La gestión de riesgos se realiza normalmente cuantificando la posibilidad de que algo suceda y también el impacto en el negocio si eso sucede. Para el riesgo de fuga de datos, el impacto puede ser extremadamente alto para las compañías que tienen propiedad intelectual (IP) que, si se revelara a un competidor, causaría una pérdida de participación de mercado en el futuro (porque el competidor entregó el anteproyecto a las compañías a continuación). al mercado con él primero). O bien, el impacto puede ser un impacto devastador para la reputación, o multas reguladoras o incluso cargos penales. Por lo general, se considera que el impacto es extremadamente alto.
La probabilidad de que eso suceda depende de muchas cosas, por ejemplo, si hay algún control alrededor de la IP en forma digital. ¿Está encriptado? ¿Se controla el acceso? ¿Existe un monitoreo para detectar el acceso sospechoso a esa IP? Estos son solo algunos, pero la lista de controles que deberían estar en su lugar para proteger la IP digital es larga.
Además de los controles, también evalúa qué tan factible es sacar esa IP robada de las instalaciones. Una vez más, la lista de controles es larga, pero para nombrar unos pocos: bloquear escritorios y desactivar el almacenamiento portátil como USB, implementar controles de correo electrónico para detectar y evitar el envío de esa dirección IP, seguridad de la red que impide el acceso a los servicios de almacenamiento en la nube (dropbox, etc.) seguridad de la red que hace que sea imposible obtener un punto final en la red que no esté bajo el control de la empresa, por ejemplo, una laptop personal, pi frambuesa, etc.
Entonces, la respuesta a su pregunta sobre cuán alto es el riesgo de robo de datos es "depende" de muchas cosas, que variarán de una compañía a otra.
Sí, el título y la pregunta no están alineados. Robar el hardware del servidor es solo una forma en que la información de propiedad puede ser robada. Ni siquiera lo considero una posibilidad porque la última vez que vi una empresa con servidores que no estaban en un centro de datos bien controlado fue en los años 90. Eso no significa que no se pueda hacer, pero nuevamente, la probabilidad depende de los controles de acceso al centro de datos y el equipo que entra y sale.
La evaluación de este riesgo realmente se debe hacer caso por caso, y para hacerlo correctamente se debe seguir una evaluación de los controles que impactan esta clasificación de riesgo.