Los riesgos son una situación que varía de acuerdo al entorno, los procesos, las actividades o los eventos que se realizan en el diario vivir, existen riesgos al caminar, al ducharse, al conectarse a Internet, y para casi toda acción que se ejecute con el día a día hay riesgos.
Para evaluar los riesgos a los que nos exponemos a diario, hay diferentes metodologías y herramientas que permiten abordar de una manera más precisa las situaciones y lo expuestos que estamos en determinados casos.
Las evaluaciones de los riesgos se pueden hacer de forma cualitativa o cuantitativa y se deben llevar de una forma estructurada y transparente, y tratar de distinguirla de la gestión de riesgos para conseguir proteger la integridad y objetividad de la evaluación.
Las evaluaciones cualitativas se hacen basadas generalmente en métodos estadísticos y en el raciocinio humano, y son realizadas a proyectos con bajo nivel de riesgo y que no ameritan inversión en tiempo y recurso para realizar una evaluación más completa y exhaustiva.
Las cuantitativas se hacen basadas en valores numéricos matemáticos, que permiten generar y obtener un cálculo del riesgo para el proyecto evaluado, se asigna un valor medible a las ocurrencias identificadas en distintos riesgos y se puede hacer con diferentes métodos como el análisis de probabilidad, de consecuencias o la simulación computacional.
También se hacen evaluaciones de riesgo que son tratados como un método semi-cuantitativo, en estas se utilizan clasificaciones como bajo, medio o alto, o una descripción con mayor nivel de detalle de la probabilidad y la consecuencia.
Teniendo en cuenta lo anterior se puede encontrar metodologías que aplican diferentes estándares y normas, además de procesos bien adaptados que permiten obtener mejores resultados en la búsqueda constante de minimizar los riesgos a los que se expone cualquier persona u organización, en este caso hablamos de riesgos informáticos.
Algunas metodologías utilizadas para la evaluación y análisis de los riesgos son:
- Basadas en FIPS 65
- Método de IBM
- Basado en técnica de DELPHI = consenso de expertos para determinar los costos
- RISKCALC
- BDSS
- LAVA: Los Alamos Vulnerability/ Risk Assessment
- RISKPAC
- MARION
- CRAMM
- OCTAVE
- MAGERIT
- MEHARI
- NIST SP 800-30
- CORAS
Para conocer un poco mas a fondo se tomará la metodología OCTAVE y se expondrá mas acerca de los procesos que se pueden realizar con esta y sus fases.
La
metodología OCTAVE es una herramienta para el análisis de riesgos, permite
realizar diferentes procesos que buscan mejorar la gestión de los riesgos y
entregar una solución más acertada a las necesidades de las empresas.
Esta metodología está
diseñada en tres enfoques diferentes:
OCTAVE: Que se define para grandes empresas
OCTAVE-S: Para pequeñas empresas
OCTAVE ALLEGRO: se define para gestionar el
análisis de riesgos basados en un enfoque mayor en los activos de información.
El método OCTAVE está compuesto de 3 fases que permiten examinar los temas tanto organizacionales como tecnológicos, permite tener una visión mas clara de la organización y de sus necesidades de información así como de la seguridad de esta. Está compuesto de talleres, que son facilitados por un grupo de análisis de 3 a 5 personas y que son de la misma organización, se basa en el conocimiento que poseen diferentes miembros de la organización y a diferentes niveles, y se centra en los siguientes aspectos.
- La identificación de elementos críticos y las amenazas a los activos.
- La identificación de vulnerabilidades, a nivel organizativo y tecnológico.
- El desarrollo de una estrategia que se basa en el análisis de los riesgos para los activos de información, en la protección y en planes de mitigación del riesgo.
Las actividades también se apoyan en las buenas prácticas que vienen de diferentes normas o estándares, a su vez por medio de encuestas y hojas de cálculo que pueden albergar información tomada en los talleres realizados.
Las fases de los procesos de esta metodología se podrían resumir de la siguiente manera:
