El
riesgo es la posibilidad que suceda una
eventualidad que imposibilita el cumplimiento de un objetivo, en lo relacionado
con la informática generalmente el riesgo se plantea como amenaza determinando
el grado de posibilidad a una perdida, por ejemplo el riesgo de perder
información o datos, virus informáticos, etc. Se pueden identificar varios
elementos los cuales son: probabilidad, amenazas, vulnerabilidades, activos e
impactos.
Evaluación del Riesgo y Herramientas para Evaluar el Riesgo.
La
evaluación de riesgos consiste en definir las escalas de medición de los
riesgos para medir la probabilidad de ocurrencia de riesgos en un periodo de
tiempo y el impacto que esos riesgos pueden ocasionar deteriorando parcial o
completamente los activos impactados o los servicios que se prestan a través de
los sistemas que los soportan.
Herramientas
para la evaluación de riesgos
• Check-lists.
Se trata de una manera simple de identificar los riesgos. Esta técnica
proporciona una lista de las incertidumbres típicas a considerar. Los usuarios
se refieren a una lista previamente desarrollada, códigos o normas.
• SWIFT.
Sistema que permite al equipo identificar los riesgos, normalmente vinculado a
un análisis de riesgos y evaluación técnica.
• Análisis
de árbol de fallas. Esta técnica se inicia con un evento no deseado y
determina todas las maneras en las que podría ocurrir. Estos eventos se
muestran gráficamente en un diagrama de árbol lógico. Una vez que el árbol de
fallas se ha desarrollado, debe considerarse la posibilidad de formas de
reducir o eliminar las posibles causas/fuentes.
• Diagrama
causa-efecto. Un efecto puede tener un número de factores que se pueden
agrupar en distintas categorías. Estos factores se identifican a menudo a
través del intercambio de ideas y se muestran en una estructura de “espina de
pescado”. Permite conocer la raíz del problema y cuellos de botella en
procesos.
• Análisis
Modal de Fallos y Efectos (AMFE). Esta técnica identifica y analiza los
fallos potenciales, mecanismos y los efectos de esos fallos. Entre otros, se
utiliza para el diseño de componentes y productos, sistemas, procesos de
fabricación y montaje, servicio y software.
• Análisis
funcional de operatividad (HAZOP). Se trata de un proceso general de
identificación de riesgos para definir posibles desviaciones del rendimiento
esperado o deseado. Se utiliza para detectar situaciones de inseguridad en
plantas industriales, debido a la operación o a los procesos productivos.
• Análisis
de capas de protección (LOPA). Permite la evaluación de controles, así como
su eficacia.
El riesgo tecnológico puede identificarse en tres niveles, primero a nivel de la infraestructura tecnológica (hardware o nivel físico), segundo lugar a nivel lógico (riesgos asociados a software, sistemas de información e información) y por último los riesgos derivados del mal uso de los anteriores factores, que corresponde al factor humano como un tercer nivel.
Cómo se puede Identificar y Evaluar los Riesgos Tecnológicos
El riesgo tecnológico puede identificarse en tres niveles, primero a nivel de la infraestructura tecnológica (hardware o nivel físico), segundo lugar a nivel lógico (riesgos asociados a software, sistemas de información e información) y por último los riesgos derivados del mal uso de los anteriores factores, que corresponde al factor humano como un tercer nivel.
Para evaluar un riesgo tecnológico es importante tener en mente dos palabras: cualitativo y cuantitativo, ya que con cada una de ellas se puede hacer la evaluación y determinar los valores que proporcionen la severidad del impacto y la probabilidad de ocurrencia.
En el análisis cualitativo se considera la magnitud de las consecuencias relacionadas con el riesgo. Para el caso cuantitativo, éste está relacionado con la cantidad de ocurrencias relacionadas con el riesgo, por lo que, en cada caso, los factores de impacto vs. Probabilidad son propios de cada tipo de evaluación.
