto del riesgo (no la probabilidad o el riesgo general) se cuantifica por el impacto inicial, o si se cuantifica por el impacto final (potencial) [cerrado]

-1

Estoy realizando una evaluación de riesgos y tratando de determinar el impacto del riesgo en la confidencialidad si un empleado de la empresa (específicamente un administrador del sistema) roba el hardware del servidor.

  1. Por un lado, el administrador del sistema ya tiene un conocimiento profundo de cómo funciona la empresa y obtendrá muy poco conocimiento adicional del robo.

  2. Por otra parte, el administrador del sistema ahora podría distribuir más fácilmente la información a un tercero y el impacto podría ser muy alto.

¿Hay algún acuerdo común sobre la profundidad con la que debe ir al evaluar el impacto y, por lo tanto, si debo elegir 1 o 2 arriba?

Gracias de antemano

    
pregunta Kay 12.07.2017 - 13:39
fuente

3 respuestas

2

Esta respuesta a esta pregunta depende mucho del entorno. Algunos ejemplos:

  • Si está en un mercado con una competencia feroz, trabajadores mal pagados o insatisfechos, donde los empleados tienen acceso a información valiosa, entonces la probabilidad de que esta información se filtre es muy alta, es decir, el riesgo que asume un empleado al robar la información. Probablemente sea bajo en comparación con la posible ganancia.
  • Pero si trata bien a sus empleados, no tiene una competencia feroz y la información no es tan valiosa, la ganancia por robo es muy baja en comparación con el riesgo asumido y, por lo tanto, es menos probable que robe.

Esta evaluación de riesgos debe incluir analizar el valor de la información, la confianza que puede tener en sus empleados (que depende mucho de cómo los trate, pero también de lo que ofrece su competencia) y las leyes aplicables que un empleado tenga en cuenta al comparar su propio riesgo al robar a la ganancia.

    
respondido por el Steffen Ullrich 12.07.2017 - 14:05
fuente
1

La gestión de riesgos se realiza normalmente cuantificando la posibilidad de que algo suceda y también el impacto en el negocio si eso sucede. Para el riesgo de fuga de datos, el impacto puede ser extremadamente alto para las compañías que tienen propiedad intelectual (IP) que, si se revelara a un competidor, causaría una pérdida de participación de mercado en el futuro (porque el competidor entregó el anteproyecto a las compañías a continuación). al mercado con él primero). O bien, el impacto puede ser un impacto devastador para la reputación, o multas reguladoras o incluso cargos penales. Por lo general, se considera que el impacto es extremadamente alto.

La probabilidad de que eso suceda depende de muchas cosas, por ejemplo, si hay algún control alrededor de la IP en forma digital. ¿Está encriptado? ¿Se controla el acceso? ¿Existe un monitoreo para detectar el acceso sospechoso a esa IP? Estos son solo algunos, pero la lista de controles que deberían estar en su lugar para proteger la IP digital es larga.

Además de los controles, también evalúa qué tan factible es sacar esa IP robada de las instalaciones. Una vez más, la lista de controles es larga, pero para nombrar unos pocos: bloquear escritorios y desactivar el almacenamiento portátil como USB, implementar controles de correo electrónico para detectar y evitar el envío de esa dirección IP, seguridad de la red que impide el acceso a los servicios de almacenamiento en la nube (dropbox, etc.) seguridad de la red que hace que sea imposible obtener un punto final en la red que no esté bajo el control de la empresa, por ejemplo, una laptop personal, pi frambuesa, etc.

Entonces, la respuesta a su pregunta sobre cuán alto es el riesgo de robo de datos es "depende" de muchas cosas, que variarán de una compañía a otra.

Sí, el título y la pregunta no están alineados. Robar el hardware del servidor es solo una forma en que la información de propiedad puede ser robada. Ni siquiera lo considero una posibilidad porque la última vez que vi una empresa con servidores que no estaban en un centro de datos bien controlado fue en los años 90. Eso no significa que no se pueda hacer, pero nuevamente, la probabilidad depende de los controles de acceso al centro de datos y el equipo que entra y sale.

La evaluación de este riesgo realmente se debe hacer caso por caso, y para hacerlo correctamente se debe seguir una evaluación de los controles que impactan esta clasificación de riesgo.

    
respondido por el Thomas Carlisle 12.07.2017 - 16:49
fuente
1

El conocimiento de cómo funciona la empresa es en gran medida irrelavante. En la mayoría de los casos, será "malo".

Lo que importa son los archivos en esos servidores. Todos sus diseños de productos. Todo su software propietario. Todas sus ofertas y propuestas actuales. Todos sus cálculos detallados del costo del contrato. Y así sucesivamente.

    
respondido por el Simon B 12.07.2017 - 16:50
fuente