Una pregunta. Qué probabilidad hay de que se estrelle un avión? Mucha? Poca? y qué probabilidad hay de que se estrelle un avión al aterrizar? es más probable? o lo es menos?

A primera vista, en general, las personas solemos contestar que el hecho de que se estrelle al aterrizar es más probable. Pero si le damos una vuelta, la primera pregunta, recoge el  despegue, el vuelo y el aterrizaje. Por lo que la probabilidad de que se estrelle será al menos igual o superior del simple hecho de aterrizar.

Esto ocurre porque al concretar mejor el concepto, al tanjibilizarlo mejor, nos parece más probable. Estos conceptos los ha desarrollado Nassim N. Taleb en sus libros. Lectura interesante para hablar de Análisis de Riesgos, gestión de riesgos, Catálogo de Servicios, incidencias, etc.

Análisis de Riesgos

Tanto la aplicación de la norma ISO27001 como un Plan de Continuidad de Negocio o Magerit como método , requieren hacer un Análisis de Riesgos. Esto supone identificar Activos, identificar Amenazas (eventos) para cada activo e identificar Vulnerabilidades (estado).

Por cada trío (Activo-Amenaza-Vulnerabiliad) deberemos de establecer el valor del Activo para la organización, la probabilidad de que la amenaza ocurra y el impacto de que esta se de.

Como resultado tendremos una fórmula como:

Riesgo = Valor_Activo x ( Probabilidad x Impacto)

Ahora es cuando toca hacer las preguntas adecuadas.

Conclusiones de Consultor

Escojas el criterio que escojas (ser más o menos concreto), lo más importante es mantener el criterio a lo largo de todo el proceso de Análisis de Riesgos. Podrías hacer un Análisis de Riesgos por cada elemento de red, o puedes entender el Activo de Red Interna donde se recogen todos esos elementos. Pero si la situación es que existe un punto único de fallo en la red (tienes un único FireWall y como deje de funcionar, ya no funcionan las comunicaciones), mediante ámbos criterios deberíamos llegar a la misma conclusión.

La diferencia consiste en que concretando identificaremos un mayor número de amenazas y vulnerabilidades, pero esto nos supondrá un gran esfuerzo. Hay que tener en cuenta que el Análisis de Riesgos no es más que una herramienta para la gestión de prioridades con lo que ello aporta. Así que si no te sirve para priorizar y justificar acciones, esto significa que no estás empleandola bien.

src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js">