Esquemas de Seguridad Informática

Análisis de Riesgos

Tipos de análisis del riesgo

Análisis cuantitativo del riesgo

Todos los activos, sus recursos y los controles se identifican, y se evalúan en términos monetarios. Todas las amenazas potenciales se identifican y se estima la frecuencia de su ocurrencia, estas amenazas se comparan con las vulnerabilidades potenciales del sistema de tal forma que se identifiquen las áreas que son sensibles.

Posteriormente el análisis cuantitativo del riesgo hace uso del término Expectativa de Pérdida Anual (ALE) o Costo Anual Estimado (EAC), el cual es calculado para cierto acontecimiento simplemente multiplicando la frecuencia de la ocurrencia de la amenaza por el valor del activo o clasificación del daño. Para esto, es necesario recolectar con detalle estimaciones exactas utilizando técnicas matemáticas y estadísticas.

De esta forma se puede decidir si los controles existentes son adecuados o si se requiere la implementación de otros, esto se observa cuando el producto obtenido tras multiplicar el valor del activo por la frecuencia de la ocurrencia de la amenaza en un período de tiempo determinado por la duración del control es menor que el costo de dicho control.

Los problemas con este tipo de análisis de riesgo se asocian generalmente a la falta de fiabilidad y a la inexactitud de los datos y algunas veces puede interpretarse erróneamente los resultados.