Metodologías de evaluación de riesgos

Imagen con fondo digital de color rojo que muestra un escudo con una 'X' en el centro, simbolizando un bloqueo o fallo de seguridad. Sobre la imagen, en la parte superior, se lee 'Introducción a la Ciberseguridad - Capítulo 8'. El fondo incluye elementos gráficos tecnológicos, como líneas y nodos hexagonales, que representan ciberseguridad y redes digitales.

Metodologías de evaluación de riesgos

Adoptar un proceso formal de evaluación de riesgos ofrece la información que se necesita para establecer prioridades. Hay muchas formas de realizar una evaluación de riesgos, cada una con sus propios beneficios e inconvenientes.

Las organizaciones pueden adoptar varios enfoques para evaluar los riesgos: cuantitativos, cualitativos, semi-cuantitativos, basados en activos, basados en vulnerabilidades o basados en amenazas. Cada metodología puede evaluar la postura de riesgo de la organización.

Cuantitativo

Los métodos cuantitativos aportan rigor analítico al proceso. Los activos y riesgos reciben valores económicos por lo que cuando se presenta la evaluación ante un comité de dirección en términos financieros es más fácilmente comprensible. Sin embargo, una metodología cuantitativa, además de ser más compleja, puede no ser apropiada ya que existen activos o riesgos difícilmente cuantificables y adoptar este enfoque numérico requiere decisiones de juicio que no son objetivas.

Cualitativo

Los métodos cualitativos adoptan un enfoque más empírico. Los evaluadores se reúnen con personas de toda la organización. Los empleados comparten cómo realizarían su trabajo, o como lo harían si se produce una interrupción. Los evaluadores utilizan esta información para categorizar los riesgos en escalas aproximadas como Alto, Medio o Bajo. Una evaluación de riesgos cualitativa proporciona una imagen general de cómo los riesgos afectan las operaciones de una organización y es probable que todas las personas comprendan las evaluaciones de riesgos, pero el problema radica en que estos enfoques son inherentemente subjetivos.

Semicuantitativo

En algunos casos se combinarán las metodologías cuantitativa y cualitativa para crear evaluaciones de riesgos semicuantitativas. Con este enfoque, se utiliza una escala numérica, como 1-10 o 1-100, para asignar un valor de riesgo numérico. Los elementos de riesgo se agrupan como riesgo bajo, riesgo medio y como riesgo alto en base a esta escala. Las metodologías semicuantitativas pueden ser más objetivas y proporcionar una base sólida para priorizar los elementos de riesgo.

Basado en activos

Tradicionalmente, las organizaciones adoptan un enfoque basado en activos para evaluar el riesgo de TI. Los activos se componen del hardware, el software y las redes que manejan la información de una organización, además de la información misma. Una evaluación basada en activos generalmente sigue un proceso de cuatro pasos:

Inventario de todos los activos.
Evaluar la efectividad de los controles existentes.
Identificar las amenazas y vulnerabilidades de cada activo.
Evaluar el impacto potencial de cada riesgo.

Basado en vulnerabilidad

Las metodologías basadas en vulnerabilidades amplían el alcance de las evaluaciones de riesgos más allá de los activos de una organización. Este proceso comienza con un examen de las debilidades y deficiencias conocidas dentro de los sistemas organizacionales o los entornos en los que operan esos sistemas. A partir de ahí, los evaluadores identifican las posibles amenazas que podrían explotar estas vulnerabilidades, junto con las posibles consecuencias de los exploits.

Aunque este enfoque captura más riesgos que una evaluación puramente basada en activos, se basa en vulnerabilidades conocidas y es posible que no capture toda la gama de amenazas a las que se enfrenta una organización.

Basado en amenazas

Los métodos basados en amenazas pueden proporcionar una evaluación más completa de la postura general de riesgo de una organización. Este enfoque evalúa las condiciones que crean riesgo. Una auditoría de activos será parte de la evaluación ya que los activos y sus controles contribuyen a estas condiciones.

Por ejemplo, la formación en ciberseguridad mitiga los ataques de ingeniería social. Una evaluación basada en activos puede priorizar los controles sistémicos sobre la capacitación de los empleados. Por otro lado, una evaluación basada en amenazas puede encontrar que aumentar la frecuencia de la capacitación en ciberseguridad reduce el riesgo a un costo menor.

Como hemos visto, la elección de una metodología para la evaluación de riesgos debe basarse en las necesidades específicas de cada organización y en el contexto en el que opera. Adoptar un proceso de evaluación de riesgos formal y adaptado a la realidad de la compañía es crucial para establecer prioridades efectivas y mejorar la gestión del riesgo en un entorno en constante cambio.

José Antonio Sánchez Durán, Senior Consultant & Advisor
Govertis, parte de Telefónica Tech

Por Blog AEC Govertis

3 de septiembre de 2024

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non Necessary".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Duración	Descripción
PREF	8 months	PREF cookie is set by Youtube to store user preferences like language, format of search results and other customizations for YouTube Videos embedded in different sites.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.

Cookie	Duración	Descripción
yt-player-headers-readable	never	The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience.
yt-remote-cast-available	session	The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player.
yt-remote-cast-installed	session	The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-fast-check-period	session	The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos.
yt-remote-session-app	session	The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player.
yt-remote-session-name	session	The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video.
ytidb::LAST_RESULT_ENTRY_KEY	never	The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future.

menú

Club CISO

Metodologías de evaluación de riesgos

Cuantitativo

Cualitativo

Semicuantitativo

Basado en activos

Basado en vulnerabilidad

Basado en amenazas

Club CISO

Información de contacto:

Patrocinadores AEC

¿Qué estás buscando?

menú

Club CISO

Metodologías de evaluación de riesgos

Cuantitativo

Cualitativo

Semicuantitativo

Basado en activos

Basado en vulnerabilidad

Basado en amenazas

Entradas relacionadas

Servicios de apoyo y el factor humano en la respuesta ante incidentes de seguridad

El papel de la alta dirección en la ciberseguridad

Principales marcos de ciberseguridad