Esquemas de Seguridad Informática

Análisis de Riesgos

Tipos de análisis del riesgo

Análisis cualitativo del riesgo

En lugar de establecer valores exactos sedan notaciones como alto, bajo, medio que representan la frecuencia de ocurrencia y el valor de los activos. La desventaja es que pueden existir áreas significativamente expuestas que no hayan sido identificadas como posibles fuentes de riesgo.

Ambos tipos de análisis del riesgo hacen uso de los siguientes elementos interrelacionados:

  • Amenazas: las amenazas están siempre presentes en cada sistema.

  • Vulnerabilidades: las vulnerabilidades permiten que un sistema sea más propenso a ser atacado por una amenaza o que un ataque tenga mayor probabilidad de tener éxito o impacto.

  • Controles: son las medidas contra las vulnerabilidades. Existen cuatro tipos:

  • Los controles disuasivos reducen la probabilidad de un ataque deliberado.

  • Los controles preventivos protegen vulnerabilidades y hacen que un ataque fracase o reduzca su impacto.

  • Los controles correctivos reduce el efecto de un taque.

  • Los controles detectores descubren ataques y disparan controles preventivos o correctivos.

Estos tres elementos pueden ser ilustrados mediante un modelo relacional simple que se aprecia en la figura 5.14.

Figura 5.14 Modelo relacional simple