FAIR Introduction - En.es

Gestión de Riesgos Insight
Un ion Introduct a análisis factorial de

Riesgo de iones Informat (FAIR)
Un marco para la comprensión, análisis y medición de riesgos de la información
BORRADOR
Jack A. Jones, CISSP, CISM, CISA
Gestión de Riesgos Insight T ( 614) 441-9601 F 1 (815) 377-1163 info@riskmanagementinsight.com http://www.riskmanagementinsight.com

AVISO LEGAL
El contenido de este documento, y el marco de la muestra se liberan bajo la:
Creative Commons Reconocimiento-No comercial-Compartir bajo la misma licencia 2.5
Más información sobre esta licencia se puede encontrar aquí:
http://creativecommons.org/licenses/by-nc-sa/2.5/
Para obtener más información sobre FAIR, licencias, etc ... Por favor ponerse en contacto con la Gestión de Riesgos Insight:
http://www.riskmanagementinsight.com
Jack Jones
en jonesj1@riskmanagementinsight.com

Tabla de contenido
Introducción 1
¿Qué está cubierto ... 2
Calvo neumáticos Escenario 3

Análisis de escenario 4
La metáfora de Neumáticos Calvo 6
Riesgo y Análisis de Riesgos 8

Riesgo de fi nido 8
Propósito de modelos de riesgo 9
Probabilidades frente a las posibilidades 10
De ser “malo” 11
Resumen 12
Riesgo componentes del paisaje 13

amenazas 13
Bienes 15
La organización dieciséis
El entorno externo dieciséis
Factoring riesgo 17
Riesgo de descomposición 17
La frecuencia de eventos de pérdida (LEF) 18
Frecuencia amenaza eventos (TEF) 18
Contacto 19
Acción 20
Vulnerabilidad 20
Capacidad de amenaza 21
Fuerza de Control 21
Magnitud pérdida probable (PLM) 22
Factores pérdida primaria 25
Factores de pérdidas secundarias 27

controles 31
dimensiones de control 31
Ciclo de vida de Control 33
Riesgo medir 34
Teoría de medición 34
La medición de los factores de riesgo 36
La medición de la frecuencia de eventos de amenaza (TEF) 36
La medición de la capacidad de amenaza (TCAP) 37
La medición de la fuerza de control (CS) 38
La vulnerabilidad se deriva 38
Derivado de frecuencia Pérdida de eventos (LEF) 39
La medición de la magnitud probable pérdida (PLM) 39
La estimación de la pérdida 41
La articulación de derivar y Riesgo 44
El análisis de un escenario sencillo 46

El escenario 46
El analisis 47
Etapa 1 - Identificar los componentes del escenario 47
Etapa 2 - Evaluar la pérdida de frecuencia de eventos (LEF) 48
Etapa 3 - Evaluar Magnitud Pérdida probable (PLM) 51
Etapa 4 - Derivar y Riesgo Articular 55
Conclusiones y próximos pasos 57

conclusiones 57
A dónde ir desde aquí 59
Apéndice A: Guía de Evaluación de Riesgos básico 1

Etapa 1 - Identificar los componentes del escenario 2
Etapa 2 - Evaluar la pérdida de frecuencia de eventos 3
Etapa 3 - Evaluar Magnitud Pérdida probable 8
Etapa 4 - Derivar y Riesgo Articular 10
Apéndice B: Glosario 1
Apéndice C: Factoring Diagrama 1
Sobre el Autor 1
Nombre del informe 4

Una introducción a la FERIA - BORRADOR
Introducción
No se puede gestionar con eficacia y coherencia lo que no se puede medir, y no se puede medir
lo que no ha de fi nido ...
Hacer una docena de profesionales de la seguridad de la información para de fi nir el riesgo y que está seguro de obtener varias respuestas diferentes. Tomar cualquier libro de
seguridad de la información y es muy probable que nd fi que el autor ha utilizado los términos de riesgo, amenaza y vulnerabilidad intercambiable (que no son la misma cosa). El
simple hecho es que nuestra profesión no ha adoptado un léxico estándar o taxonomía. Las consecuencias no son favorables, y muchos dentro de la profesión de seguridad de la
información se enfrentan a las ramificaciones cada día - por ejemplo:
‣ Marginación en las organizaciones a las que servimos
‣ Di fi cultades en la dirección de la organización convincente para tomar en serio las recomendaciones
‣ deficiente utilización de los recursos ine
Tal como lo veo, estas cuestiones prácticamente gritan “falta de credibilidad”, sin embargo, nuestra respuesta más común ha sido la de quejarse, “ellos (los ejecutivos)
simplemente no lo entienden.” Mis observaciones recientes sugieren lo contrario. En los últimos años se ha convertido en evidente para mí que, mucho más a menudo
que no, los ejecutivos lo entiendo. Estas son personas afilados que viven y respiran la gestión del riesgo como un signi fi cativo y el componente fundamental de su
trabajo. Parece, en cambio, que la desalineación se reduce a diferencias básicas en la definición y perspectiva. Los ejecutivos están pensando “riesgo”, y estamos
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados 1
pensar “seguridad” - dos cosas de manera sutil, pero críticamente diferentes, que se harán evidentes a medida que avanzamos a través de este documento.
La buena noticia es que algunos dentro de nuestra profesión han reconocido la necesidad de centrarse en el riesgo, y han desarrollado procesos y herramientas que nos llevan en
esa dirección de análisis. FRAP y OCTAVE® •• hay un par de los ejemplos más conocidos. El desafío sin respuesta, sin embargo, es que sin una sólida comprensión de lo que el
riesgo es, cuáles son los factores de riesgo que la unidad, y sin una nomenclatura estándar, que no pueden ser compatibles o realmente eficaz en el uso de cualquier método. Este
enfoque se pretende sentar estas bases, así como un marco para la realización de análisis de riesgo. Es importante tener en cuenta que gran parte del marco de la muestra se
puede utilizar para fortalecer, en lugar de reemplazar, los procesos de análisis de riesgo como los mencionados anteriormente existente.
Ser prevenido que algunas de las explicaciones y aproximaciones dentro del marco de la muestra pondrá a prueba las creencias y prácticas de larga data dentro de nuestra
profesión. Lo sé porque en varios momentos durante mi investigación me he visto obligado a confrontar y conciliar las diferencias entre lo que he creído y practicado durante
años, y las respuestas que fueron resultantes de la investigación. En pocas palabras - FAIR representa un cambio de paradigma, y los cambios de paradigma nunca son
fáciles.
Riesgos y análisis de riesgos están sujetos grandes y complejos. En consecuencia, en la redacción de este documento he tenido que equilibrar la necesidad
de proporcionar información suficiente para que los conceptos de riesgo y el marco de la muestra son claras y útiles, y sin embargo mantener la longitud
manejable. El resultado es lo que mejor se puede describir como una introducción y una imprimación. Por ejemplo, he limitado el alcance para incluir sólo el
panorama de las amenazas maliciosas humana, dejando de lado los eventos de amenazas asociadas con el error, el fracaso, o actos de Dios. Algunos de
los elementos más profundos y complejos del marco también se han quedado fuera, y otros elementos han sido cepillado más ligera. Por favor, acepte mis
disculpas de antemano por las inevitables preguntas de esta introducción dejará sin respuesta. Se está desarrollando más documentación exhaustiva. Por
otra parte,
¿Qué está cubierto ...
La sección de Neumáticos Calvo Escenario ilustrará, a través de la metáfora, algunos de los retos fundamentales que enfrenta la profesión de seguridad de la información.
También introduce brevemente algunos de los conceptos que son fundamentales para superar nuestros retos.
Antes de que podamos discutir razonablemente los factores que impulsan el riesgo, primero tenemos que llegar a un entendimiento común de lo que es el riesgo. Riesgo y
Análisis de Riesgos discute los conceptos de riesgo y algunas de las realidades que rodean el análisis de riesgos y probabilidades. Esto proporciona una base común para la
comprensión y aplicación de FAIR.
Riesgo componentes del paisaje brevemente describe los cuatro componentes principales que componen cualquier escenario de riesgo. Estos componentes tienen características
(factores) que, en combinación uno con el otro, el riesgo de accionamiento.
Factoring riesgo comienza a descomponerse riesgos de la información en sus partes fundamentales. La taxonomía resultante se describe cómo los factores de riesgo se combinan para
conducir el riesgo, y establece una base para el resto del marco de la muestra. Tenga en cuenta que nos quedaremos relativamente alto nivel en nuestra factorización para mantener esta se
convierta en un libro.
los controles sección introduce brevemente las tres dimensiones de un paisaje controles.
Riesgo medir discute brevemente los conceptos y retos de medición y, a continuación, proporciona una discusión de alto nivel de las mediciones de los factores de riesgo.
Calvo neumáticos Escenario
A medida que avance a través de cada uno de los pasos dentro del escenario a continuación, preguntarse cuál es el riesgo asociado a lo que está siendo descrito.
‣ Imagen en su mente un neumático de coche calva. Imagine que es tan calvo apenas se puede decir que nunca había pisar. ¿Cuánto riesgo está ahí?
‣ Luego, imagine que el neumático desgastado está atado a una cuerda que cuelga de una rama de un árbol. ¿Cuánto riesgo está ahí?
‣ Luego, imagine que la cuerda está deshilachado a mitad de camino a través, justo debajo de donde está atada a la rama de un árbol. ¿Cuánto riesgo está ahí?
‣ Por último, imagina que el columpio está suspendido sobre un acantilado de 80 pies - con afiladas rocas de abajo. ¿Cuánto riesgo está ahí?
Ahora, identificar los siguientes componentes en el escenario. ¿Cuáles fueron los:
‣ amenazas
‣ vulnerabilidades
‣ riesgos
Análisis de escenario
La mayoría de las personas creen que el riesgo es 'Alto' en la última etapa del escenario Calvo Tiro. La respuesta, sin embargo, es que hay muy poca probabilidad de pérdida significativa
dado el escenario exactamente como se describe. A quién le importa si un, viejo neumático desgastado vacío cae a las rocas de abajo?
Era mi pregunta sobre la cantidad de riesgo injusto? Tal vez, y he oído las protestas antes ... “Pero lo que si alguien sube en el columpio?” y, “El propósito de la
llanta es para ser girado en, por lo que, por supuesto, asumimos que alguien finalmente subir en él!” Ambos son argumentos razonables. Mi punto es que es fácil
de hacer suposiciones en el análisis de riesgos. De hecho, algunas suposiciones son inevitables porque es imposible conocer todos los factores concebibles
dentro de un escenario de riesgo. Sin embargo, los supuestos sobre los aspectos clave del entorno de riesgo pueden debilitar seriamente el análisis global.
El segundo punto que me gustaría hacer es que, de cualquier grupo que pasa por el escenario Calvo neumáticos, normalmente a conseguir varias descripciones diferentes de
lo que constituye la amenaza, vulnerabilidad y riesgo en el escenario. He oído la cuerda deshilachada descrito como una amenaza, vulnerabilidad y riesgo. También he oído el
acantilado y las rocas se describe como una amenaza, vulnerabilidad y riesgo. El simple hecho es que, como profesión, no hemos adoptado definiciones estándar de fi para
nuestros términos. En conversaciones informales entre nosotros mismos, esto no siempre puede ser un problema significativo, ya que normalmente entendemos lo que se
entiende por el contexto de la conversación. Considere, sin embargo, que los físicos no confunden términos como masa, peso y velocidad, y los profesionales financieros no
confunden de débito y de crédito - incluso en conversaciones informales - porque hacerlo significativamente aumenta la posibilidad de confusión y malos entendidos. Esto es
importante a tener en cuenta cuando estamos tratando de comunicarse a los que están fuera de nuestra profesión - en particular a los ejecutivos afilados que están muy
familiarizados con los conceptos fundamentales de riesgo - en donde el mal uso de términos y conceptos pueden dañar nuestra credibilidad como profesionales y reducir la
eficacia de nuestro mensaje.
Un tercer punto es que no se puede tener riesgo significativo sin la posibilidad de pérdida significativa fi. En otras palabras, no importa la forma expuesta a daño
activo es, si el activo no vale mucho, el riesgo no es alto. Esto es porque riesgo siempre incluye un componente de valor. Si no fuera así, las apuestas de un millón de
dólares sería equivalente a las apuestas de un dólar.
Un punto final es que hay una tendencia a equiparar la vulnerabilidad al riesgo. Vemos una cuerda deshilachada (o un servidor que no es adecuadamente con fi gurada) y
concluir automáticamente que el riesgo es alto. ¿Existe una correlación entre la vulnerabilidad y el riesgo? Sí. Es la correlación lineal? No, porque la vulnerabilidad es sólo un
componente de riesgo. Amenaza frecuencia de eventos y la magnitud de pérdida también son partes clave de la ecuación de riesgo.
Así que, ¿cuáles son los activos, la amenaza, la vulnerabilidad y los componentes de riesgo dentro del escenario Calvo Tiro? La Definiciones y fundamentos de ficción se describen más
específicamente más adelante, pero, simplemente dijo:
‣ El activo es el neumático desgastado
‣ La amenaza es la tierra y la fuerza de gravedad que se aplica al neumático y cuerda
‣ La vulnerabilidad potencial es la cuerda deshilachada (haciendo caso omiso de la posibilidad de una rama de un árbol podrido, etc.)
¿Qué pasa con el riesgo? ¿Qué parte del escenario representa riesgo? Bueno, el hecho es que no hay un solo componente dentro del escenario que podemos señalar y
decir: “Aquí está el riesgo.” El riesgo no es una cosa. No podemos ver, tocar o medir directamente. Similar a la velocidad, que se deriva de distancia dividida por el
tiempo, el riesgo es un valor derivado. Se deriva de la combinación de las características de frecuencia de eventos amenaza, vulnerabilidad y valor de los activos y
pasivos.
Después de haber hecho una cuestión de terminología, los siguientes párrafos establecen y discutir brevemente algunas de fi niciones básicas.
Amenaza
Un razonable definición de Amenaza es cualquier cosa (por ejemplo, objeto, sustancia, humano, etc.) que es capaz de actuar contra un activo de una manera que puede resultar en daño. Un
tornado es una amenaza, ya que es una inundación, al igual que un hacker. La consideración clave es que las amenazas se aplican la fuerza (agua, viento, código de explotación, etc.) en
contra de un activo que puede causar un evento de pérdida que se produzca.
Vulnerabilidad
A pesar de que la vulnerabilidad es comúnmente reconocida como una “debilidad que puede ser explotado”, hay más que eso. Vamos a cavar en la vulnerabilidad más profundamente
más adelante, pero por ahora vamos a dejarlo como una condición en la que la capacidad de amenaza (fuerza) es mayor que la capacidad de resistir esa fuerza.
Es posible que haya preguntado por qué “potencial” se enfatiza cuando identi fi cados la cuerda deshilachada como una vulnerabilidad potencial. La razón es sólo una
vulnerabilidad potencial es que primero tiene que hacer la pregunta, “Vulnerable a qué?” Si nuestra cuerda deshilachada todavía tenía una resistencia a la tracción de 2.000 libras
por pulgada cuadrada, su vulnerabilidad al peso de un neumático lo haría, por todos los propósitos prácticos, será prácticamente cero. Si nuestro escenario había incluido una
ardilla roer la cuerda deshilachada, entonces él también sería considerado una amenaza, y la dureza de la cuerda determinaría su vulnerabilidad frente a esa amenaza. Un cable
de acero - incluso un deshilachado uno - no sería particularmente vulnerable a nuestro amigo peludo. El punto es que la vulnerabilidad es siempre depende del tipo y el nivel de
fuerza que se aplica.
Activo
En el contexto de riesgos de la información, podemos de fi nir Activo como cualquier dato, dispositivo o otro componente del entorno que apoya las actividades relacionadas con la
información, que pueden ser ilícitamente accederse, utilizados, divulgados, alterado, destruido, y / o robados, lo que resulta en la pérdida. La pregunta se hace a menudo si la
reputación corporativa es un activo. Claramente, la reputación es un activo importante para una organización, sin embargo, no puede considerarse como un activo de información
dada nuestra de fi nición. Sí, la reputación puede ser dañada, sino que es un resultado de un evento aguas abajo en lugar de que el activo principal dentro de un evento. Por
ejemplo, daños a la reputación puede resultar de la divulgación pública de información confidencial de clientes, pero el principal activo en tal caso es la información de los clientes.
Riesgo
La siguiente definición se aplica independientemente de si se está hablando de riesgo de la inversión, el riesgo de mercado, riesgo de crédito, riesgo de la información, o
cualquiera de los otros dominios de riesgo de referencia común:
Riesgo - La frecuencia probable y probable magnitud de la pérdida futura
En otras palabras - la frecuencia con que algo malo es probable que suceda, y la cantidad de pérdida es probable que resulte. Como se indicó anteriormente, estas
probabilidades se derivan de la combinación de características de amenaza, la vulnerabilidad y los activos.
Otros factores
Entonces, ¿dónde hacer el acantilado y las rocas fi t en la ecuación de riesgo? No son agentes de amenaza, ya que no precipitan un evento y, claramente, no son vulnerabilidades
que permiten que un evento ocurra. En consecuencia, estos componentes pueden ser considerados factores de pérdidas secundarias porque su existencia contribuye a la magnitud
de la pérdida de un evento. Un ejemplo del mundo real sería las multas y sanciones impuestas por los organismos reguladores después de un evento de seguridad informática.
Las regulaciones y los reguladores no son los agentes que cometen una infracción, por lo que no son amenazas en el contexto del evento. Tampoco son una debilidad tecnológica,
de procedimiento, o de otro tipo que permitió que ocurriera la ruptura. Sin embargo, juegan un papel en la cantidad de pérdida que ocurre y por lo tanto deben ser incluidos en el
análisis de riesgos. (Tenga en cuenta, sin embargo, que hay escenarios en los que los reguladores pueden ser clasificados como agentes de amenaza -. Es decir, cuando se
realiza una auditoría)
La metáfora de Neumáticos Calvo
gestión de riesgos de la información hoy en día se practica como un arte que una ciencia. ¿Cual es la diferencia? Ciencia comienza por analizar la naturaleza de
la materia - la formación de una definición de y determinar el alcance del problema. Una vez logrado esto, se puede empezar a formar y luego corroborar teorías
e hipótesis, que proporcionan una comprensión más profunda. Esta comprensión más profunda proporciona los medios para explicar y gestionar más
eficazmente el tema.
Arte, por otra parte, no operar dentro de un marco de fi nida claramente de o definición. En consecuencia, no es posible explicar consistentemente
o calcular en base a un enfoque artístico. Un ejemplo útil es chamanismo. El chamán pone los huesos o “confiere a los dioses.” A continuación,
prescribe un remedio en base a lo que sus antepasados han transmitido a él ( “mejores prácticas”). Ahora, algunos chamanes pueden ser
extremadamente intuitivo y sensible a las condiciones dentro de un escenario y pueden ser capaces de seleccionar una solución razonable en la
mayoría de las ocasiones. Pero el chamán no puede explicar racionalmente su análisis, ni puede explicar por qué funciona de manera creíble la
cura (o, a veces no funciona). Y, aunque nos gustaría creer que las mejores prácticas son generalmente eficaces (ya que se tiende a volver a
utilizar lo que ha tenido éxito en el pasado), esto puede ser una suposición peligrosa.
Hay, sin embargo, no hay duda de que la intuición y la experiencia son componentes esenciales de la forma en que hacemos nuestro trabajo. Lo mismo es cierto para cualquier
profesión. Sin embargo, estos solos no proporcionan mucha tracción en la cara de examen crítico, y no son fuertes fórmulas para consistencia.
Poner la banda de rodadura en el neumático
Recientemente, nuestra profesión ha comenzado a pagar una cantidad significativa de atención a las métricas. Una palabra de advertencia - métricas y la ciencia no son
la misma cosa. Puedo medir algunos parámetros o contar los casos de algún evento, pero si no he desarrollado una comprensión lógica y racional del contexto más
amplio dentro del cual se aplica la métrica, todo lo que tengo es un número. Por otra parte, en ausencia de una comprensión fundamental de la materia, es demasiado
fácil malinterpretar y mal uso de los datos. A fin de que las métricas para ser verdaderamente útil, tenemos que entender nuestro tema.
No podemos coherente y eficaz gestionar lo que no podemos medir - y no podemos medir lo que tenemos no de fi nido. Lo primero que tenemos que hacer para cambiar
desde el arte a la ciencia es de fi ne nuestro tema. ¿Qué es exactamente riesgos de la información? Qué son
los factores que lo componen, y cómo se relacionan entre sí? Después de que hemos de fi nido nuestro tema, ¿cómo lo medimos? ¿Cómo podemos modelar y evaluar
los escenarios de riesgo complejos que enfrentamos? Por último, si nos las hemos arreglado para llevar a cabo todas estas cosas, ¿cómo articulamos riesgo para los
responsables de las decisiones que necesitan esta información?
FERIA proporciona un marco razonada y lógica para responder a estas preguntas:
‣ Una taxonomía de los factores que componen riesgos de la información. Esta taxonomía proporciona una comprensión básica de riesgos de la información, sin el cual
no podríamos razonablemente el resto. También proporciona un conjunto de estándares de fi niciones para nuestras condiciones.
‣ Un método para medir los factores que impulsan el riesgo de la información, incluida la frecuencia de eventos amenaza, la vulnerabilidad y la pérdida.
‣ Un motor computacional que deriva del riesgo mediante la simulación matemática de las relaciones entre los factores medidos.
‣ Un modelo de simulación que nos permite aplicar la taxonomía, método de medición, y el motor de cálculo para construir y analizar escenarios de riesgo de
prácticamente cualquier tamaño o complejidad.
Como se mencionó en la introducción, este documento será pincel sobre algunos componentes del marco, y no hablar de otros en absoluto. Por ejemplo, el
método de medición descrito en este documento ha sido significativamente simpli fi ed, el motor de cálculo no se discute en detalle, y el modelo de simulación,
no se examina en absoluto. No obstante, el material proporciona una base para un mejor análisis de riesgos, y prepara el escenario para la discusión, el
debate y para la documentación y la formación posterior.
Riesgo y Análisis de Riesgos
Nuestro primer reto es para definir la naturaleza del problema que estamos tratando de resolver - es decir, ¿cuál es el riesgo? Esta sección brevemente la cubierta y la naturaleza del riesgo y
algunas verdades simples sobre el análisis de riesgos.
Riesgo de fi nido
Riesgo - La frecuencia probable y probable magnitud de la pérdida futura
Hay tres cosas importantes para reconocer a partir de esta definición. Primera y más obvia - riesgo es una cuestión de probabilidad. Vamos a cubrir esto con más detalle a lo largo del
documento, por lo que no voy a extenderme ahora. En segundo lugar - el riesgo tanto tiene una frecuencia y un componente de magnitud. Y en tercer lugar - el punto que me gustaría
centrarse en aquí - es que esta definición de riesgo se aplica igualmente bien independientemente de si estamos hablando de la inversión, mercado, crédito, servicios legales, seguros, o
cualquiera de los otros dominios de riesgo (incluyendo riesgos de la información) que son comúnmente tratada en los negocios, el gobierno y la vida. En otras palabras, la naturaleza
fundamental de riesgo es universal, independientemente del contexto. La buena noticia es que los conceptos de riesgo han sido estudiados para las generaciones dentro de otras
profesiones, por lo que una gran cantidad de buena información está disponible. La noticia no tan buena es que tenemos, mucho más a menudo que no, se acercó a riesgo de la
información como si fuera algo diferente de los otros dominios de riesgo. Este es uno de los primeros obstáculos que tienen que superar si queremos entender realmente nuestro problema
de espacio.
Propósito de modelos de riesgo
El propósito de cualquier análisis de riesgos es proporcionar a la toma de decisiones con la mejor información posible acerca de las probabilidades de pérdida. En consecuencia, es crucial
que los tomadores de decisiones aceptan la metodología de análisis de riesgo que se utiliza, y que la información resultante del análisis está en una forma que es útil para ellos. En este
sentido, las limitaciones de nuestro “análisis de riesgos” tradicionales métodos de seguridad de la información se pondrán de manifiesto a medida que avanzamos a través de este
documento.
Limitaciones del análisis de riesgos
El análisis de riesgo nunca es perfecta. El hecho es que todos los modelos de análisis de riesgo son aproximaciones a la realidad porque la realidad es demasiado compleja para siempre
modelar exactamente. No obstante, mediante la descomposición de un tema complejo en sus componentes más claras, analizados con mayor facilidad, podemos entender y hacer juicios
razonados sobre el tema.
Cualquier modelo de análisis se verá limitada por la complejidad del tema, hasta qué punto entendemos el tema, y lo bien que el modelo incorpora esa
comprensión.
Evaluación de métodos de análisis de riesgo
Justo es sólo una manera de desollar el gato análisis de riesgos. Hay muchas personas dedicadas que trabajan para desarrollar otros métodos con los mismos objetivos en
mente. Esta es Terri noticias fi ca a los que están tratando de ser lo más eficaz posible en la gestión de riesgos. Sin embargo, independientemente de los métodos que
considere el uso, le animo a evaluar cualquier método de análisis de riesgos en al menos tres puntos.
‣ ¿Es útil?
‣ ¿Es lógico?
‣ ¿Se pista con la realidad?
Una metodología es útil cuando se cumpla con las necesidades de las personas que toman las decisiones de riesgo. Si nuestro análisis proporciona información sobre la
eficacia de los controles en un entorno, sino que toman las decisiones están buscando información sobre la probabilidad de incidentes y las pérdidas, a continuación, la
metodología no es útil. Del mismo modo, si proporcionamos métricas “indicador clave del riesgo”, pero no existe una clara vinculación entre las condiciones descritas por las
métricas y la probabilidad de pérdida, a continuación, las métricas se convierten en poco más que un escaparate.
Existen métodos de “análisis de riesgo” en uso hoy en día cuya lógica se desmorona bajo examen minucioso. A menudo, estos métodos llaman a sí mismos el análisis de riesgos,
cuando lo que realmente están analizando es un subcomponente de riesgo (por ejemplo, la vulnerabilidad o controles). Tenga en cuenta, sin embargo, que estos métodos pueden ser
excelentes en lo que hacen en realidad, así que no pasar por alto su valor. Es simplemente una cuestión de reconocer lo que hacen y no proporcionan. Una forma sencilla de
identificar un método bona fi de análisis de riesgos es determinar si se incluye un análisis de frecuencia de amenaza, vulnerabilidad, y la magnitud de pérdida, y si se trata el
problema de manera probabilística. Si uno o más de estos componentes no se encuentra, o si el problema no es tratada como una probabilidad, a continuación, lógicamente, no es
un método de análisis de riesgos.
El último punto de consideración - el seguimiento de la realidad - es especialmente crítica. Es también un punto que puede ser particularmente difícil para nuestra
profesión para llegar a un acuerdo con. Vamos a utilizar, como ejemplo, la condición de los controles de una red corporativa interna típica. Mi experiencia ha sido que la
mayoría de las redes y sistemas internos de las empresas no son muy
bien protegido (al menos en relación con las “mejores prácticas” teóricos), sin embargo, relativamente pocas organizaciones realmente han experimentado una pérdida severa asociada a
este hecho. eventos de pérdidas significativas se producen, no hay duda de eso, pero son asombrosamente poco frecuente dada la prevalencia de prácticas de seguridad malos. Un análisis
de riesgos realista debería reflejar este hecho. En otras palabras, un análisis de riesgos efectiva de un entorno de tecnología de la información corporativa interna promedio debe, en la
mayoría de los casos, identificar muy pocos temas verdaderamente de alto riesgo, a pesar del hecho de que los controles puedan no cumplir estándares de mejores prácticas.
Nuestra profesión ha llegado a ser muy bueno en la evaluación de los controles técnicos en un entorno - longitud de la contraseña / complejidad / historia, si los
privilegios de acceso apropiados están en su lugar, el número de capas de fi rewalls existen, cómo estrictas disponibles del producto antivirus es, si la detección de
intrusiones existe, etc. también saben lo que los controles no técnicos clave son - si existen políticas, el nivel de conocimiento del usuario, el patrocinio ejecutivo del
programa de seguridad, etc, pero
controles son sólo parte de la ecuación de riesgo. De hecho, los controles son sólo una parte de la ecuación de la vulnerabilidad. Vamos a cubrir la “ecuación” riesgo a medida
que avanzamos, pero, como he descrito en la introducción, la vulnerabilidad es siempre relativa al tipo y nivel de fuerza que se aplica. Si tan sólo medimos los controles, pero los
resultados llamamos “vulnerabilidad”, entonces hemos hecho suposiciones significativas en cuanto al nivel y tipo de amenazas involucradas. Con el fin de evaluar eficazmente el
riesgo, todos los componentes de riesgo, deben incluirse.
Cuando usted está evaluando cualquier método de análisis de riesgos - FERIA incluido - hacer preguntas difíciles. Asegúrese de que cumple con las necesidades de los tomadores de
decisiones, que es lógica, y que se alinea con la realidad.
Probabilidades frente a las posibilidades
Posibilidad es una condición binaria - ya sea algo es posible, o no lo es - 100% o 0%. Probabilidad re fl eja el continuo entre la certeza
absoluta y la imposibilidad.
ejecutivos con demasiada frecuencia en mi carrera, me he encontrado y otros que ven la profesión seguridad de la información como paranoico y lleno de “Littles
pollo proclamando que el cielo se está cayendo”. Por desgracia, esta perspectiva es generalmente bien fundada. Hemos tendido a hablar en términos de “podría
suceder” (posibilidad) en lugar de en términos que describen la probabilidad de que ocurra algo.
El simple hecho es que riesgo es siempre una cuestión de probabilidad. Considere la diferencia entre jugar a la ruleta rusa con un revólver de seis
cilindros estándar versus un semi-automática. Las posibilidades son iguales, ya sea con arma de fuego - es decir, es 100% posible en ambos casos que el
jugador sufriría una de las probabilidades, sin embargo, son significativamente diferentes “resultado negativo.”. En el primer caso, suponiendo que el
revólver está cargado con una sola bala, la probabilidad de un resultado negativo es de aproximadamente 17%. En el segundo caso, suponiendo una sola
bala se carga y la recámara en el semi-automática, la probabilidad de un resultado negativo es de aproximadamente 100% (que podría, por supuesto, MIS
fi re). Está claro que prefiero no jugar el juego en absoluto, pero si tuviera que elegir entre las dos armas, yo preferiría basar mi elección en la comprensión
de las probabilidades, en lugar de sólo las posibilidades.
La preocupación natural, por supuesto, es cómo se supone que debemos determinar las probabilidades cuando hay pocos datos empíricos sobre el riesgo de la información. Voy a
ir más lejos que eso - no sólo hay muy pocos datos de riesgo de la información, la mayor parte de los datos que tienen no es creíble. Este es el por qué. Con el fin de establecer
conclusiones fiables a partir de datos, los datos tienen que ser razonablemente precisa, actual, y estadísticamente significativo como muestra. En el ámbito de riesgo de la
información, la exactitud de los datos existentes tiene que ser seriamente cuestionado porque no puede normalizarse contra una taxonomía estándar (es decir, a causa de nuestros
retos de terminología, de una persona “vulnerabilidad” es “amenaza” de otra persona, etc. ). Esta ausencia de un marco taxonómico también
presenta un desafío significativo debido a la gran complejidad y variedad de nuestros paisajes de riesgo y el hecho de que los datos que tenemos hoy no incluye detalles con
respecto a los factores que contribuyen al riesgo. Por ejemplo, la encuesta anual de CSI / FBI no describe lo que existieran condiciones especí fi cos dentro de las empresas
que recibieron o no experimentan pérdida debido a la piratería. En consecuencia, no podemos saber si existen factores que contribuyen comunes en aquellas empresas que
experimentaron pérdidas, frente a los que no experimentan pérdida. Fomentar nuestro desafío, los componentes dentro de nuestro panorama de riesgos cambian con tanta
rapidez que el tiempo de vida útil de datos puede ser un problema.
La ausencia de buenos datos no nos libera de la obligación de hacer frente a riesgos de la información como una cuestión de probabilidad. Vale la pena señalar que los análisis no
son de datos accionado se han adoptado con éxito para varias aplicaciones, incluyendo el diagnóstico médico, la orientación de misiles, cohetes de control del motor, y la
comercialización y la inversión, para nombrar unos pocos.
De ser “malo”
“Predecir es muy difícil, especialmente sobre el futuro.”
(Premio Nobel y físico nuclear, Niels Bohr)
Muchas personas se sienten muy incómodos con la idea de las probabilidades de estimación, especialmente si creen que podrían ser percibidos como, y
responsables de, estar equivocado si el futuro se desarrolla de manera diferente de lo que parece que predijeron.
El análisis de riesgos es fundamentalmente trata de establecer las probabilidades, y puedo garantizar que si lo haces con la suficiente frecuencia, en algún momento del futuro se
desarrollará de una manera que deja abierta la posibilidad para que otros lo perciben que estabas equivocado. Ahora, siempre existe la posibilidad de que te has equivocado con
su análisis - somos humanos, después de todo. Pero incluso si su análisis era perfecto, el futuro es incierto. Un gran ejemplo está rodando un par de dados de seis caras.
Suponiendo que los dados y rollo no se fija de alguna manera, podemos establecer con un alto grado de confianza que hay sobre una probabilidad 2,7% de suaves ojos de
serpiente, o, en otras palabras, una vez cada treinta y seis rollos. Ahora bien, si los ojos de serpiente aparece en el primer rollo de ficción, ¿quiere decir que nuestras
probabilidades estaban equivocados? ¡No! No hay ninguna razón racional para esperar que los dados que esperar hasta el trigésimo sexto rollo para subir ojos de serpiente. La
clave a tener en cuenta es que el establecimiento de las probabilidades no es lo mismo que predecir el futuro.
Las decisiones conllevan incertidumbre
En cualquier momento nos vemos obligados a tomar una decisión, que lo hacen sin conocimiento perfecto de lo que será el resultado. Podemos estar casi seguro, pero nada
proporciona certeza absoluta de lo que depara el futuro. Esta incertidumbre introduce riesgo - es decir, el resultado de cualquier decisión puede ser indeseable.
La buena noticia es que la mayoría de los hombres de negocios y líderes son muy conscientes de que no existen garantías y que la naturaleza del negocio implica
incertidumbre y el riesgo. También entienden la noción de probabilidades y apreciar un análisis que articula riesgo en esos términos en lugar de en términos de “que podría
suceder.” La “Te puede pasar” el análisis es generalmente visto como una posición “Chicken Little” y es de poca valor a la persona tomar la decisión. Ellos necesitan
entender las probabilidades de pérdida (es decir, el riesgo) para que puedan equilibrar aquellos en contra de las probabilidades de recompensa.
Tolerancia al riesgo
Una de las preguntas que FAIR y otros métodos de análisis de riesgo nunca respuesta es si un determinado nivel de riesgo es aceptable. El análisis de riesgos sólo se
identi fi ca cómo existe mucho riesgo. Podemos dibujar líneas en tablas y establecer diversos criterios que tratan de delimitar entre lo que es aceptable y lo inaceptable,
pero, al fin y al cabo, la aceptabilidad es un tema muy humano y personal. Un tomador de decisiones siempre elige entre el riesgo y la recompensa, o entre diversos
riesgos. Eso es lo que las decisiones de riesgo son - la elección entre la probabilidad de pérdida (riesgo) y la probabilidad de recompensa. El análisis de riesgos
proporciona sólo la mitad de la información necesaria para la decisión.
Otra cosa a tener en cuenta es que la tolerancia al riesgo es única para cada individuo. Cada uno tiene diferentes niveles de tolerancia de pérdida, y nuestra tolerancia para la
pérdida varía de un tema a otro. Por ejemplo, puede haber una tolerancia muy baja para la pérdida financiera, pero estar totalmente dispuesto a tomar el paracaidismo. Como
resultado de ello, no hay que ser demasiado preocupado cuando otros tienen una perspectiva muy diferente de lo que representa un riesgo aceptable. Esas diferencias son
normales, naturales, e inevitable.
Resumen
Todo lo que hemos cubierto hasta ahora pone de relieve el hecho de que el riesgo de la información es un tema complejo, y que nuestra profesión ha sido desafiado para
hacer frente con eficacia. En este punto voy a añadir que lo justo no es una solución perfecta; no existen soluciones perfectas. FAIR, sin embargo, proporcionan una
solución racional, eficaz y defendible a los desafíos que he descrito.
Riesgo componentes del paisaje

Antes de que podamos comenzar a analizar cualquier escenario de riesgo, tenemos que comprender los componentes que conforman el paisaje. El marco de la muestra
contiene cuatro componentes principales - las amenazas, los activos, la propia organización, y el ambiente externo. Todo dentro de un escenario cae en una de estas
categorías, y cada uno tiene atributos, o factores, que contribuyen positivamente o negativamente al riesgo.
En esta sección, vamos a pasar la mayor parte de nuestro tiempo que cubre el componente de amenaza porque los análisis FAIR incluso simples confiar en el analista de tener una sólida
comprensión de los conceptos de amenaza.
amenazas
Como ya he mencionado en la sección Bald Tiro, amenazas son algo (por ejemplo, objeto, sustancia, humano, etc.) que son capaces de actuar contra un activo de una manera que puede
resultar en daño. Un tornado es una amenaza, ya que es una inundación, al igual que un hacker. La consideración clave es que las amenazas se aplican la fuerza (agua, viento, código de
explotación, etc.) en contra de un activo que puede causar un evento de pérdida que se produzca.
A medida que avanzamos a través de este documento, veremos que los factores de amenaza juegan un papel importante en nuestras probabilidades de pérdida. El reto es que no
podemos saber quién será el próximo atacante será más de lo que podemos saber si el siguiente lanzamiento de la moneda a su vez a la cabeza. Sin embargo, porque entendemos las
características fundamentales de la moneda y el sorteo, se puede predecir razonablemente que de los próximos 500 lanzamientos, aproximadamente (pero probablemente no
precisamente) 50% a su vez a la cabeza. De la misma manera, podemos de fi nir y caracterizar el panorama de las amenazas, y luego establecer probabilidades razonadas relativas a
la frecuencia y la naturaleza de los ataques.
Agentes de amenaza
Los individuos dentro de una población amenaza
Prácticamente cualquier persona y cualquier cosa puede, en las circunstancias adecuadas, ser un agente de amenaza - la, operador bien intencionado, pero inepto equipo que destroza
un trabajo por lotes todos los días escribiendo el comando erróneo, el regulador de la realización de una auditoría, o la ardilla que mastica a través un cable de datos.
Comunidades de amenaza
Los subgrupos de la población total de agente de amenaza que comparten características clave
La noción de comunidades de amenaza es una poderosa herramienta para entender quién y qué nos enfrentamos al tratar de manejar el riesgo. Por ejemplo,
considere la siguiente comunidad amenaza per fi l:
‣ El motivo: la ideología
‣ intención principal: daños / averías

‣ Patrocinio: unof fi cial
‣ características generales de destino preferidos: entidades o personas que representan claramente una ideología conflictivos
‣ características de destino específico c preferidos: alta pro fi le, alta visibilidad

‣ objetivos preferidos: humano, infraestructura (edificios, comunicaciones, energía, etc.)
‣ Capacidad: varía según el tipo de ataque (tecnológica: moderado)

‣ Personal tolerancia al riesgo: alto
‣ La preocupación por el daño colateral: baja
Un agente de amenaza de estas características podría decirse que caen en la comunidad amenaza terrorista.
La probabilidad de que su organización estaría sujeta a un ataque de la comunidad amenaza terrorista dependería en gran medida de las características de su
organización en relación con los motivos, intenciones y capacidades de los terroristas. ¿Su organización está estrechamente fi af liated con la ideología que los
conflictos con conocidos, grupos terroristas activos? ¿Su organización representa un archivo, es objetivo de alto impacto alta pro? Es su organización un blanco
fácil? ¿Cómo se compara su organización con otros objetivos potenciales? Si su organización llegara a estar bajo ataque, lo que los componentes de su organización
habría objetivos probables? Por ejemplo, ¿qué probabilidades hay de que los terroristas orientar su información o sistemas?
Las siguientes comunidades de amenazas son ejemplos del panorama de las amenazas maliciosas humana se enfrentan muchas organizaciones:
‣ Interno
- Empleados
- Contratistas (y proveedores)
- Fogonadura
‣ Externo
- Los ciberdelincuentes (hackers profesionales)
- Spies
- los hackers no profesionales
- activistas
- servicios de inteligencia estatales Nation (por ejemplo, homólogos a la CIA, etc.)
- Malware (virus / gusano / etc.) Autores
Tenga en cuenta que se puede subdividir la población amenaza adicional, o de otra manera, como se adapte a sus necesidades. Por ejemplo, en muchos análisis de riesgo
que tiene perfecto sentido para subdividir los empleados en los que se han elevado los privilegios de acceso y una mayor experiencia técnica (por ejemplo, el sistema y los
administradores de red), y los que no tienen privilegios elevados o altos niveles de experiencia (por ejemplo, , la población empleado general). Al subdividir las comunidades o
identificar nuevas comunidades, es importante tener claro lo que diferencia a las nuevas comunidades de los ya existentes.
También es importante reconocer que la pertenencia a la comunidad amenaza no es mutuamente excluyente. En otras palabras, un agente de amenaza
puede ser miembro de más de una comunidad amenaza - por ejemplo, un hacker no profesionales también podría ser un empleado o contratista. Del mismo
modo, las características de los agentes de amenaza individuales no siempre pueden alinear perfectamente con cualquier comunidad amenaza individual. En
otras palabras, las características de un agente de amenaza individual no pueden alinearse con todas las características de la comunidad terrorista. Es
posible, por ejemplo, tener un “terrorista” con una baja tolerancia al riesgo personal. Recuerde, el punto no es desarrollar una caracterización perfecta del
panorama de amenazas, ya que eso no es posible. El punto es desarrollar una comprensión razonada y más completa del panorama de amenazas.
características de la amenaza
Podemos identificar cualquier número y variedad de características de los agentes con los que amenaza a per fi l de las comunidades de amenazas. Bajo la mayoría de
circunstancias, hay relativamente pocas características signi fi cativas de verdad. Incluyendo muchas características en nuestro análisis hace que el modelo mucho más di fi culto de
usar, con relativamente poca mejora en los resultados. Este es un ejemplo de que los modelos de riesgo normalmente será el comercio de precisión para una mayor practicidad.
Hay cuatro componentes principales de nuestra taxonomía riesgo de que se quiere identificar características de los agentes de amenaza - esas características que afectan a:
‣ La frecuencia con la que la amenaza de agentes entran en contacto con nuestras organizaciones o activos
‣ La probabilidad de que la amenaza de agentes actuarán contra nuestras organizaciones o activos
‣ La probabilidad de acciones de los agentes de amenaza de tener éxito en la superación de los controles de protección
‣ La probable naturaleza (tipo y la gravedad) del impacto de nuestros activos
Es importante para nosotros comprender los factores que impulsan estas características diferenciadoras con el fin de evaluar efectivamente la probabilidad de ser
objeto de ataque y, si se somete a atacar, la probable naturaleza, objetivo y resultado del ataque. Vamos a examinar estos factores un poco más a medida que
avanzamos.
Bienes
Dentro del panorama de riesgos de la información, podemos de fi nir Activo como cualquier datos, dispositivo, o de otro componente del medio ambiente que apoya las actividades relacionadas
con la información, y que puede verse afectada de una manera que resulta en la pérdida. Activos tienen características relacionadas con el valor, la responsabilidad, y los controles de la fuerza
que representan los factores de riesgo.
Para que un activo para introducir cualquier posibilidad de pérdida, que tiene que tener una o más características que representan el valor o pasivo. Por ejemplo, la productividad de una
organización tiene que depender de un activo antes de daño a ese activo puede resultar en pérdida de productividad. De la misma manera, independientemente de la sensibilidad de un
activo, una organización tiene que tener una obligación legal de proteger el activo para el activo para representar una responsabilidad legal potencial.
Para esta introducción a FAIR, nos limitaremos nuestro valor de activos y pasivos a consideraciones:
‣ criticidad - esa característica de un activo que tiene que ver con el impacto en la productividad de una organización. Por ejemplo, el impacto de una
base de datos dañada tendría en la capacidad de la organización para generar ingresos
‣ Costo - los costes asociados a la sustitución de un activo que ha sido robado o destruido. Los ejemplos incluyen el costo de reemplazar un ordenador portátil
robado o la reconstrucción de un edificio bombardeado
‣ Sensibilidad - el impacto resultante de la información confidencial que se presenta o incorrectamente utilizado
La organización
El riesgo existe en el contexto de una organización o entidad. En otras palabras, el daño a los activos afecta a una o más de las propuestas de valor de la organización
(más sobre esto más adelante). Es la organización que pierde los recursos o la capacidad de operar. Características de la organización también pueden servir para atraer
la atención de ciertas comunidades de amenazas, que pueden aumentar la frecuencia de eventos.
El entorno externo
El entorno en el que opera una organización juega un papel significativo en el riesgo. Varias características externas, tales como el panorama de la regulación, la
competencia dentro de la industria, etc., todos ayudan a conducir la probabilidad de pérdida.
Vamos a cubrir los factores del entorno de la organización y externas con mayor detalle en el Factorización y Medición secciones.
Copyright © • 2005 Gestión de Riesgos Insight LLC Todos los derechos reservados dieciséis
Factoring riesgo
En esta sección, vamos a empezar para definir y desarrollar una taxonomía de riesgos de la información mediante la descomposición en sus componentes fundamentales. La
estructura resultante proporciona una base sólida para el análisis de riesgos y una base eficaz para explicar los resultados del análisis.
Tenga en cuenta que no vamos a entrar en detalles sobre cualquiera de los factores, ni vamos a discutir la medición de los diversos factores. Vamos a cubrir la medición en una sección
posterior.
Riesgo de descomposición
Anteriormente en este documento, que he proporcionado la siguiente definición de riesgo:
La frecuencia probable y probable magnitud de la pérdida futura
Riesgo
La frecuencia de Magnitud pérdida

eventos de pérdida probable
Figura 1
Con esto como punto de partida, los dos primeros componentes obvios de riesgo son la frecuencia y magnitud de pérdida de pérdida. En FAIR, éstos se denominan Pérdida
de frecuencia de eventos ( LEF) y Magnitud pérdida probable ( PLM), respectivamente.
Vamos a descomponer los factores que impulsan la pérdida de frecuencias primer evento, y luego examinar los factores que impulsan la pérdida de magnitud.
La frecuencia de eventos de pérdida (LEF)
La frecuencia probable, en un plazo determinado, que un agente de amenaza in fl icto daño a una
activo.
Para que un evento de pérdida que se produzca, un agente de amenaza tiene que actuar contra un activo, y que la acción tiene que resultar en la pérdida. Esto nos lleva a nuestros
siguientes dos factores: Frecuencia amenaza eventos ( TEF) y Vulnerabilidad.
Riesgo

Amenaza de frecuencia
Vulnerabilidad
de eventos
Figura 2
Tenga en cuenta que el tiempo-marco es clave para diferenciar entre la posibilidad y probabilidad, ya que, dado el tiempo suficiente, casi cualquier evento es posible. A la hora de
enmarcar nuestro análisis, estamos más o menos obligados a tratar el tema como una probabilidad.
Frecuencia amenaza eventos (TEF)
La frecuencia probable, en un plazo determinado, que un agente de amenaza actuará contra un activo.
Es probable que vea la similitud entre esta definición y la definición de la LEF. La única diferencia es que la definición para la frecuencia de eventos de amenaza
si no incluye acciones de los agentes amenaza tienen éxito. En otras palabras, la amenaza de agentes pueden actuar en contra de los activos, pero tenga éxito
en afectar el activo. Un ejemplo común sería el hacker que ataca sin éxito un servidor web. tal ataque sería considerado un evento de amenaza, pero no es un
evento de pérdida.
Esta definición también nos proporciona los dos factores que impulsan la frecuencia de eventos amenaza; Contacto y Acción. Tenga en cuenta que la acción se basa en el
contacto. Figura 3 añade estos dos factores a nuestra taxonomía.
Riesgo

Vulnerabilidad
de eventos
Contacto Acción
figura 3
Contacto
La frecuencia probable, en un plazo determinado, que un agente de amenaza entrará en contacto con
un activo.
El contacto puede ser física o “lógico” (por ejemplo, por la red). Independientemente del modo de contacto, tres tipos de contacto puede tener lugar; al azar,
regular e intencional.
‣ Aleatorio - el agente amenaza “se topa con” el activo durante el curso de la actividad fuera de foco o no dirigido
‣ Regular - el contacto se produce a causa de las acciones ordinarias del agente de amenaza. Por ejemplo, si el equipo de limpieza viene regularmente a las 5:15,
dejando dinero en la parte superior de la mesa durante ese período de tiempo prepara el escenario para el contacto
‣ Intencional - el agente amenaza busca objetivos especí fi cos
Cada uno de estos tipos de contacto es impulsado por varios factores. Debido a que esta es sólo una introducción, no vamos a entrar en los detalles en este momento. Una
analogía útil, sin embargo, es considerar un recipiente de líquido que contienen dos tipos de partículas en suspensión - partículas de amenaza y partículas de activos. La
probabilidad de contacto entre los miembros de estos dos conjuntos de partículas es impulsado por varios factores, incluyendo:
‣ Tamaño (superficie) de las partículas
‣ El número de partículas
‣ Volumen del recipiente
‣ ¿Cómo activo las partículas son
‣ La viscosidad del fluido

‣ Si las partículas son atraídas entre sí de alguna manera
‣ Etc ...
Acción
La probabilidad de que un agente de amenaza actuará contra un activo una vez que se produce el contacto.
Una vez se produce el contacto entre un agente de amenaza y un activo, la acción contra el activo puede o no puede tener lugar. Para algunos tipos de agente amenaza, la acción
tiene lugar siempre. Por ejemplo, si un tornado entra en contacto con una casa, la acción es una conclusión inevitable. Acción sólo está en cuestión cuando estamos hablando de
“pensar” la amenaza de agentes tales como los seres humanos y otros animales, y la amenaza de agentes inteligentes artificialmente como programas maliciosos (que son
extensiones de sus creadores humanos).
La probabilidad de que un acto malicioso intencional se llevará a cabo es impulsado por tres factores principales:
‣ Valor del activo - desde la perspectiva del agente de amenaza
‣ Nivel de esfuerzo - la expectativa del agente de amenaza de la cantidad de esfuerzo que se necesita para poner en peligro el activo
‣ Riesgo - la probabilidad de consecuencias negativas para el agente de amenaza - es decir, la probabilidad de ser atrapado y sufrir
consecuencias inaceptables.
Vulnerabilidad
Después de haber cubierto los factores de alto nivel que impulsan si los eventos de amenaza se llevan a cabo, ahora nuestra atención a los factores que determinan si el activo es
capaz de resistir acciones de los agentes de amenaza. La vulnerabilidad se define como:
La probabilidad de que un activo no será capaz de resistir las acciones de un agente de amenaza.
Como se recordará de la introducción, existe vulnerabilidad cuando hay una diferencia entre la fuerza aplicada por el agente de amenaza, y la capacidad de un objeto para
resistir esa fuerza. Este simple análisis nos proporciona los dos factores principales que impulsan la vulnerabilidad; Capacidad de amenaza y Control de la fuerza. La figura 4, a
continuación, añade estos factores a nuestra taxonomía.
Riesgo

Vulnerabilidad
de eventos
Fuerza de Capacidad de
Contacto Acción
Control amenaza
Figura 4
La vulnerabilidad es siempre relativa al tipo de fuerza involucrada. En otras palabras, la resistencia a la tracción de una cuerda es pertinente sólo si la fuerza de agente de amenaza
es un peso aplicado a lo largo de la longitud de la cuerda. resistencia a la tracción no se aplica generalmente a un escenario en el que el agente de amenaza es fuego, erosión
química, etc. Del mismo modo, un producto antivirus no ofrece mucho en el camino de la protección del empleado interno tratando de perpetrar un fraude. La clave, entonces, es la
evaluación de la vulnerabilidad en el contexto de especi fi c tipos de amenazas y tipos de controles.
Un punto fi nal con respecto a la vulnerabilidad - no hay tal cosa como ser más de 100% vulnerable a cualquier amenaza fi co combinación de agentes / vector de ataque
específico. La vulnerabilidad puede existir tal que el daño puede ocurrir desde más de un agente de amenaza a través de más de un vector de ataque, pero cada uno de
aquellos representa un evento de amenaza potencial diferente. Por ejemplo, si estoy caminando por la calle por la noche en una parte peligrosa de la ciudad, soy vulnerable a
múltiples eventos de amenazas potenciales, por ejemplo - de ser atropellado por un coche, ser asaltado, o ser víctima de una tiroteo. Mi vulnerabilidad a cualquiera de estos
eventos no puede superar el 100%, sin embargo, mi riesgo agregado es obviamente mayor como resultado de los múltiples escenarios de amenaza.
Capacidad de amenaza
El nivel probable de la fuerza que un agente de amenaza es capaz de aplicar contra un activo.
No todos los agentes de amenaza son iguales. De hecho, la amenaza de agentes dentro de una única comunidad amenaza no todos van a tener las mismas
capacidades. Lo que esto nos debe decir es que la probabilidad de que el agente de amenaza más capaces que actúa en contra de un activo es algo inferior al 100%.
De hecho, dependiendo de la comunidad amenaza bajo análisis y otras condiciones dentro del escenario, la probabilidad de encontrar un agente de amenaza muy
capaz puede ser remoto.
Como profesionales de la seguridad de la información que a menudo tienen dificultades con la idea de tener en cuenta la capacidad de amenaza agente como una probabilidad. Tenemos
la tendencia, en cambio, a gravitar hacia centrándose en el peor de los casos. Pero si nos fijamos bien en el tema, está claro que centrarse únicamente en peor de los casos es pensar en
términos de posibilidad en lugar de probabilidad.
Otra consideración importante es que algunos agentes de amenaza pueden ser muy pro fi ciente en la aplicación de un tipo de fuerza, y incompetente en otros. Por
ejemplo, un ingeniero de la red es probable que sea pro fi ciente en la aplicación de las formas tecnológicas de ataque, pero puede ser relativamente incapaces de ejecutar
el fraude contable compleja.
Fuerza de Control
La fuerza de un control en comparación con una medida de referencia de la fuerza.
¿Claro como el barro? Veamos un ejemplo…
calificación resistencia a la tracción de una cuerda proporciona una indicación de la cantidad de fuerza que es capaz de resistir. La medida de la línea de base (CS) para esta
calificación es libras por pulgada cuadrada (PSI), que está determinada por el diseño y la construcción de la cuerda. Esta calificación CS no cambia cuando la cuerda se pone
en uso. Independientemente de si usted tiene un peso de 10 libras en el extremo de la cuerda de 500 PSI, o un peso de 2.000 libras, el CS no cambia.
Por desgracia, el reino de riesgos de información no tiene una escala de referencia para la fuerza que es tan bien definida como la ISP. Una discusión más profunda de cómo
podemos hacer frente a esto vendrá más tarde. Por ahora, tenga en cuenta de la contraseña como un ejemplo sencillo. Se puede estimar que una contraseña de ocho
caracteres de longitud, compuesto por una mezcla de letras mayúsculas y minúsculas, números y caracteres especiales resistirá los intentos de craqueo de un porcentaje de la
población en general agente de amenaza. La fuerza de control de contraseña (CS) se puede representar como este porcentaje. (Recordemos que CS es relativa a un tipo
particular de la fuerza -. En este caso formación de grietas) vulnerabilidad se determina comparando CS en contra de la capacidad de la comunidad amenaza fi específica bajo
análisis. Por ejemplo, la contraseña CS puede estimarse en un 80%, sin embargo, la comunidad de amenaza dentro de un escenario podría ser estima que tienen capacidades
mejor que la media - digamos que en el rango de 90%. La diferencia representa la vulnerabilidad.
Claramente, la realidad es más compleja que esto, y una discusión completa de FAIR abordará esta mayor complejidad. Por ahora, vamos a mantener las cosas relativamente simple.
Magnitud pérdida probable (PLM)
La sección anterior presentó a los factores que conducen a la probabilidad de eventos de pérdida que se producen. En esta sección se describe la otra mitad de la ecuación de riesgo - los
factores que impulsan la pérdida de magnitud cuando se producen eventos.
Por desgracia, la pérdida es uno de los frutos secos más difícil de romper en el análisis de riesgo. Diversos enfoques se han intentado, con diversos grados de éxito,
pero ninguno ha conseguido un uso generalizado o aceptación. Como resultado, a menudo se excluye consideraciones de pérdida total, sólo se citan las posibilidades
peor de los casos, o tratamos de ser precisos en nuestros cálculos. Excluyendo la pérdida de un análisis significa que no estamos analizando los riesgos (por
definición, el riesgo siempre tiene un componente de pérdida). Citando posibilidades peor caso solo elimina el elemento probabilístico de nuestro análisis (por
definición, el riesgo es una cuestión de probabilidad). Tratando de ser precisa es generalmente una pérdida de tiempo debido a la complejidad inherente a la pérdida, y
debido a los tomadores de decisiones en general, sólo necesitan una idea aproximada de las probabilidades de pérdida. Su experiencia con otras formas de riesgo
(inversión, mercado, etc.
Hay una serie de razones por las que es difícil evaluar la probabilidad de pérdida, por ejemplo:
‣ Es muy dif fi cil de poner un valor preciso de los activos en riesgo

‣ Activos generalmente tienen más de una característica de valor o pasivo
‣ La pérdida puede tomar muchas formas
‣ Un solo evento puede dar lugar a más de una forma de pérdida

‣ Existen relaciones sistémicas complejas entre las diferentes formas de pérdida
‣ Hay muchos factores que determinan la magnitud de pérdida
Hacer las cosas aún más dif fi cil en el entorno de riesgos de la información es el hecho de que tenemos muy pocos buenos datos con respecto a la pérdida de magnitud. Muchas
organizaciones no realizan análisis de pérdidas cuando se producen eventos, y los que lo hacen un seguimiento de la pérdida a menudo limitan sus análisis a la 'materia fácil' (por
ejemplo, horas-hombre, reemplazo de equipo, etc.). Además, sin una taxonomía estándar que es muy difícil de normalizar los datos a través de las organizaciones.
Antes de ir más lejos, mi experiencia ha sido que la pérdida de los incidentes de seguridad de la información en general, tiene una distribución que se
ve algo como lo siguiente:
Magnitud
Figura 5
En otras palabras, hay muchos más eventos que resultan en la pérdida en el extremo inferior del espectro de magnitud que los que hay en el extremo superior del espectro. Por
ejemplo, los incidentes de virus individuales, el uso no autorizado de los sistemas para servir archivos MP3, incluso agrietamiento contraseña y la desfiguración sitio web, rara vez
resultan en la pérdida significativa. La pregunta que tenemos que hacernos es: “¿Por qué?” ¿Qué factores son responsables de esto? Es evidente que algunos de estos eventos
tienen potencial signi fi cativa de los daños, pero si comparamos la pérdida real de dos eventos similares - una en la que se produjo una pérdida mínima, y otro donde se ha
producido una pérdida sustancial - los factores que determinan la diferencia? Con el fin para nosotros hacer estimaciones razonadas de pérdida, tenemos que entender estos
factores.
Formas de Pérdida
la posible pérdida de un activo se deriva del valor que representa y / o el pasivo se introduce en una organización. Por ejemplo, la información del cliente proporciona valor
a través de su papel en la generación de ingresos para una organización comercial. Esa misma información también se puede introducir la responsabilidad a la
organización si existe una obligación legal de proteger, o si los clientes tienen la expectativa de que la información acerca de ellos será debidamente protegido.
Seis formas de pérdida se definen dentro de FAIR - la productividad, la respuesta, la sustitución, multas / fallos (F / J), la ventaja competitiva (CA), y la
reputación.
‣ Productividad - la reducción de la capacidad de una organización para generar su propuesta de valor primario (por ejemplo, ingresos, bienes, servicios,
etc.)
‣ Respuesta - los gastos asociados con la gestión de un evento de pérdida (por ejemplo, horas-persona internos o externos, los gastos logísticos, etc.)
‣ Reemplazo - el valor intrínseco de un activo. Típicamente representado como el gasto de capital asociado a la sustitución de los activos perdidos o dañados (por ejemplo, la
reconstrucción de una instalación, la compra de un ordenador portátil de reemplazo, etc.)
‣ Las multas y juicios (F / J) - acciones legales o reglamentarias impuestas en contra de una organización. Tenga en cuenta que esto incluye la fianza para los
miembros de la organización que son detenidos.
‣ ventaja competitiva (CA) - pérdidas asociadas con la disminución de la ventaja competitiva. Dentro de este marco, la pérdida de CA está
específicamente asociado a los activos que proporcionan una diferenciación competitiva entre el
organización y su competencia. En el mundo comercial, ejemplos incluirían los secretos comerciales, planes de fusión y adquisición,
etc. Fuera del mundo comercial, ejemplos incluirían secretos militares, alianzas secretas, etc.
‣ Reputación - las pérdidas asociadas a una percepción externa de que el liderazgo de una organización es incompetente, penal, o poco ético
Tenga en cuenta que la pérdida siempre se evalúa desde una sola perspectiva - típicamente la de la organización bajo análisis. Por ejemplo, aunque los clientes
podrían ser perjudicados si su información personal es robada, nuestro análisis de riesgo debería evaluar las pérdidas sufridas por la organización en lugar de
las pérdidas sufridas por los clientes.
Los factores de pérdida
Todos los factores de pérdida caen dentro de una de las siguientes cuatro categorías - activo, la amenaza, la organización y externa. Por razones que serán evidentes a medida que avanzamos,
los factores de pérdida de activos y la amenaza se denominan factores de pérdida tan primarios, mientras que los factores de pérdida de organización y externos se denominan factores de
pérdidas secundarias.
Riesgo

Pérdida primaria Factores de

factores pérdidas secundarias
Factores de pérdida Pérdida amenaza Factores de pérdida de Pérdida externa

de activos factores organización factores
Figura 6
Para que podamos hacer juicios razonados sobre la forma y magnitud de la pérdida dentro de cualquier escenario dado, tenemos que evaluar los factores dentro de los
cuatro de estas categorías. Dentro de esta introducción, nos limitaremos nuestra discusión a algunos de los factores de pérdidas más comunes y más importantes.
Factores pérdida primaria
factores de pérdida de activos
Hay dos factores de pérdida de activos que tienen que ver con - / valor de la responsabilidad, y el volumen.
Como ya he aludido anteriormente, y como veremos cuando cubramos la medición, el / valor de la responsabilidad características de un activo juegan un papel clave tanto en la naturaleza y la
magnitud de la pérdida. Podemos además de definir el valor / pasivo como:
‣ criticidad - características de un activo que tienen que ver con el impacto en la productividad de una organización. Por ejemplo, el impacto de una base
de datos dañada tendría en la capacidad de la organización para generar ingresos
‣ Costo - se refiere al valor intrínseco del activo - es decir, el coste asociado a su sustitución si se ha hecho disponible (por ejemplo, robado, destruido, etc.). Los
ejemplos incluyen el costo de reemplazar un ordenador portátil robado o la reconstrucción de un edificio bombardeado
‣ Sensibilidad - el daño que puede ocurrir a partir de la divulgación no intencional. La sensibilidad se subdivide en cuatro sub-categorías:
- Vergüenza / reputación - la información proporciona evidencia de la gestión incompetente, penal, o poco ético. Tenga en cuenta que esto se
refiere a daños a la reputación que resulta de la naturaleza de la información en sí misma, en lugar de daños a la reputación que pueden resultar
cuando un evento de pérdida tiene lugar.
- Ventaja competitiva - la información proporciona una ventaja competitiva (por ejemplo, estrategias claves, secretos comerciales, etc.). De las categorías de
sensibilidad, este es el único en el que la sensibilidad representa un valor. En todos los demás casos, la sensibilidad representa la responsabilidad.
- Legal / regulatorio - la organización está obligada por ley a proteger la información

- General - información sensible que no cae en ninguna de las categorías anteriores, pero daría lugar a algún tipo de pérdida si se
revela
Factores de pérdida
de activos
Valor Volumen
criticidad Sensibilidad Costo
Ventaja Legal /
Vergüenza General
competitiva regulatorio
Figura 7
volumen de activos simplemente reconoce que más activos en magnitud mayor pérdida igual riesgo si se produce un evento - por ejemplo, dos niños en un columpio de
cuerda contra un niño, o un registro confidencial de los clientes frente a mil.
factores de pérdida de amenaza
Dentro de este documento, nos limitaremos nuestras consideraciones de amenazas a tres factores de pérdida de - acción, competencia y si el agente de amenaza es interno
o externo a la organización.
agentes de amenaza pueden tomar una o más de las siguientes acciones en contra de un activo:
‣ Acceso - el acceso no autorizado sencillo
‣ Mal uso - el uso no autorizado de los activos (por ejemplo, el robo de identidad, la creación de un servicio de distribución de pornografía en un servidor
comprometido, etc.)
‣ Revelar - el agente de amenaza describe ilícitamente información sensible
‣ Modificar - cambios no autorizados en un activo

‣ Acceso denegado - incluye la destrucción, el robo de un activo no-datos, etc.
Es importante reconocer que cada una de estas acciones afecta a diferentes activos de manera diferente, lo que impulsa el grado y la naturaleza de la pérdida. Por ejemplo, el
potencial para la pérdida de productividad resultante de un activo destruidos o robados depende de lo crítico que es activo a la productividad de la organización. Si simplemente
se accede de forma ilícita un activo crítico, no hay ninguna pérdida directa de la productividad. Del mismo modo, la destrucción de un activo altamente sensible que no juega un
papel crítico en la productividad no se traducirá directamente en una pérdida de la productividad no puede signi fi. Sin embargo, ese mismo activo, si se revela, puede resultar en
la pérdida significativa de la ventaja competitiva o la reputación, y generar costos legales. El punto es que es la combinación del activo y el tipo de acción contra el activo que
determina la naturaleza fundamental y el grado de pérdida.
¿Qué acción (s) un agente de amenaza toma será impulsado principalmente por el motivo de que el agente (por ejemplo, aumento de fi nanciera, la venganza, la recreación, etc.) y la naturaleza
del activo. Por ejemplo, un agente de amenaza se inclinó sobre la ganancia financiera es menos probable que destruir un servidor más importante de lo que son para robar un activo fácilmente
empeñado como un ordenador portátil. Como veremos cuando cubramos la medición, es fundamental contar con una clara de fi nición de su comunidad amenaza con el fin de evaluar de
manera efectiva la pérdida de magnitud.
Competencia amenaza es similar al factor de capacidad de amenaza que contribuye a la vulnerabilidad. La diferencia es sutil pero importante. Competencia amenaza tiene que
ver con la cantidad de daño que un agente de amenaza es capaz de infligir, mientras Capacidad de amenaza tiene que ver con la capacidad del agente amenaza para ponerse
en condiciones de in fl icto daño. Un ejemplo puede ayudar a aclarar este punto. Un agente de amenaza terrorista tiene capacidades que emplearían en un intento de acceder a
los secretos nucleares. Estas capacidades desempeñan un papel en la probabilidad de que van a tener éxito en la obtención de acceso. Su capacidad de daño infligir una vez
que han adquirido los secretos (por ejemplo, construir una bomba) es, sin embargo, depende de un conjunto diferente de competencias. En FAIR, las características que
permiten a los terroristas que ponen en peligro las defensas y estar en condiciones de adquirir los secretos se llaman Capacidades amenaza. Las características que les
permitan in fl icto daño (por ejemplo, crear una bomba) se denominan Competencia Amenaza. No vamos a insistir en la competencia Amenaza en este documento. Sin
embargo, es útil reconocer que existe este factor con el fin de tener una comprensión más completa de riesgo.
Pérdida amenaza
factores
Interna frente
Competencia Acción
externo
Acceso Mal uso Revelar Modificar Acceso denegado
Figura 8
La consideración de si un agente de amenaza es externo o interno a la organización puede desempeñar un papel fundamental en cómo se produce mucha pérdida. Específicamente, los
eventos de pérdidas generadas por la amenaza de agentes internos maliciosos (incluyendo a los empleados, contratistas, etc.) por lo general no se han traducido en pérdidas signi fi cativas
de regulación o de reputación porque se reconoció que los iniciados de confianza son muy difíciles de proteger. Ya veremos en la siguiente sección que otros factores contribuyen a la
cantidad de margen de maniobra se concede a una organización de eventos de información privilegiada.
Factores de pérdidas secundarias
factores de pérdidas secundarias son aquellas características de organización y externos del entorno que influyen en la naturaleza y el grado de pérdida.
Factores de pérdida de organización
Hay muchos factores de pérdida de organización. Dentro de este documento, nos limitaremos nuestra discusión a cuatro - tiempo, debida diligencia, la respuesta y la
detección.
los sincronización de un evento puede tener un tremendo impacto en la pérdida. Por ejemplo, un evento que ocurre en medio de una gran campaña de publicidad puede crear
significativamente mayor que la pérdida de un evento similar en algún otro momento del año.
Debido diligencia puede desempeñar un papel significativo en el grado de responsabilidad de una organización se enfrenta a partir de un evento. Si las medidas preventivas razonables
no estaban en su lugar (dado el entorno de las amenazas y el valor del activo), entonces el daño a la reputación legal y puede ser mucho más grave. El reto es que 'las medidas
preventivas razonables no son universalmente de fi nido o acordados. A menudo, los estándares de la industria '' o '' mejores prácticas teóricas son considerados como directrices para la
debida diligencia. Por desgracia, estas directrices no suelen tener en cuenta el entorno de las amenazas o la magnitud de pérdida. En consecuencia, las normas de la industria y las
mejores prácticas pueden ser insu fi ciente (es decir, no es verdaderamente representativo de la debida diligencia) o demasiado conservadora (es decir, un coste prohibitivo debido al
riesgo real).
La eficacia con una organización responde a un evento puede significar la diferencia entre un evento que nadie se acuerda de un año después, y uno que se
destaca como un ejemplo (bueno o malo) en los anales de la historia. Hay tres componentes en la respuesta:
‣ Contención - tiene que ver con la capacidad de una organización para limitar la amplitud y profundidad de un evento - por ejemplo, acordonando
la red para contener la propagación de un gusano
‣ remediación - tiene que ver con la capacidad de una organización para eliminar el agente de amenaza - por ejemplo, la erradicación del gusano
‣ Recuperación - se refiere a la posibilidad de que las cosas vuelvan a la normalidad
Los tres de estos componentes de la respuesta debe existir, y el grado en que cualquiera de ellos es de fi ciente puede tener un impacto significativo en la magnitud
de pérdida.
Tenemos la tendencia a pensar en la capacidad de respuesta únicamente dentro del contexto de la criticidad - es decir, la capacidad de volver a la normalidad la productividad. Es crítico
reconocer, sin embargo, que la capacidad de respuesta también pueden afectar significativamente las pérdidas resultantes de la divulgación de información sensible. Por ejemplo, una
organización que experimenta una violación revelado públicamente de información con fi cliente confidencial en general, puede reducir significativamente sus pérdidas por ser directo en sus
admisiones, y mediante la compensación completamente partes perjudicadas. Por el contrario, una organización que niega y refleja de responsabilidad es mucho más probable que se convierta
en un paria y un poste de flagelación medios de comunicación.
Los factores de
pérdida de Organización
Sincronización Debida diligencia remediación Detección
Contención Respuesta Recuperación
Figura 9
No se puede responder a algo que no se ha detectado - es decir, la respuesta se basa en la detección. En las sesiones de entrenamiento, la
pregunta surge con frecuencia, “¿Qué pasa con aquellos acontecimientos que quizá no conozca -? Los espías corporativos, etc.” Está claro que los
incidentes tienen lugar que no aparece en el radar. Sin embargo, también es razonable creer que este tipo de eventos - si resultan en la pérdida de
material - casi siempre ser detectada con el tiempo. Por ejemplo, el daño de la información sensible ventaja competitiva que se abre paso a un
competidor se materialice y es casi seguro que ser reconocido. Fue la detección oportuna? Talvez no. Sin embargo, una vez detectada, la
organización puede todavía tener la oportunidad de responder y reducir sus pérdidas. Por ejemplo, una acción legal contra un competidor que robó
información de propiedad podría ser apropiada.
Factores de pérdida externos
factores de pérdidas externas generalmente caen en una de las siguientes cuatro categorías - el marco jurídico y normativo, el panorama de la competencia, los medios de comunicación,
y las partes interesadas externas (por ejemplo, clientes, socios, accionistas, etc.). Un par de cosas importantes para reconocer acerca de los factores externos sobre pérdidas incluyen:
‣ Estas cuatro categorías representan entidades que pueden in fl icto una forma secundaria de daño a la organización como consecuencia de un evento. En otras
palabras, los acontecimientos a menudo resultar en formas directas de la pérdida (por ejemplo, la productividad, la respuesta, la sustitución) debido a las características
de la criticidad y valor inherente de los activos. Las pérdidas secundarias también pueden ocurrir en base a la reacción externa a un evento de pérdida (por ejemplo,
sensible divulgación de información, etc.).
‣ Todos los factores dentro de estas categorías externos puede ser descrito como “reactivo a un evento”. En otras palabras, para que un factor externo a
afectar magnitud pérdida, el evento tiene que ser detectado por una entidad externa. Por ejemplo, si un empleado ejecuta el robo de identidad por el
mal uso de su acceso legítimo a la información del cliente, el cliente (s), reguladores, y los abogados pueden no en conflicto daño a la organización a
menos que el robo de identidad está ligada a la organización. Del mismo modo, si se produce un corte de la productividad, pero no se detecta por los
clientes, socios, etc., entonces la organización no ser objeto de una respuesta negativa por parte de los interesados.
Este último punto nos lleva a nuestro primer factor de pérdida externa fi - detección. Sobre la base de la premisa anterior, podemos pensar en la detección como un factor binario
que todos los demás factores externos se basan en. detección externa de un evento puede ocurrir como consecuencia de la gravedad del evento, a través de acciones
intencionales por parte del agente de amenaza, a través de la divulgación no autorizada por alguien en el interior que está familiarizado con el caso, la divulgación intencional por
parte de la organización (ya sea fuera del sentido de deber, o porque es requerido por la ley), o por accidente.
El panorama regulatorio y legal se compone sobre todo de tres partes - Reglamentos (locales, estatales, federales e internacionales), derecho
contractual, y la jurisprudencia. No soy un abogado, y no soy cali fi cado para discutir estas cuestiones en profundidad. Además, este
componente del paisaje externo está evolucionando rápidamente, y así ninguna conclusión pudiese atraer aquí podría ser obsoleta por el
momento de leer esto. Por ahora, Baste decir que las multas y sanciones pueden ser significativos para las organizaciones dentro de las
industrias reguladas. En teoría, sin embargo, fi ne y juicios son impulsados en parte por la cantidad de daño que ocurre en realidad de un evento
y el nivel de diligencia debida ejercida para evitar que se produzcan en el primer lugar. En otras palabras, si se produce un evento que
representa una infracción legal o normativo,
Las pérdidas asociadas con el panorama competitivo normalmente tienen que ver con la capacidad de la competencia para tomar ventaja de la situación. Por ejemplo, si una
organización experimenta un evento que causa sus grupos de interés a considerar la adopción de su negocio a otra parte, la capacidad de un competidor para aprovechar esa
debilidad afectará a la cantidad de la pérdida se produce.
reacción de los medios puede tener un poderoso efecto en cómo las partes interesadas, abogados, e incluso los reguladores y los competidores ver el evento. Si los medios de
comunicación opta por vilipendiar a la organización, y mantenerlo en los titulares por un período prolongado, el resultado puede ser devastador. Por el contrario, si los medios pinta la
organización como una víctima bien intencionado que actuó con la debida diligencia, pero todavía sufrió el evento a manos de un criminal, entonces el daño jurídico y reputación
puede ser minimizado. Esto es por qué las organizaciones deben tener los procesos de comunicación de crisis eficaces en su lugar.
Los interesados externos en general fl icto daño por tomar su negocio a otra parte - es decir, el apoyo a un rival. Esto sucede cuando:
‣ Han sido dañados como consecuencia directa de un incidente. La respuesta de la organización del evento es crucial para mitigar dicha exposición
‣ Perciben que sus intereses se satisfacen mejor en otro lugar (propuesta de valor de la organización se ve disminuida). Una vez más, una organización
generalmente tiene alguna oportunidad de mitigar esta exposición a través de una acción rápida y eficaz
‣ Ver la organización (o, más exactamente, su liderazgo) como incompetente, poco fiable, y / o criminal. Esto puede ser una exposición
mucho más dura para mitigar
Pérdida externa
factores
Legal y
Detección Competidores Medios de comunicación Las partes interesadas
Regulatorio
Figura 10
Como se puede ver, la naturaleza compleja de la pérdida no se presta a un análisis simple. Tenga la seguridad, no vamos a medir todos los factores discreta dentro de un escenario.
En su lugar, vamos a realizar nuestra evaluación a un nivel más alto de abstracción, pero con el beneficio de saber cuáles son los factores que contribuyen a que existen dentro de
las capas más profundas de la modelo.
controles
Debido a que nuestra profesión ha tendido a centrarse en los controles, mucha de la información en esta sección debería ser familiar para la mayoría de ustedes. Dicho
esto, hay más complejidad a los controles de lo que parece, y un informe técnico independiente se justifica con el fin de cubrir el tema a fondo. No obstante, vamos a
cubrir algunos de los conceptos de alto nivel con el fin de carne de salida del marco. Específicamente, esta sección presentará:
‣ Tres dimensiones de control:
- Formulario
- Propósito
- Categoría
‣ El ciclo de vida de control
dimensiones de control
Todos los controles se pueden caracterizar a través de tres dimensiones. Estas caracterizaciones pueden ayudarnos a entender en un control fi cios dentro del marco de
riesgo, nos permite evaluar mejor las capacidades de control, y ayuda a eliminar las brechas en el programa de gestión de riesgos de nuestra organización.
formas
Los controles tienen una de tres formas - la política, proceso o tecnología. Una cosa importante a tener en cuenta es que relativamente pocos controles están solos. Por ejemplo, un
control de la tecnología, como por ejemplo un cortafuego, tendrá políticas asociadas con la forma en que
debe ser con fi gurado y usada, y los procesos que determinan cómo se maneje. Del mismo modo, el cortafuego se puede considerar una ejemplificación de una política de control de
“menor privilegio”. En pocas palabras - controles interactúan a través de un complejo conjunto de dependencias. Mediante la comprensión de estas interdependencias sistémicas,
podemos identificar las palancas que nos permiten tener un mayor efecto con menos esfuerzo.
Propósito
fines de control se refiere a si los controles son principalmente preventiva, detective, o sensible en la naturaleza. La cali fi cador “principalmente” Es importante tener en cuenta,
ya que algunos controles pueden servir a más de un propósito - matando a más de uno de los pájaros de un tiro. El software antivirus es un ejemplo terri fi co, ya que sirve las
tres propósitos en algún grado. Esta característica de usos múltiples es importante cuando se evalúa posibles soluciones de control, como por lo general es una ventaja para
nosotros cuando esté disponible.
categorías
A diferencia de la forma y el propósito, la categoría de control dimensión puede no ser familiar para usted. Esta dimensión proporciona una taxonomía explícita para los controles, lo
que ayuda a garantizar que las brechas no existen en el entorno de los controles.
Hay tres categorías principales de control:
‣ controles de eventos de pérdida
‣ controles de eventos amenaza
‣ controles de vulnerabilidad
Prevención
Vulnerabilidad Evento Detección
Respuesta
Prevención
Prevención
Amenaza Detección
Evento pérdida
Respuesta
Detección
Respuesta
Figura 11
Cada uno de los detectives, y los controles de respuesta preventivas que estamos familiarizados, caen en una de estas categorías. Ejemplos incluyen:
‣ controles de vulnerabilidad / Prevención consistir en medidas que hacen que el compromiso más difícil. El ejemplo más común sería
la autenticación.
‣ controles de vulnerabilidad / Detección identificar las vulnerabilidades existentes. Ataque y penetración de ejercicios y análisis del sistema son
ejemplos.
‣ controles Evento / Respuesta de pérdida ayudar a reducir la magnitud de la pérdida cuando se produce un evento. procesos de recuperación de desastres y
sistemas a prueba de sobre son ejemplos de este tipo de control.
‣ Amenaza de eventos controles / Prevención principalmente se encargan de limitar la amenaza de contactos agente o acción. Un ejemplo común sería
una arquitectura multicapa de Internet DMZ.
Como he mencionado anteriormente, algunos controles desempeñan un papel en más de una categoría de control. En esta introducción a FAIR, y en el escenario de análisis de riesgos
presentado más adelante, la mayor parte de nuestra atención estará en los controles de eventos / prevención de amenazas.
Ciclo de vida de Control
Todos los controles tienen un ciclo de vida de cuatro etapas - diseño, implementación, uso / mantenimiento y eliminación. No vamos a ahondar en estas etapas en este momento, pero
hay que reconocer que la vulnerabilidad puede y suele fluctuar o aumentar con el tiempo debido a cualquiera de las dos condiciones:
‣ Los cambios que se producen en el propio control, y / o
‣ Los cambios en el panorama de las amenazas
Por ejemplo, durante el mantenimiento, un administrador de sistemas puede intencionada o inadvertidamente reducir la fuerza de control de un servidor cambiando un
parámetro del sistema. En este caso, se ha producido un cambio en el control de sí mismo. Igualmente,
vulnerabilidad se puede aumentar si una nueva capacidad se introduce en la población amenaza que potencialmente permitiría a un atacante eludir o derrotar al control (por
ejemplo, una nueva contraseña agrietamiento de la herramienta). En este caso, el panorama de las amenazas ha cambiado.
Debido a esta variabilidad, es fundamental que tenemos la capacidad de detectar y responder de manera oportuna a cualquier tipo de cambio con el fin de mantener
el nivel deseado de vulnerabilidad. La latencia entre cuando se produce un cambio, y cuando nos detectar y mitigar el cambio, a menudo representa una parte
significativa de nuestra vulnerabilidad general.
Riesgo medir
Esta sección comenzará a responder a la pregunta razonable, “¿Cómo podemos medir de manera creíble los diversos factores de riesgo?” Antes de responder a esta
pregunta, tenemos que cubrir algunos conceptos fundamentales de medición.
Teoría de medición
Subjetiva frente a las medidas objetivas
Una preocupación expresada comúnmente ha sido - “Sin datos que estamos confiando en la subjetividad!” Esto es cierto, al menos en cierto grado. Sin embargo,
la subjetividad es también una parte de cada otro método de análisis conocido por el hombre - incluso aquellos que se benefician de grandes cantidades de
datos. ¿Quién cree usted que establece los criterios para la recopilación de datos, recopila y fi ltros de los datos, procesa los datos y extrae conclusiones de los
datos? Eternamente fl impresionado, los seres humanos altamente subjetivos, lo hacen. Mis colegas actuariales señalamos a mí cuando primero les pidió que
criticar FAIR. El simple hecho es que cualquier cosa hecha por el hombre incluye intrínsecamente cierto grado de subjetividad. Por lo tanto, no es una cuestión de
si la subjetividad es complicado, porque esa es una conclusión inevitable. Es una cuestión de cuánto. Nuestro objetivo, entonces, es traer la mayor objetividad
posible en el proceso. El marco FAIR va un largo camino hacia la conducción más objetividad en un análisis,
Siempre habrá aquellos que rechazan cualquier análisis cuantitativo que no está fundada en datos empíricos. Que así sea. Eso es una guerra religiosa que se extendió durante
décadas en diversas científica, social y dominios filosóficas, y es un argumento que no va a ser ganado o perdido sobre la base de cualquier reclamación que presento. Una vez más,
el simple hecho es que no tenemos mucha buenos datos de hoy y sin embargo tenemos que tratar el riesgo de la información como una probabilidad, si esperamos a gestionar de
forma eficaz. Como resultado de ello, es
difícil argumentar en contra de cualquier marco lógico que aborda razonablemente nuestro problema y empuja el “subjetividad-
> metros objetividad”hacia la derecha, especialmente teniendo en cuenta nuestras alternativas existentes.
No hay duda, sin embargo, que los buenos datos pueden ser muy útiles en la elaboración y el apoyo a conclusiones acerca de lo que podría suceder en el futuro. Uno de
los beneficios de la feria es que la taxonomía establece una base para los criterios de recopilación de datos, proporciona un contexto para la categorización de los datos,
así como un marco para analizar los datos. En todo caso, esto debería ayudar a desarrollar nuestra profesión los datos necesarios para apoyar aún más nuestros análisis.
Cuantitativa vs. medidas cualitativas
Las discusiones sobre el análisis de riesgos a menudo vienen a la cuestión de qué es mejor análisis cualitativo o cuantitativo. Los tomadores de decisiones en general,
prefieren medidas cuantitativas si el método es creíble. Sin embargo, en ausencia de la taxonomía, las escalas de medición razonables, y un motor de cálculo que
efectivamente re fl eje las relaciones entre los factores de riesgo, un método cuantitativo no es probable que sea creíble. La decisión de utilizar medidas cuantitativas o
cualitativas debe ser impulsada por dos cosas:
‣ Las necesidades de los tomadores de decisiones que van a utilizar los resultados del análisis
‣ La credibilidad de los métodos disponibles
FAIR se puede usar para realizar análisis cualitativos o cuantitativos. La única diferencia está en las escalas de medición utilizados. En otras palabras, si se miden los
factores de riesgo utilizando una escala cualitativa como alta, media o baja, entonces el resultado será cualitativa. Nótese, sin embargo, que si las etiquetas cualitativas
en realidad se refieren a los rangos cuantitativos (por ejemplo, “ 'Alto' es mayor que diez”), entonces usted está utilizando una escala cuantitativa - aunque con una
precisión limitada. Esto no es ni bueno ni malo. Es algo a tener en cuenta.
Para aquellos que son reacios a realizar el análisis cuantitativo sin datos empíricos, recomiendo encarecidamente el uso de FAIR cualitativamente de manera que los
componentes de taxonomía y modelado de las estructuras todavía se pueden aprovechar.
¿Qué pasa con precisión?
Cada medición es, hasta cierto punto, una estimación. precisión de medición siempre será limitado por las características de la herramienta de medición o de
referencia, y por las capacidades (y la intención) del medidor.
Muchos de nosotros en la seguridad de la información fi eld provienen de tecnología e ingeniería fondos, y si le preguntas a una persona
técnicamente inclinado a medir algo, él o ella a menudo se va a querer darle una respuesta a dentro de varios puntos decimales de precisión. Por
desgracia, el riesgo no funciona de esa manera. Es poco realista creer que podemos establecer de manera creíble estimaciones precisas de la
probabilidad de algo tan complejo como riesgos de la información. Aunque la precisión sería bueno, no es necesario (ni debe esperarse) en el análisis
de riesgos. Recuerde - el análisis del riesgo no es lo mismo que predecir el futuro. Se trata de proporcionar estimaciones racionales de probabilidades
de pérdida. El mejor analizamos y entendemos nuestro tema, lo más probable es que nuestras estimaciones van a ser razonable y útil.
El error de medición y sensibilidad
Uno de los criterios clave para cualquier buen método de medición es la consistencia. En otras palabras, si tengo varios analistas evaluar el
mismo escenario, que debería obtener resultados razonablemente consistentes. Lograr esto requiere escalas de medición nidas bien de fi y
analistas bien entrenados. Aún así, un cierto grado de inconsistencia es natural, dado que la experiencia y el juicio siempre variarán, y no hay dos
seres humanos evaluará un tema complejo exactamente de la misma manera. Esto es tan cierto para FAIR como lo es para cualquier otra
actividad medición compleja. Por lo tanto, la cuestión pertinente no es si existe error o inconsistencia, pero si el grado de error o inconsistencia es
aceptable. Debido a que el análisis de riesgos no es una tarea precisa,
La medición de los factores de riesgo
En esta sección, vamos a revisar algunos de los desafíos que enfrentamos al tratar de medir los factores de riesgo de información. También voy a presentar el método de
medición simplificada que se utiliza en todo el resto de este documento. Por favor, tenga en cuenta que una sólida comprensión de los fundamentos y los factores de riesgo es
mucho más importante que el método especí fi co utilizado para medir el riesgo.
retos de medición
escalas de medición ya existen para algunos factores de riesgo - de dólares, por ejemplo, o la frecuencia de los eventos dentro de un plazo determinado. Para otros factores -
tales como la capacidad de un ser humano para comprometer un ordenador - existen escalas no establecidas. Ninguno de los dos, por lo tanto, tenemos una forma fácilmente
obvia de medir la capacidad de resistir ese tipo de fuerza. Esta di fi cultad no altera el hecho de que tenemos que ser capaces de estimar estos factores tan creíble como sea
posible.
Los párrafos siguientes describen un enfoque ed simplifica a la medición de los factores justo. El apéndice A proporciona una forma que puede ser utilizado para análisis
similares.
La medición de la frecuencia de eventos de amenaza (TEF)
Recordemos que TEF representa el número de veces que, en un plazo determinado, que esperamos una comunidad especial amenaza para actuar en contra de un activo.
Tenga en cuenta que esto es diferente de simplemente entrar en contacto con el activo. Por ejemplo, los sistemas y los ingenieros de redes / administradores pueden venir
regularmente en contacto con información confidencial durante el curso normal de su trabajo. De hecho, la propia naturaleza de su trabajo requiere que vienen continuamente
en contacto con los sistemas críticos. Afortunadamente, signi fi cativas actos no autorizados o maliciosos son relativamente raros. Es estos actos que queremos estimar.
La siguiente escala proporciona un medio sencillo para estimar la probable TEF dentro de un año. Se dará cuenta de que no es precisa, y que utiliza etiquetas
cualitativos para rangos cuantitativos (haciendo posiblemente la escala cuantitativa). No hay nada sagrado o místico acerca de cómo se desarrolló esta escala, y usted
es libre de crear su propia escala. Dicho esto, nuestra profesión se beneficiaría significativamente signi fi mediante la adopción de una escala de medida estándar. Si
decide crear su propio conjunto
de escalas, cambiar sólo si es absolutamente necesario. Cualquier cambio se crean inconsistencia entre los análisis realizados usando una
escala frente a otro, y la inconsistencia es algo que tenemos que evitar.
Clasificación Descripción
Muy Alta (VH) > 100 veces por año
Alta (H) Entre 10 y 100 veces por año
Moderado (M) Entre 1 y 10 veces al año
Baja (L) Entre 0,1 y 1 veces al año
Muy Baja (VL) <.1 veces al año (menos de una vez cada diez años)
La medición de la capacidad de amenaza (TCAP)
Para algunos tipos de amenazas, ya existen escalas de fuerza - por ejemplo; peso, calor, presión, etc. Para otros tipos de amenazas, como la capacidad de un ser humano
para comprometer un ordenador, existen escalas no establecidas. Además, debido a la capacidad se deriva de una combinación de factores imprecisos (por ejemplo, de
habilidad y recursos), no es posible para definir una medida absoluta.
En ausencia de una escala de medición absoluta, el simplifica ed enfoque razonable utiliza ratios. La idea es que la capacidad de cualquier población amenaza puede
ser descrito como una distribución. Una parte de la población amenaza será más capaz que el resto, y otra parte será menos capaz. Pensar 'curva de campana'. Es
este enfoque va a ajustar con precisión las capacidades de cualquier población dada la amenaza? No. Sin embargo, es mucho más preciso que el supuesto de que
todos los agentes de amenaza dentro de una población tienen capacidades iguales.
La siguiente escala proporciona un medio sencillo para estimar la TCAP de una comunidad amenazada. Aquellos de ustedes con un fondo estadístico puede reconocer
que los niveles H y VH son uno aproximadamente más y dos desviaciones estándar (respectivamente) de la media, y la L y los niveles de VL son uno menos y dos
desviaciones estándar. Una vez más, estamos usando etiquetas cualitativos para representar rangos cuantitativos.
Muy Alta (VH) Top 2% si se compara con la población general de amenazas
Alta (H) Top 16% si se compara con la población general de amenazas
Moderado (M) habilidad media y recursos (entre la parte inferior 16% y 16% superior)
Baja (L) Inferior al 16% cuando se compara con la población general de amenazas
Muy Baja (VL) Inferior al 2% cuando se compara con la población general de amenazas
La medición de la fuerza de control (CS)
La fuerza de cualquier control preventivo tiene que ser medida en contra de un nivel de línea base de la fuerza. Por desgracia, al igual que con TCAP, existe ninguna escala bien
establecida. La buena noticia es que podemos aprovechar la escala TCAP como referencia la línea de base.
Para utilizar esta escala, simplemente estimar la fuerza del control medido frente a una comunidad amenaza de capacidad media. Por ejemplo, si nos la estimación
de la CS de cuatro caracteres, solamente alfabético, contraseña (contra un ataque de craqueo), que probablemente le daría como 'Bajo'. Esta estimación se basa
en el hecho de que las herramientas de cracking simples son fácilmente disponibles, y que sólo los atacantes serían relativamente ineptos o no tienen acceso o no
serían capaces de usarlos.
Muy Alta (VH) Protege contra todos, pero el 2% superior de un promedio. población amenaza
Alta (H) Protege contra todo pero la parte superior 16% de un promedio. población amenaza
Moderado (M) Protege contra el agente promedio amenaza
Baja (L) Sólo protege contra la parte inferior 16% de un promedio. población amenaza
Muy Baja (VL) Sólo protege contra la parte inferior 2% de un promedio. población amenaza
La vulnerabilidad se deriva
La determinación de la vulnerabilidad es sencillo una vez que haya establecido su TCAP y CS. Recordemos de la sección de Factoring que la vulnerabilidad es la diferencia entre
la fuerza que es probable que se aplique, y la capacidad del activo para resistir esa fuerza. Uso de la matriz a continuación, simplemente hallar la TCAP a lo largo del lado
izquierdo de la matriz, y el CS a lo largo de la parte inferior. Donde se cruzan determina la vulnerabilidad.
Vulnerabilidad
VH VH VH VH H METRO
H VH VH H METRO L
TCAP METRO VH H METRO L VL
L H METRO L VL VL
VL METRO L VL VL VL
VL L METRO H VH
Fuerza de Control
Derivado de frecuencia Pérdida de eventos (LEF)
Similar a la vulnerabilidad, LEF es un valor derivado. LEF se determina por la intersección de TEF y la vulnerabilidad dentro de la matriz a continuación. Recordemos que
la vulnerabilidad es siempre un porcentaje y que no es posible ser más de 100% vulnerable. Como resultado, LEF nunca excederá TEF.
La frecuencia de eventos de pérdida
VH METRO H VH VH VH
H L METRO H H H
TEF METRO VL L METRO METRO METRO
L VL VL L L L
VL VL VL VL VL VL
VL L METRO H VH
Vulnerabilidad
La medición de la magnitud probable pérdida (PLM)
Por lo general es una pérdida de tiempo para establecer estimaciones precisas de pérdida. La mayoría de los escenarios son demasiado complejas para permitir estimaciones precisas, y que
toman las decisiones por lo general no necesitan o esperan precisión. En consecuencia, todo lo que necesitamos para proporcionar cálculos aproximados son razonables. Dentro de este
documento, utilizaremos la siguiente escala para hacer nuestras estimaciones.
Magnitud Rango Bajo Fin Rango de gama alta
Severa (SV) $ 10,000,000 --
Alta (H) $ 1.000.000 de $ 9.999.999
Signi fi cativa (Sg) $ 100.000 $ 999.999
Moderado (M) $ 10.000 $ 99,999
Baja (L) $ 1.000 $ 9,999
Muy Baja (VL) $0 $ 999
Tenga en cuenta que esta escala se 'sintonizado' para la capacidad de una organización específica de fi c para la pérdida. Organizaciones de diferentes tamaños o con fundamentalmente
diferentes (por ejemplo, la no financiera) propuestas de valor / pérdida querrán crear sus propias escalas. Por ejemplo, una empresa más pequeña puede ver una pérdida de $ 1M como grave,
y tendrá que ajustar su escala pérdidas en consecuencia.
Una palabra sobre la amenaza de agentes
Recordemos una declaración anterior que no todos los agentes de amenaza son iguales. Dentro del contexto del análisis de la pérdida de magnitud, esto significa que el mundo tiene un menor
número de asesinos en masa en ella que los peatones imprudentes - afortunadamente. En consecuencia, no podemos asumir que todos los eventos de pérdida van a involucrar a la malicia
bruto. Hay un par de maneras de hacer frente a este mientras llevamos a cabo nuestros análisis:
‣ Ser muy generales en la forma en que de fi ne la comunidad amenaza bajo análisis (por ejemplo, “empleados”), reconociendo la probabilidad de
malicia bruto dentro de esa población es baja, o
‣ Ser más específico en la forma en que definen la comunidad amenaza bajo análisis (por ejemplo, “empleados descontentos”), y reconocer que esta mayor
especificidad proporciona una mejor comprensión de los motivos (en este caso, la venganza), y una oportunidad para ser más precisos en la caracterización de sus
acciones probables (en este caso, una mucho mayor probabilidad de signi fi cativamente acciones maliciosas). Tenga en cuenta, sin embargo, que las comunidades
de amenazas con mayor propensión para la malicia bruto suelen ser mucho más pequeño, que afecta a la frecuencia de contacto.
La conclusión es que cuanto mejor entendemos la comunidad amenaza bajo análisis, más eficaz que podemos estar en la estimación de la pérdida.
La estimación de la pérdida
Otras ciencias riesgo a menudo utilizan fórmulas muy complejas para estimar las probabilidades de pérdida. Vamos a mantener nuestro proceso relativamente simple por ahora:
1) Evaluar el peor de los casos
2) Evaluar la magnitud pérdida probable
pérdida peor de los casos
A pesar de que no queremos para centrarse exclusivamente en el peor caso de pérdida, los tomadores de decisiones necesitan saber lo que el peor de los casos podría ser similar.
También es importante identificar por los que serían factores clave conducir una pérdida peor de los casos, así como la probabilidad de un resultado así.
pérdida peor de los casos se produce cuando un fi c conjunto específico de factores convergen. Debido a que cada uno de estos factores tiene menos de 100% de probabilidad de
que se produzca, la probabilidad de un resultado peor de los casos es el producto de estas probabilidades. Por ejemplo, si tres factores eran necesarias con el fin de experimentar un
resultado peor de los casos, y las probabilidades individuales para estos factores fueron 25%, 50% y 10%, entonces el peor de los casos probabilidad sería: 0,25 x 0,5 x 0,1 = 0,0125
(poco más de 1%), suponiendo que estos factores varían independientes uno de otro. Generalmente, mientras más factores necesarios para la peor de los casos, menor es la
probabilidad.
No es necesario identificar y estimar la probabilidad de que todos los factores posibles. Es sólo importante reconocer cómo los factores pocas necesita estar en la mezcla con
el fin de impulsar la probabilidad de un resultado peor de los casos a una fracción de un por ciento.
Vamos a seguir tres pasos para estimar la magnitud del peor caso:
1) Determinar la acción amenaza que daría lugar muy probablemente en el peor de los casos
2) Estimar la magnitud para cada forma pérdida asociada con esa acción amenaza
3) “Sum” los formularios pérdida de magnitudes
Por ejemplo, si nuestro escenario tratarse de información delicada, un resultado peor de los casos podría ocurrir si la información se dio a conocer al público. Hacer
referencia a los factores de pérdida que cubrimos anteriormente, se evalúa el resultado peor de los casos mediante la estimación de la magnitud para cada tipo de pérdida
asociada a la divulgación.
Formas de pérdida
acciones de amenaza Productividad reemplazo respuesta Fina / Sentencias Comp. Adv. Reputación
Acceso
Mal uso
Revelación METRO H VL H H SV
Modificación
Acceso denegado
Severa (SV) $ 10,000,000 --
Alta (H) $ 1.000.000 de $ 9.999.999
Moderado (M) $ 10.000 $ 99,999
Baja (L) $ 1.000 $ 9,999
A continuación, la “suma” las magnitudes para llegar a un resultado peor de los casos. En este caso, la medida de resultado peor de los casos es grave. Esto puede parecer como un
montón de trabajo para una estimación que podría ser capaz de llegar a intuitivamente. Hay, sin embargo, varias ventajas para este proceso:
‣ mejora la consistencia
‣ Ayuda a reducir el sesgo individuo

‣ Ayuda a asegurar que no pasar por alto algo importante
‣ Proporciona un marco para explicar cómo llegamos a nuestras conclusiones
‣ nos permite identificar los factores clave y estimar la probabilidad de un resultado peor de los casos
Si nuestro análisis de identi fi cado cuatro factores clave que se requieren con el fin de experimentar un resultado peor de los casos, se podría estimar la probabilidad de
que esos factores convergentes, y tener una mejor comprensión de la probabilidad del peor caso.
La estimación de la magnitud probable pérdida (PLM)
Hay tres pasos en nuestro proceso de evaluación PLM:
1) Identificar la acción comunitaria amenaza más probable (s)
2) Evaluar la magnitud de pérdida probable de cada forma de pérdida
3) La suma de las magnitudes
Cuando evaluamos peor de los casos, seleccionamos la acción amenaza de que era probable que resulte en la pérdida máxima. En este caso, seleccionamos la acción (s) es
más probable que tome la comunidad amenaza. En algunos casos, la acción y la amenaza peor de los casos la acción más probable será la misma. En otros escenarios que van
a ser diferentes. También puede no ser siempre capaz de precisar nuestra comunidad amenaza a una sola acción más probable. Por ejemplo, si nuestra comunidad de amenaza
se definió como “empleados contrarie”, podríamos razonablemente esperar las acciones más probable que se denegar el acceso (por ejemplo, destruir) con el fin de afectar a la
productividad, o revelación en un intento de in fl icto legal / regulatorio o de reputación dañar.
Hacer referencia a los factores de pérdida se muestran a continuación, se estima la magnitud de la pérdida probable de cada forma de pérdida asociada a la acción (s) amenaza que
hemos determinado es más probable.
Formas de pérdida
Acceso
Mal uso
Revelación
Modificación
Acceso denegado
Severa (SV) $ 10,000,000 --
Alta (H) $ 1.000.000 de $ 9.999.999
Moderado (M) $ 10.000 $ 99,999
Baja (L) $ 1.000 $ 9,999
NOTA: Incluyendo expertos en la materia a partir de la organización (por ejemplo, abogados, analistas de negocios, operaciones de tecnología, etc.) se forma significativa
generando mejorar la exactitud y la credibilidad de sus estimaciones de pérdidas.
La articulación de derivar y Riesgo
Con todo lo que hemos cubierto hasta ahora, es posible que cree que se deriva de riesgo sería difícil. Recordemos que el riesgo es simplemente la unión de la frecuencia de eventos de
pérdida (LEF) y la magnitud probable pérdida (PLM).
Riesgo

Figura 12
Una vez que hemos establecido los, tenemos riesgo. El verdadero desafío tiene que ver con la articulación de riesgo para nuestros tomadores de decisiones.
Pocos de los que toman las decisiones que conozco se sienten como si una simple etiqueta adjetivo-sustantivo (por ejemplo, de alto riesgo) proporciona suficiente información para
tomar una decisión bien informada. Hay demasiada ambigüedad. Esto es especialmente cierto si creen que poca o ninguna profundidad de análisis existe debajo de esa etiqueta.
Estos mismos ejecutivos generalmente no tolerarían una simple etiqueta de “alto riesgo” para el producto, mercado, o riesgo de inversión. riesgos de la información no debe ser
diferente.
Otro de los retos asociados con el etiquetado cualitativa simple es que hay una tendencia a equiparar “alto riesgo” con “bajo riesgo” de “inaceptable”, y con “aceptable”. El
hecho es que, en algunas circunstancias de alto riesgo es totalmente aceptable (por ejemplo, en los casos en donde el potencial de recompensa mayor que el riesgo). En
otras situaciones, una condición de riesgo relativamente bajo puede ser inaceptable, especialmente si la exposición es sistémica dentro de una organización. Incluyendo más
información específico con respecto a la LEF y PLM puede ayudar a reducir los sesgos asociados con las etiquetas de riesgo cualitativos.
La conclusión es que nuestra articulación riesgo debe satisfacer las necesidades de los tomadores de decisiones. Si se sienten a gusto con una etiqueta cualitativa sencilla, que así
sea. El reto se convierte entonces en asegurándose de que están de acuerdo con los criterios para cada nivel. La siguiente matriz contiene las etiquetas de riesgo cualitativos que
pueden o no pueden representar las tolerancias al riesgo de los tomadores de decisiones.
Riesgo
Grave H H do do do
Alto METRO H H do do
PLM Significativo METRO METRO H H do
Moderar L METRO METRO H H
Bajo L L METRO METRO METRO
Muy bajo L L METRO METRO METRO
VL L METRO H VH
LEF
Llave Nivel de riesgo
do Crítico
H Alto
METRO Medio
L Bajo
Por ejemplo, algunos tomadores de decisiones pueden sentir que una combinación de PLM LEF y alta Muy baja representa alto riesgo, en comparación con el riesgo medio
derivado anterior. Las líneas que diferencian a los niveles de riesgo pueden variar de una organización a otra.
El análisis de un escenario sencillo
Hemos cubierto mucho terreno, y puede ser difícil de sacar todos estos conceptos juntos hasta que haya tenido la oportunidad de utilizarlos. Esta sección nos lleva a través
de un simple escenario de riesgo - proporcionando una oportunidad de patear los neumáticos, así tospeak.
El escenario
Una Recursos Humanos (HR) ejecutivo dentro de un banco grande tiene su nombre de usuario y la contraseña escrita en una nota adhesiva pegada a su monitor de la computadora. Estas
credenciales de autenticación le permiten iniciar sesión en la red y acceder a las aplicaciones de recursos humanos que tiene derecho a utilizar.
Antes de empezar, piensa a sí mismo cómo te califica el nivel de riesgo dentro de este escenario basado en las evaluaciones que haya visto o hecho en el
pasado.
El analisis
El proceso simplificada que utilizaremos en este ejemplo se compone de diez pasos en cuatro etapas:
‣ Etapa 1 - Identificar los componentes de escenarios
- Identificar los activos en riesgo
- Identificar la comunidad amenaza bajo consideración
‣ Etapa 2 - Evaluar la pérdida de frecuencia de eventos (LEF)
- Estimar la frecuencia de eventos probables de amenaza (TEF)

- Estimar la capacidad de amenaza (TCAP)
- la fuerza de control de Estimación (CS)
- Deducir la vulnerabilidad (Vuln)
- Derivar Frecuencia Pérdida de eventos (LEF)
‣ Etapa 3 - Evaluar Magnitud Pérdida probable (PLM)
- Estimar la pérdida peor de los casos
- Estimar pérdida probable

‣ Etapa 4 - Derivar y Riesgo articulado
- Derivar y Riesgo articulado
(Apéndice A de este documento contiene una Guía de Evaluación de Riesgos básicos que documenta estos
pasos.)
Etapa 1 - Identificar los componentes del escenario
Identificar el elemento en Riesgo
La primera pregunta que tenemos que responder es: “¿Qué es activo en riesgo?” Otra forma de pensar acerca de esto es para determinar dónde existe valor o pasivo. Yo
normalmente me preguntan cuando presente este escenario si las credenciales son el activo, o si se trata de las aplicaciones, sistemas, y la información que proporcionan
las credenciales de acceso. La respuesta corta es “sí” - son todos los activos. En este caso, sin embargo, nos centraremos en las credenciales, reconociendo que su valor
se hereda de los activos que están destinados a proteger.
Identificar la Comunidad Amenaza
La segunda pregunta que tenemos que responder es: “El riesgo asociado con lo amenaza?” Si examinamos la naturaleza de la organización (por ejemplo, la industria que se
encuentra, etc.), y las condiciones que rodean al activo (por ejemplo, la o fi cina de un ejecutivo de recursos humanos ), podemos empezar a analizar la población global amenaza a
las comunidades que podrían aplicarse razonablemente. ¿Cuántas comunidades amenaza que elegimos para analizar, y cómo los subdividimos depende de nosotros.
Probablemente no sea un buen uso del tiempo para incluir todas las comunidades amenaza concebible en nuestro análisis. Por ejemplo, dada esta situación, es probable que no sea
la pena analizar el riesgo asociado con los servicios de inteligencia del Estado-nación como la DGSE francesa. Estamos diciendo
que no es posible que un espía Estado-nación para atacar este banco a través de esta exposición? No. Pero teniendo en cuenta la naturaleza de las comunidades de amenazas
en relación con la industria, la organización y activo, podemos llegar a conclusiones razonables sin ser víctimas de la parálisis de análisis o “probabilidades de la lotería
puntillosa”.
Dentro de este escenario, parece razonable considerar el riesgo asociado con las siguientes comunidades de amenazas:
‣ El equipo de limpieza
‣ Otros trabajadores de recursos humanos con acceso regular a los ejecutivos de la oficina, y
‣ Los visitantes de la su oficina
‣ Los huéspedes
‣ Candidatos para trabajo
‣ personal de apoyo técnico
Con la experiencia se hace más fácil determinar qué comunidades son de mérito para incluir y excluir, y si tiene sentido para combinar las comunidades
como los que caen bajo 'Visitantes'. Para este ejemplo, vamos a concentrarnos en el equipo de limpieza.
Etapa 2 - Evaluar la pérdida de frecuencia de eventos (LEF)
Estimar la frecuencia de eventos probables de amenaza (TEF)
Muchas personas exigen grandes cantidades de datos duros antes de que se sienta cómodo estimar la frecuencia de ataques. Desafortunadamente, debido a que no tenemos mucho
(si lo hay) Realmente datos útiles o creíbles para muchos escenarios, TEF es a menudo ignorado por completo. El momento en que ignore este componente de riesgo, sin embargo, ya
no estamos hablando de riesgo. Por lo tanto, en ausencia de datos concretos, ¿qué queda? Una respuesta es utilizar una escala cualitativa, tales como Baja, Media o Alta. Y, aunque no
hay nada inherentemente malo con un enfoque cualitativo en muchas circunstancias, un enfoque cuantitativo proporciona una mayor claridad y es más útil para la mayoría de los
tomadores de decisiones - incluso si es imprecisa. Por ejemplo, puedo no tener años de datos empíricos que documentan la frecuencia con la limpieza de la tripulación empleados
abusan de nombres de usuario y contraseñas en notas adhesivas, pero puedo hacer una estimación razonable dentro de un conjunto de rangos.
Como se discutió en la sección de Factoring, una estimación TEF se basa en cómo contactar con frecuencia entre esta comunidad amenaza (el equipo de limpieza) y
las credenciales que se dé y la probabilidad de que iban a actuar en contra de las credenciales. Si el equipo de limpieza viene por una vez por día de trabajo, se
produce el contacto razonablemente un par de cientos de veces al año. La probabilidad de que actuarían es impulsado por tres factores principales:
‣ El valor del activo a ellos (en base a sus motivos - ganancia financiera, venganza, etc.),
‣ ¿Qué tan vulnerable parece ser el activo

‣ Frente al riesgo de ser atrapados y sufren consecuencias inaceptables
Reconociendo que los equipos de limpieza están compuestos generalmente de gente honesta, que las credenciales de un ejecutivo de recursos humanos por lo general no se
pueden ver o se reconocen como especialmente valioso para ellos, y que el riesgo percibido asociado con el uso ilícito podrían ser altos, entonces parece razonable estimar una Bajo
TEF usando la tabla de abajo.
Clasificación • Descripción
Baja (L) • Entre 0,1 y 1 veces al año
¿Es posible que un equipo de limpieza que tiene un empleado con el motivo, suf experiencia deficiente de computación para reconocer el valor potencial de estas credenciales,
y con una tolerancia al riesgo suficientemente alto como para probar suerte en el uso ilícito? ¡Absolutamente! Cómo sucede? Indudablemente. Podría ser esa persona en el
equipo que limpia esta o fi cina? Seguro - es posible. No obstante, la frecuencia probable es relativamente baja.
Estimar la capacidad de amenaza (TCAP)
TCAP se refiere a la habilidad del agente de amenaza (conocimientos y experiencia) y los recursos (tiempo y materiales) que puede ser ejercida contra el activo. Un escenario
diferente podría proporcionar una mejor ilustración de esta etapa del análisis - algo así como una aplicación web con una debilidad de inyección SQL - pero situaciones como
que no se prestan a un documento introductorio. En este caso, todo lo que estamos hablando es de la estimación de la habilidad (en este caso, la capacidad de lectura) y los
recursos (tiempo) del miembro medio de esta comunidad amenaza puede usar en contra de una contraseña escrita en una nota adhesiva. Es razonable para calificar el TCAP
equipo de limpieza como Medio, en comparación con la población general de amenazas. Tenga en cuenta que siempre TCAP se calcula en relación con el escenario. Si nuestro
escenario era diferente, y que estaban evaluando la capacidad del equipo de limpieza para ejecutar un ataque de inyección SQL, tendríamos probablemente la tasa de ellos
menor.
Moderado (M) • habilidad media y recursos (entre la parte inferior 16% y 16% superior)
Estimar la fuerza de control (CS)
la fuerza de control tiene que ver con la capacidad de un activo para resistir compromiso. En nuestro escenario, porque las credenciales están a la vista y en
texto plano, el CS es Muy bajo. Si están escritas, pero codificadas, el CS sería diferente - probablemente mucho mayor.
Muy Baja (VL) • Sólo protege contra la parte inferior 2% de un promedio. población amenaza
La pregunta a veces aparece, “no son buenas prácticas de contratación un control para los activos internos?” Y “¿No es la cerradura de la puerta del ejecutivo de un control?”
Absolutamente, lo son. Pero estos controles factor en la frecuencia del contacto, en contraposición a la eficacia de los controles están en el punto de ataque. Vamos a cubrir
la defensa en profundidad en la documentación posterior.
Deducir la vulnerabilidad (Vuln)
Derivación de la vulnerabilidad es fácil una vez que haya establecido su TCAP y CS. Recordemos de la sección de Factoring que la vulnerabilidad es la diferencia entre la
fuerza que es probable que se aplique, y la capacidad del activo para resistir esa fuerza. Uso de la matriz a continuación, simplemente hallar la TCAP a lo largo del lado
izquierdo de la matriz, y el CS a lo largo de la parte inferior. Donde se cruzan determina la vulnerabilidad.
Vulnerabilidad
VH VH VH VH H METRO
H VH VH H METRO L
L H METRO L VL VL
VL METRO L VL VL VL
VL L METRO H VH
Fuerza de Control
Derivar Frecuencia Pérdida de eventos (LEF)
Similar a la vulnerabilidad, LEF se deriva por la intersección de TEF y la vulnerabilidad dentro de una matriz.
VH METRO H VH VH VH
H L METRO H H H
L VL VL L L L
VL VL VL VL VL VL
VL L METRO H VH
Vulnerabilidad
En nuestro escenario, dado un FET de baja y una Vuln de VH, la LEF es Bajo. Tenga en cuenta que la vulnerabilidad es un porcentaje, lo que significa que nunca
puede ser superior al 100% vulnerable. En consecuencia, LEF nunca será mayor que TEF.
Alrededor de este momento, puede comenzar a sentirse incómodos con la idea de clasificar este escenario como una “baja” cualquier cosa - incluso si está de acuerdo con la
lógica detrás del análisis. Va en contra de gran parte de lo que nos han enseñado y practicado. Las preguntas relacionadas con el riesgo agregado, y la debida diligencia
comienzan a surgir - y por una buena razón. Vamos a tocar de nuevo más adelante, pero puede estar seguro de que “baja” LEF no es necesariamente lo mismo que “no es un
problema”.
Etapa 3 - Evaluar Magnitud Pérdida probable (PLM)

El uso de los siete pasos anteriores, hemos determinado que la probabilidad de un evento de pérdida en nuestro escenario es baja (en algún lugar entre .1 y 1 veces por
año). Ahora nos enfrentamos a la pérdida de analizar si se produce un evento.
Como se mencionó anteriormente, las credenciales de usuario y contraseña heredan el valor y la responsabilidad asociada con los recursos que proporcionan acceso a. Para un ejecutivo de
recursos humanos, podemos esperar razonablemente que estas credenciales para proporcionar acceso a la información de la organización de recursos humanos (org. Gráficos, etc.), así como
la información personal y el empleo de los empleados (datos de rendimiento, datos médicos y de salud, dirección, número de seguro social, salario, etc.). En algunas organizaciones,
dependiendo de donde se encuentra el ejecutivo de recursos humanos en la jerarquía corporativa, él / ella puede también tener acceso a los datos de estrategia corporativa. Para nuestro
caso, vamos a suponer que este ejecutivo no tiene acceso a las estrategias empresariales confidenciales clave.
Estimar la pérdida peor de los casos
Dentro de este escenario, tres acciones posibles amenazas destacan por tener fi pérdida potencial significativo - el mal uso, divulgación y destrucción.
‣ Mal uso - Registros de empleados normalmente tienen información que puede ser utilizada para ejecutar el robo de identidad, que introduce pérdida
potencial legal y reputacional
‣ Revelación - Registros de empleados a menudo tienen la información personal relacionada con problemas médicos o de rendimiento, lo que introduce
riesgos legales y de reputación
‣ Denegar el acceso (destrucción) - Registros de empleados son una parte necesaria del funcionamiento de cualquier negocio. En consecuencia, su
destrucción puede introducir algún grado de pérdida de productividad.
En algunos casos es necesario evaluar la pérdida asociada a más de una acción amenaza con el fin de decidir cuál de ellos tiene el potencial de pérdida de fi cante más
significativo. Para este ejercicio, vamos a seleccionar la divulgación como nuestra acción amenaza peor de los casos.
Nuestro siguiente paso es estimar la magnitud de pérdida peor de los casos para cada forma de pérdida.
Formas de pérdida
Acceso
Mal uso
Revelación H H -- SV H SV
Modificación
Acceso denegado
Severa (SV) $ 10,000,000 --
Alta (H) $ 1.000.000 de $ 9.999.999
Moderado (M) $ 10.000 $ 99,999
Baja (L) $ 1.000 $ 9,999
Tenga en cuenta que no estimó la magnitud de pérdida para el reemplazo. Cada vez que usted está evaluando las pérdidas y una o más de las formas tiene una magnitud de la
pérdida severa (Sv), no vale la pena dar mucha importancia a las formas de pérdida que tienen una, o ninguna, de magnitud mucho menor pérdida. En este caso, reemplazo no
se aplica porque los activos no están siendo destruidas.
Nuestras estimaciones se basan en el siguiente razonamiento:
‣ Productividad
- Es concebible que las pérdidas de productividad podrían ser alta como se desvía la atención de los empleados de este evento
‣ Respuesta
- gastos legales asociados con el interior y la asesoría jurídica externa podría ser alta, sobre todo si las demandas colectivas fueron conducidos fi
‣ Multas / Sentencias
- Si la información divulgada incluye detalles relacionados con enfermedades psicológicas o de otros problemas de salud sensibles, a continuación,
juicios legales en nombre de los empleados afectados podrían ser graves, sobre todo si se vieron afectados un gran número de empleados
- Si la información incluida evidencia de actividad criminal o incompetencia por parte de la administración, a continuación, fi nes legales y
reglamentarias y las sanciones podrían ser graves
‣ Ventaja competitiva
- Si la información declarada proporcionó evidencia de la incompetencia o actividad criminal, los competidores podrían, en teoría, que aprovechar para obtener
una ventaja. En su mayor parte, sin embargo, podemos esperar que los competidores simplemente sentarse y rastrillo de cualquier clientes descontentos (caen
dentro de la pérdida de reputación)
‣ Reputación
- Si la información era lo suficientemente sensible, era debida diligencia, acciones legales seriamente ausentes eran lo suficientemente grandes, y la
respuesta de los medios fue negativo y penetrante, entonces la pérdida de reputación asociado con fl ight al cliente y valor de las acciones podrían ser
graves.
* Magnitudes varían en función del tamaño de la organización.
No vamos a documentar toda nuestra razón de ser en la mayoría de los análisis de riesgo. La mayoría de las veces nos internalizar todos pero los factores más significativos. Sin
embargo, tener una comprensión más profunda de lo que estos factores son y cómo funcionan aumenta la calidad de nuestros análisis.
Tenga en cuenta que la razón anterior se basa en lo que podría suceder. Esto pone de relieve el hecho de que analiza peor de los casos tienden a basarse en las posibilidades en
lugar de probabilidades. Con el fin de hacer que esta información significativa peor de los casos, tenemos que tener una idea de cómo resultado un peor de los casos probables es.
Un gran número de factores que afectan la probabilidad de un resultado peor de los casos. En este escenario, se seleccionaron divulgación como nuestra acción amenaza peor de
los casos, sin embargo, no hemos considerado la posibilidad de que un agente de amenaza de esta comunidad amenaza podría revelar la información intencionalmente. Otras
acciones podrían ser mucho más probable. divulgación accidental podría dar como resultado, por supuesto, si el agente amenaza cabo el robo de identidad, fue capturado, y la
información se remonta a esta organización y este evento. Una serie de 'si' - cada uno con una probabilidad de menos del 100%. Además, incluso si se ha producido la divulgación, la
organización tiene una oportunidad para mitigar la pérdida de magnitud a través de su respuesta. ¿Se coloca fuera de su camino para rectificar la situación? ¿Tiene una capacidad de
relaciones públicas eficaces y una buena relación con los medios de comunicación? Cada uno de estos factores reducen la probabilidad de un resultado peor de los casos.
En la mayoría de los casos no vale la pena gastar mucho tiempo y esfuerzo evaluar la probabilidad de un resultado peor de los casos. Pasar el tiempo suficiente para
tener una idea de cuáles son los factores clave son, y más o menos donde en el resultado continuo peor de los casos se sitúa entre casi seguro y casi imposible.
Para nuestro caso, vamos a determinar que el peor caso es grave magnitud (decenas de millones de dólares), pero con una muy baja probabilidad de ocurrencia.
Estimar la magnitud probable pérdida (PLM)
El primer paso en la estimación de PLM es determinar qué acción amenaza es más probable. Recuerda; acciones son impulsadas por motivo y el motivo más común para la acción
ilícita es la ganancia fi nanciera. Dada esta comunidad amenaza, el tipo de activo (información personal), y las acciones de amenaza disponibles, es razonable para seleccionar mal
uso como el más probable de acción - por ejemplo, para el robo de identidad.
Nuestro siguiente paso es estimar la magnitud de pérdida muy probablemente como resultado de un mal uso para cada forma de pérdida.
Formas de pérdida
Acceso
Mal uso METRO METRO VL VL VL VL
Revelación
Modificación
Acceso denegado
Severa (SV) $ 10,000,000 --
Alta (H) $ 1.000.000 de $ 9.999.999
Moderado (M) $ 10.000 $ 99,999
Baja (L) $ 1.000 $ 9,999
Nuestra razón para estas estimaciones incluyen:
‣ El impacto de la productividad será moderado ya que los empleados reaccionan al evento

‣ El coste de la respuesta al evento incluirá investigación, una cierta cantidad de tiempo de los asesores legales internos, y la disponibilidad para la
restitución de los trabajadores afectados
‣ los gastos de sustitución simplemente implican el costo de cambiar la contraseña del ejecutivo
‣ Ninguna acción legal o reglamentaria se debe a que el incidente no se toma a la corte o informó a los reguladores
‣ No hay pérdida de ventaja competitiva se produce debido a la naturaleza relativamente intrascendente del evento
‣ No hay daño a la reputación de material se produce porque era un evento interno, no hay clientes se vieron afectados, y la organización tenía un
programa de seguridad en el lugar que incluye políticas y la educación
Unos supuestos clave también desempeñaron un papel en nuestras estimaciones. Asumimos:
‣ La organización se dio cuenta del incidente. Es perfectamente posible que este tipo de evento para pasar desapercibido. Hasta detectado, no hay
pérdida de material a la organización.
‣ Relativamente pocos empleados realmente experimentaron robo de identidad.
‣ La organización respondió de manera efectiva al evento.
Etapa 4 - Derivar y Riesgo Articular
Derivar y Riesgo Articular
Ya hemos hecho la parte más difícil, ya que el riesgo se deriva simplemente de la LEF y PLM. La cuestión es si para articular riesgo cualitativamente utilizando una matriz como la de
abajo, o el riesgo articulado como LEF, PLM, y peor de los casos. Para este ejercicio, vamos a hacer ambas cosas.
Si se asume que la matriz de abajo es 'aprobado' por el liderazgo de nuestro banco ficticio, podemos informar que el riesgo asociado a esta comunidad de
amenaza se basa Medio en una LEF baja (entre 1 y .1 veces al año) y un PLM moderada ( entre $ 10K y $ 100K). Por otra parte, podemos comunicar a nuestros
tomadores de decisiones que la pérdida peor de los casos podría ser grave, pero que la probabilidad de un resultado peor de los casos es muy baja.
Riesgo
Grave H H do do do
VL L METRO H VH
LEF
do Crítico
H Alto
METRO Medio
L Bajo
En un análisis real, lo más probable es que nos gustaría evaluar e informar sobre más de una comunidad amenazada.
Una palabra de precaución: Aunque el riesgo asociado con cualquier sola exposición puede ser relativamente baja, la misma exposición existente en muchos casos a través
de una organización puede representar un riesgo agregado más alto. Bajo ciertas condiciones, el riesgo agregado puede aumentar geométricamente en lugar de lineal. Por otra
parte, los problemas de bajo riesgo, de los tipos incorrectos y en las combinaciones equivocadas, pueden crear un ambiente en un solo evento puede conectar en cascada en
un resultado catastrófico - un efecto avalancha. Es importante tener en cuenta estas consideraciones en la evaluación de riesgos y la comunicación de los resultados a los
tomadores de decisiones. Con posterioridad documentación y formación JUSTO cubrirán estos temas en detalle.
Conclusiones y próximos pasos
conclusiones
Nuestra profesión ha reconocido desde el principio que la seguridad perfecta no es posible, ni sería práctico si era posible. Nuestro propósito fundamental como profesionales es
ayudar a nuestros empresarios a gestionar la frecuencia y la magnitud de la pérdida. Desafortunadamente, los métodos y conceptos Muchos de nosotros hemos seguido durante
años no reflejar la verdadera naturaleza del riesgo y han limitado nuestra capacidad para ser eficaz. No hemos sido capaces de responder de manera creíble algunas preguntas
muy básicas:
‣ La cantidad de la gestión de riesgos es suficiente?
‣ ¿Cuánto riesgo tenemos?

‣ ¿Cuánto menos riesgo tendremos si empleamos solución de X, Y o Z?
Cada una de estas preguntas implica la capacidad de medir el riesgo. Sin embargo, sin una sólida comprensión de los conceptos fundamentales de riesgo y los factores, no
podemos empezar a medir la credibilidad ella. FAIR busca proporcionar la base necesaria a través de su taxonomía, de fi niciones, y métodos de análisis.
Como he incubó y se aplican estos conceptos y procesos para escenarios de riesgo en el mundo real donde trabajo, y como he empezado a entrenar a otros dentro
de mi organización, los resultados han sido significativos:
‣ Mucho más consistente, análisis de mayor calidad

‣ Una mayor sensación de confianza por los que realizan los análisis
‣ Una mayor sensación de confianza por los tomadores de decisiones
‣ Un significativamente mayor capacidad para administrar de manera rentable riesgo
De los que se han introducido para FAIR y han tenido la oportunidad de ver lo que solía, la mayoría son muy entusiasta en su apoyo. Es natural, sin embargo, que la
gente acepte el cambio a diferentes velocidades. Algunos de nosotros tenemos nuestras creencias muy firmemente, y puede ser difícil e incómodo para adoptar un
nuevo enfoque. En última instancia, no todos van a estar de acuerdo con los principios y métodos que subyacen FAIR. Algunos lo han llamado sin sentido. Otros
parecen sentirse amenazados por ella. Sus preocupaciones tienden a girar en torno a uno o más de los siguientes temas:
‣ La ausencia de datos concretos. No hay duda de que una gran cantidad de buenos datos sería útil. Por desgracia, eso no es nuestra
realidad actual. En consecuencia, tenemos que hallar otra manera de abordar el problema, y justo es una solución.
‣ La falta de precisión. Una vez más, la precisión es agradable cuando es posible, pero no es realista dentro de este espacio del problema. La realidad
es demasiado compleja. Considere los siguientes ejemplos:
El objetivo de la izquierda tiene un patrón de disparo relativamente precisa, pero la colocación no es exacta. El objetivo de la derecha tiene una configuración
de disparos menos precisa, pero la colocación re fl eja mucho mejor precisión. Muchos de los métodos de evaluación y mejores prácticas utilizadas hoy en día
proporcionan un grado relativamente alto de precisión, pero sólo se refieren estado de control. Por desgracia, el estado de control a menudo no vuelve con
precisión el riesgo reflejar. FAIR representa un intento de obtener una exactitud mucho mejor, al tiempo que reconoce que la naturaleza fundamental
del problema no permite un alto grado de precisión. Mi experiencia ha sido que los tomadores de decisiones prefieren claramente la precisión.
‣ Se necesita algo del misterio de la profesión. El hecho es que hay quienes prefieren ser artistas
- en algunos casos debido a que un artista no puede ser juzgada como “malo”.
‣ análisis objetivo parece ser un trabajo duro. La buena noticia es que se hace más fácil con la práctica. Después de un tiempo, nuestra rápida, “intuitivamente
guiados” fallos de riesgo se vuelven mucho más alta calidad debido a nuestra comprensión más profunda. Estamos mejor calibrado. Es también digno de mención
que incluso las aplicaciones sencillas de software prototipo FAIR hacen análisis complejos significativamente más fácil.
‣ FERIA parece complicado. No hay duda de que la mayoría de nosotros como soluciones simples cuando podemos hallar ellos. De hecho, las soluciones
simples son más eficaces que las soluciones complejas en muchos casos. Afortunadamente, podemos optar por utilizar el marco en cualquier nivel de
abstracción se adapte a nuestras necesidades. La ventaja viene de saber más acerca de los factores que existen en los niveles más bajos de abstracción, lo que
nos permite tomar mejores decisiones en los niveles más altos de abstracción.
‣ Algunas personas simplemente no les gusta el cambio - en particular el cambio tan profundo como esto representa.
No es de extrañar que algunas personas reaccionan de forma negativa, porque justo representa una perturbadora influencia dentro de nuestra profesión. Mi única petición de
aquellos que ofrecen la crítica es que también ofrecen razones racionales y alternativas. De hecho, animo a preguntas difíciles y críticas constructivas porque:
‣ Las deficiencias en el marco pueden ser identificadas ed y corregidos, o

‣ El marco puede dar una respuesta a la pregunta o la crítica, lo que refuerza su credibilidad
A dónde ir desde aquí
Este documento apenas rasca la superficie del desarrollo y la investigación que abarca cuatro años. documentación más detallada, prototipos de herramientas y análisis de
riesgos materiales de formación están siendo desarrollados de manera que el marco se puede aplicar contra los problemas complejos del mundo real que nos enfrentamos
todos los días. documentación futura cubrirá los siguientes temas:
‣ Una inmersión más profunda en los controles, las comunidades de amenazas y la pérdida de
‣ captura y análisis de datos

‣ modelado de escenarios complejos
‣ análisis de la amenaza de amplio espectro
‣ conceptos de fragilidad e inestabilidad

‣ riesgo agregado
‣ Error, el fracaso, y los actos de Dios
‣ La evaluación de riesgos a nivel de organización
‣ La integración de los conceptos de FAIR en un programa de gestión de riesgos de la organización
‣ El uso de conceptos justo para evaluar otros tipos de riesgo (por ejemplo, el riesgo de mercado, riesgo de la inversión, el riesgo legal, etc.)
Sus comentarios, preguntas e ideas son bienvenidos, y voy a responder de la manera más oportuna como lo permita la carga de trabajo. Por favor, enviar mensajes de correo electrónico a:
jonesj1@riskmanagementinsight.com
Incluir “justo” en la línea de asunto.
“... y el final de toda nuestra exploración será llegar a donde empezamos y conocer el lugar por primera vez.”
- TS Eliot
Apéndice A: Guía de Evaluación de Riesgos básico
Apéndice A: Guía de Evaluación de

Riesgos básico
NOTA: Antes de utilizar esta guía de evaluación ...
El uso de esta guía eficaz requiere una sólida comprensión de los conceptos FAIR
‣ Al igual que con cualquier método de análisis de alto nivel, los resultados pueden depender de variables que no pueden ser explicados en este nivel de abstracción
‣ La escala de magnitud pérdida descrito en esta sección se ajusta para una especificidad c tamaño de la organización y la capacidad de riesgo. Las etiquetas utilizadas
en la escala (por ejemplo, “grave”, “Bajo”, etc.) pueden necesitar ser ajustado en el análisis de las organizaciones de diferentes tamaños
‣ Este proceso es un ed simplifica, versión de introducción que puede no ser apropiado para algunos análisis
análisis FAIR básica se compone de diez pasos en cuatro etapas:
Etapa 1 - Identificar los componentes de escenarios
1. Identificar los activos en riesgo
2. Identificar la comunidad amenaza bajo consideración
Etapa 2 - Evaluar la pérdida de frecuencia de eventos (LEF)
3. Estimación de la frecuencia de las amenazas probables de eventos (TEF)
4. Estimar la capacidad de amenaza (TCAP)
5. fuerza de control Estimación (CS)
6. vulnerabilidad Derivar (Vuln)
7. Derivar Frecuencia Pérdida de eventos (LEF)
Etapa 3 - Evaluar Magnitud Pérdida probable (PLM)
8. Estimar la pérdida peor de los casos
9. Estimación de pérdida probable
Etapa 4 - Derivar y Riesgo articulado
10. Derivar y Riesgo articulado
Riesgo

Amenaza de frecuencia Pérdida primaria Factores de pérdidas

Vulnerabilidad
de eventos factores secundarias
Fuerza de Capacidad de Factores de pérdida Pérdida amenaza Factores de pérdida de Pérdida externa
Contacto Acción
Control amenaza de activos factores organización factores
Etapa 1 - Identificar los componentes del escenario
Paso 1 - Identificar el activo (s) en riesgo
Para estimar las características de control y de valor dentro de un análisis de riesgos, el analista debe primero identificar el activo (objeto) en evaluación. Si se está
realizando un análisis multinivel, será necesario que el analista para identificar y evaluar el activo primario (objeto) en situación de riesgo y todos los meta-objetos que
existen entre el principal activo y la comunidad amenaza. Esta guía está pensada para su uso en el análisis de riesgos de nivel simple, solo, y no describe los pasos
adicionales requeridos para un análisis multinivel.
Activo (s) en situación de riesgo: ______________________________________________________
Paso 2 - Identificar la Comunidad Amenaza
Con el fin de estimar la frecuencia de eventos de amenaza (TEF) y Capacidad de Amenazas (TCAP), una comunidad amenaza fi ca primero debe ser identi fi cado. Como
mínimo, al evaluar el riesgo asociado a los actos maliciosos, el analista tiene que decidir si la comunidad es la amenaza humana o malware, e interna o externa. En la
mayoría de las circunstancias, es apropiado para definir la comunidad amenaza más específicamente - por ejemplo, los ingenieros de red, equipo de limpieza, etc., y
caracterizar la naturaleza esperada de la comunidad. Este documento no incluye orientación sobre la manera de realizar de amplio espectro (es decir, comunidad
multi-amenaza) analiza.
comunidad de amenaza: ______________________________________________________
Caracterización
Etapa 2 - Evaluar la pérdida de frecuencia de eventos
Paso 3 - Amenaza frecuencia de eventos (TEF)
La frecuencia probable, en un plazo determinado, que un agente de amenaza actuará contra un activo
Factores contribuyentes: Contacto Frecuencia, Probabilidad de Acción
Baja (L) Entre 0,1 y 1 veces al año
Razón fundamental
Paso 4 - Capacidad de amenaza (TCAP)
El nivel probable de fuerza que un agente de amenaza es capaz de aplicar contra un activo
Factores contribuyentes: Habilidad, Recursos
Moderado (M) habilidad media y recursos (entre la parte inferior 16% y 16% superior)
Razón fundamental
Paso 5 - control de la fuerza (CS)
La eficacia esperada de los controles, durante un período de tiempo dado, tal como se mide contra una línea de base
nivel de fuerza
Factores contribuyentes: Fuerza, Aseguramiento
Muy Baja (VL) Sólo protege contra la parte inferior 2% de un promedio. población amenaza
Razón fundamental
Paso 6 - vulnerabilidad (Vuln)
La probabilidad de que un activo no será capaz de resistir las acciones de un agente de amenaza
TCAP (del paso 4):
CS (de la etapa 5):
Vulnerabilidad
VH VH VH VH H METRO
H VH VH H METRO L
L H METRO L VL VL
VL METRO L VL VL VL
VL L METRO H VH
Fuerza de Control
Vuln (de matriz anterior):
Paso 7 - Pérdida de frecuencia de eventos (LEF)
La frecuencia probable, en un plazo determinado, que un agente de amenaza in fl icto daño a una
activo
TEF (de la etapa 3):
Vuln (de la etapa 6):
VH METRO H VH VH VH
H L METRO H H H
L VL VL L L L
VL VL VL VL VL VL
VL L METRO H VH
Vulnerabilidad
LEF (de matriz anterior):
Etapa 3 - Evaluar Magnitud Pérdida probable
Paso 8 - Estimación de la pérdida del peor caso
Estimar la magnitud peor de los casos el uso de los tres pasos siguientes:
‣ Determinar la acción amenaza que probablemente resultaría en un resultado peor de los casos
‣ Estimar la magnitud de cada forma de pérdida asociada con esa acción amenaza
‣ “Sum” los formularios pérdida de magnitudes
Formas de pérdida
Acceso
Mal uso
Revelación
Modificación
Acceso denegado
Severa (SV) $ 10,000,000 --
Alta (H) $ 1.000.000 de $ 9.999.999
Moderado (M) $ 10.000 $ 99,999
Baja (L) $ 1.000 $ 9,999
Paso 9 - estimar pérdida probable
Estimar la magnitud probable pérdida utilizando los siguientes tres pasos:
‣ Identificar la acción comunitaria amenaza más probable (s)
‣ Evaluar la magnitud de pérdida probable de cada forma de pérdida

‣ “Sum” las magnitudes
Formas de pérdida
Acceso
Mal uso
Revelación
Modificación
Acceso denegado
Severa (SV) $ 10,000,000 --
Alta (H) $ 1.000.000 de $ 9.999.999
Moderado (M) $ 10.000 $ 99,999
Baja (L) $ 1.000 $ 9,999
Etapa 4 - Derivar y Riesgo Articular
Paso 10 - Deducir y Riesgo Articular
La frecuencia probable y probable magnitud de la pérdida futura
riesgo articulado bien analiza los decisores con al menos dos piezas clave de información:
‣ La frecuencia estimada del evento de pérdida (LEF), y

‣ La magnitud probable pérdida estimada (PLM)
Esta información puede ser transmitida a través de texto, gráficos, o ambos. En la mayoría de las circunstancias, es aconsejable que también proporcionan el potencial estimado de
pérdida de gama alta para que el tomador de decisiones es consciente de lo que el peor de los casos podría ser similar. Dependiendo del escenario, la información adicional fi
específico puede estar justificada si, por ejemplo:
‣ existe signi fi cativa la exposición debida diligencia
‣ Existen signi fi cativo de reputación, legales o reglamentarias consideraciones
Riesgo
Grave H H do do do
VL L METRO H VH
LEF
LEF (del paso 7):
PLM (de la etapa 9):
WCLM (del paso 8):
do Crítico
H Alto
METRO Medio
L Bajo
Apéndice B: Glosario
Apéndice B: Glosario
Plazo De fi nición
Acción Un acto tomada en contra de un activo por un agente de amenaza. Requiere primero que hay contacto entre el
agente activo y la amenaza.
análisis de riesgos de amplio espectro Cualquier análisis que tiene en cuenta el riesgo de múltiples comunidades de amenazas en contra de un solo
activo
Contacto Se produce cuando un agente de amenaza establece un (por ejemplo, red,) conexión física o virtual a un
activo
la fuerza de control (CS) La fuerza de un control en comparación con una medida estándar de la fuerza
evento de pérdida Se produce cuando la acción de un agente de amenaza (amenaza caso) tiene éxito en afectar negativamente a un activo
la frecuencia de eventos de pérdida (LEF) La frecuencia probable, en un plazo determinado, que un agente de amenaza será un daño fl icto sobre
un activo
análisis de riesgo de niveles múltiples Cualquier análisis que explica el riesgo de una única comunidad amenaza contra un conjunto de capas de los activos (por
ejemplo, la defensa en profundidad)
magnitud probable pérdida (PLM) La magnitud probable de la pérdida resultante de un evento de pérdida
Riesgo La frecuencia probable y probable magnitud de la pérdida futura
agente de amenaza Cualquier agente (por ejemplo, objeto, sustancia, humano, etc.) que es capaz de actuar contra un activo de
una manera que puede resultar en daño
capacidad de amenaza (TCAP) El nivel probable de fuerza que un agente de amenaza es capaz de aplicar contra un activo
comunidad de amenaza Un subconjunto de la población total de agente de amenaza que comparte características clave
evento de amenaza Se produce cuando un agente de amenaza que actúa contra un activo
frecuencia de eventos de amenaza (TEF) La frecuencia probable, en un plazo determinado, que un agente de amenaza actuará contra un activo
Vulnerabilidad La probabilidad de que un activo no será capaz de resistir las acciones de un agente de amenaza
Una introducción a la FERIA - PROYECTO
Apéndice C: Diagrama Factoring
Apéndice C: Factoring Diagrama
Riesgo

Amenaza de frecuencia Pérdida primaria Factores de pérdidas

Vulnerabilidad
de eventos factores secundarias
Fuerza de Capacidad de Factores de pérdida Pérdida amenaza Factores de pérdida de Pérdida externa
Contacto Acción
Control amenaza de activos factores organización factores
Sobre el Autor
Jack ha sido empleado en la tecnología de la información desde 1983, y se ha especializado en la gestión de seguridad de la información, consultoría y evaluación
desde 1991. Su experiencia abarca los militares, de inteligencia del gobierno, consultoría, así como las industrias de seguros y las finanzas comerciales. En 2006
Jack tuvo el honor de recibir la AISS La excelencia en el campo de la seguridad de la información Practices Award, y en 2007 fue seleccionado como finalista fi para
la Seguridad de la Información ejecutivo del año, Central de Estados Unidos. Él ha contribuido a diversas publicaciones, y es un orador codiciado para las
conferencias nacionales.

FAIR Introduction - En.es

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

FAIR Introduction - En.es

Încărcat de

Drepturi de autor:

Formate disponibile

Gestión de Riesgos Insight

Un ion Introduct a análisis factorial de

Un marco para la comprensión, análisis y medición de riesgos de la información

Jack A. Jones, CISSP, CISM, CISA

Gestión de Riesgos Insight T ( 614) 441-9601 F 1 (815) 377-1163 info@riskmanagementinsight.com http://www.riskmanagementinsight.com

El contenido de este documento, y el marco de la muestra se liberan bajo la:

Creative Commons Reconocimiento-No comercial-Compartir bajo la misma licencia 2.5

Más información sobre esta licencia se puede encontrar aquí:

Gestión de Riesgos Insight T ( 614) 441-9601 F 1 (815) 377-1163 info@riskmanagementinsight.com http://www.riskmanagementinsight.com

Calvo neumáticos Escenario 3

Riesgo y Análisis de Riesgos 8

Riesgo componentes del paisaje 13

El entorno externo dieciséis

Gestión de Riesgos Insight T ( 614) 441-9601 F 1 (815) 377-1163 info@riskmanagementinsight.com http://www.riskmanagementinsight.com

El análisis de un escenario sencillo 46

Conclusiones y próximos pasos 57

Apéndice A: Guía de Evaluación de Riesgos básico 1

Apéndice C: Factoring Diagrama 1

Nombre del informe 4

lo que no ha de fi nido ...

información se enfrentan a las ramificaciones cada día - por ejemplo:

‣ Marginación en las organizaciones a las que servimos

‣ Di fi cultades en la dirección de la organización convincente para tomar en serio las recomendaciones

‣ deficiente utilización de los recursos ine

¿Qué está cubierto ...

comprensión y aplicación de FAIR.

(factores) que, en combinación uno con el otro, el riesgo de accionamiento.

Calvo neumáticos Escenario

Ahora, identificar los siguientes componentes en el escenario. ¿Cuáles fueron los:

eficacia de nuestro mensaje.

dólares sería equivalente a las apuestas de un dólar.

específicamente más adelante, pero, simplemente dijo:

‣ El activo es el neumático desgastado

‣ La amenaza es la tierra y la fuerza de gravedad que se aplica al neumático y cuerda

contra de un activo que puede causar un evento de pérdida que se produzca.

fuerza que se aplica.

cualquiera de los otros dominios de riesgo de referencia común:

Riesgo - La frecuencia probable y probable magnitud de la pérdida futura

probabilidades se derivan de la combinación de características de amenaza, la vulnerabilidad y los activos.

realiza una auditoría)

La metáfora de Neumáticos Calvo

Poner la banda de rodadura en el neumático

responsables de las decisiones que necesitan esta información?

FERIA proporciona un marco razonada y lógica para responder a estas preguntas:

debate y para la documentación y la formación posterior.

Riesgo y Análisis de Riesgos

algunas verdades simples sobre el análisis de riesgos.

Riesgo - La frecuencia probable y probable magnitud de la pérdida futura

Propósito de modelos de riesgo

Limitaciones del análisis de riesgos

razonados sobre el tema.

Evaluación de métodos de análisis de riesgo

un método de análisis de riesgos.

mayoría de las redes y sistemas internos de las empresas no son muy

programa de seguridad, etc, pero

riesgo, todos los componentes de riesgo, deben incluirse.

decisiones, que es lógica, y que se alinea con la realidad.

Probabilidades frente a las posibilidades

de las probabilidades, en lugar de sólo las posibilidades.

rapidez que el tiempo de vida útil de datos puede ser un problema.

comercialización y la inversión, para nombrar unos pocos.

“Predecir es muy difícil, especialmente sobre el futuro.”

(Premio Nobel y físico nuclear, Niels Bohr)