Alion Science and Technology Website Home Button

Home Button

  Cart
Cart

Acerca del Manejo de Riesgo Empresarial

saltar menú
Próximos Pasos

El Manejo de Riesgo Empresarial (MRE) se trata de entender y administrar el impacto que las amenazas y los peligros tienen sobre sus operaciones. MRE comienza con un análisis de los activos del negocio, los procesos del negocio y el ambiente de amenaza y luego permite que use sus recursos de la forma más efectiva para minimizar las pérdidas a sus operaciones. Es un proceso general para ayudarle a obtener una mejor visión de las relaciones entre amenazas, vulnerabilidades y peligros para que desarrollar cursos de acción más inteligentes y seguros, que beneficiarán tanto a Ud. como a sus clientes. Es difícil administrar un negocio exitoso sin estar fuertemente enfocado en MRE. Después de todo, un plan de negocios no puede maximizar las ganancias sin minimizar las pérdidas.

 

Un MRE exitoso puede tomar en cuenta diferentes áreas de su empresa, incluyendo seguridad física, seguridad ocupacional y cumplimiento. Afortunadamente, estas son las áreas donde CounterMeasures.com le ofrece una solución tecnológica y más. Con CounterMeasures® software de manejo de riesgo empresarial basado en la red, Ud. puede ocuparse de su negocio y su presupuesto al mismo tiempo que instala y usa la solución de manejo de riesgo empresarial que lidera en el mundo.

 

Con las soluciones MRE de CounterMeasures.com, Ud. racionalizará y automatizará los procesos de analizar y reportar, lo cual le permite dar a todos en su empresa una visión gerencial de su perfil de riesgo de la empresa en general. Luego, Counter<span class="redText">M</span>easures les da un análisis más profundo y una visión de las posibles acciones de remediación para que todo el personal esté enfocado en obtener nuevos clientes, manteniendo felices a los que ya tiene.

 

¿Qué es Riesgo?

 

Riesgo es el potencial de daño o pérdida de un activo. Para cada organización, riesgo es el "¿Qué pasa si?" de por qué cualquier evento potencial no deseado debe ser atendido, o la manera de determinar si el evento no es verdaderamente una preocupación para la organización.

 

El nivel de riesgo es la combinación de dos factores:

  • Impacto de la pérdida – El valor puesto en ese activo por su dueño y la consecuencia de un evento no deseado en el activo.
  • Probabilidad de un evento no deseado – La probabilidad de que una vulnerabilidad específica sea explotada por una amenaza particular.

El riesgo sólo ocurre cuando hay una relación de adversidad entre amenazas y vulnerabilidades. Sin uno o el otro, Ud. no estaría en riesgo.

 

Ejemplo: Si Ud. no vuela, no corre el riesgo de un secuestro aéreo. Algunas personas hoy en día no sienten que valga el riesgo, por lo tanto eliminan el riesgo quitando la vulnerabilidad. La amenaza aún existe pero no habrá impacto si Ud. no está a bordo de un avión cuando ocurra.

La pérdida es la forma como uno mide el riesgo.

Una expectativa de pérdida calcula la pérdida esperada debida al impacto de las amenazas en las vulnerabilidades de un activo. Las dos maneras de definir la expectativa de pérdida son:

  • Expectativa de Pérdida Individual (SLE) es la esperanza de pérdida de los activos debida a una sola instancia de una amenaza explotando exitosamente la vulnerabilidad de un activo. En términos matemáticos, es el valor del activo multiplicado por el nivel de vulnerabilidad del sistema y el valor de armonía de la amenaza.
  • Expectativa de Pérdida Anual (ALE) es la esperanza de pérdida de un activo a lo largo de un año. En términos matemáticos se calcula multiplicando la EPI de un activo por un multiplicador de amenaza, el cual es una expresión numérica de que tan probable es que una amenaza explote exitosamente la vulnerabilidad de un activo durante un periodo de tiempo en particular.

Learn how risk is calculated.

 

¿Qué es Impacto?

 

Impacto es la cantidad de pérdida o daño que puede ser esperado, tal y como pueda ser influenciado por el tiempo u otros factores.

  • Amenazas Manifestadas + Vulnerabilidad a esas amenazas = Impacto en los Activos

Counter<span class="redText">M</span>easures ve a la pérdida como una o más categorías para propósitos administrativos. Destrucción y negación del servicio se aplican tanto a la seguridad física como a la seguridad informática. Divulgación y desconfianza generalmente sólo se aplican al área de seguridad informática.

 

Además, la pérdida puede ser calculada en 4 diferentes categorías de impacto.

  • Destrucción (pérdida completa)
  • Negación del servicio (no disponible)
  • Divulgación (confidencialidad perdida)
  • Desconfianza (disponible pero cuestionable)

 

¿Qué es un Activo?

 

Un activo es cualquier cosa de valor o que vale la pena proteger. Esto no sólo significa ítems físicos. En muchas organizaciones, los activos incluyen ítems intangibles tales como datos, reputación, buena voluntad, confianza y moral. El activo puede tener valor para un adversario, así como para el dueño, a pesar de que los valores difieran.

  • Los activos son de amplio alcance y pueden incluir:
    • Equipo
    • Información exclusiva
    • Instalaciones
    • Procesos
    • Operaciones
    • Personal
    • Secretos comerciales
    • Cualquier cosa considerada valiosa por el adversario

 

¿Qué es Vulnerabilidad?

 

Vulnerabilidades son las debilidades del sistema que pueden ser explotadas por un adversario para ganar acceso a un activo. Si no tuviéramos vulnerabilidades, no estaríamos preocupados acerca de amenazas o postura de seguridad.

  • Las vulnerabilidades incluyen susceptibilidad a:
    • Acceso no autorizado
    • Peligros naturales
    • Poder inestable
    • Actividad terrorista
    • Incendio
    • Robo
    • Recolección de inteligencia

Podemos calcular las vulnerabilidades. El cálculo se basa en que contramedidas están "en el sitio". Al decir "en el sitio" nos referimos a que están implementadas actualmente, no planeadas o proyectadas, que están ahí y funcionando.

 

Nuestro deseo es un nivel aceptable. Nunca se puede obtener cero vulnerabilidades simplemente porque todas las contramedidas tienen sus propias vulnerabilidades. Por ejemplo, usamos contraseñas por seguridad, pero minamos esa seguridad al escribir contraseñas obvias, al no cambiar las contraseñas o al dejar que otros observen mientras escribimos.

 

Hay cualquier cantidad de vulnerabilidades con cada contramedida. El objetivo es minimizar el impacto de la amenaza y bajar las vulnerabilidades hasta un nivel de riesgo que sea aceptable.

 

¿Cómo se Calcula el Riesgo Usando ConterMeasures?

 

En años recientes, se ha vuelto ampliamente aceptado que la manera más convincente de calcular el riesgo es usar la fórmula: I x (A x V) = R, donde I es impacto en los activos, A es amenaza y V es la vulnerabilidad de esos activos a varias amenazas. La mayoría de las metodologías de análisis de riesgos se apartan considerablemente luego de este punto, porque muchas de ellas dependen en gran medida de las observaciones o el conocimiento subjetivo del analista, los cuales pueden variar considerablemente.

 

Los productos y servicios de software de análisis de riesgos Counter<span class="redText">M</span>easures dan un proceso respetado, altamente estandarizado y objetivo para medir cada parte del cálculo cuantitativamente. Las fórmulas usadas en Counter<span class="redText">M</span>easures se originaron en el Departamento de Defensa de los Estados Unidos y fueron alineadas con el estándar del Instituto Nacional de Estándares y Tecnología aprobado para el cálculo del riesgo en el año 2000. Desde entonces, los cálculos de riesgo han sido revisados y aprobados por el Comando Stratégico (STRATCOM) para que sean usados en todas las agencias del Departamento de Defensa. La metodología fue revisada por la dirección de Programas Nacionales de Protección del Departamento de Seguridad Interna y es aprobada para análisis de riesgos de infraestructura comercial. La Dirección de Ciencia y Tecnología del Departamento de Seguridad Interna ha revisado y aprobado la metodología y cálculos para análisis de riesgo estatales y municipales.

 

El riesgo es una combinación de vulnerabilidad y amenazas. Para cada par amenaza/vulnerabilidad, la fórmula usada para calcular el riesgo (pérdida de activos) en Counter<span class="redText">M</span>easures es la siguiente:

 

Pérdida de Activos = THV * VULLEVEL * ACCOST

Donde,

THV = Valor de Armonía de Amenaza (25 a 100%). Mientras más alto el porcentaje, mayor el impacto de la amenaza sobre el área de vulnerabilidad con la cual está emparejada.

VULLEVEL = Nivel de Vulnerabilidad (11 a 100%). Mientras más alto el porcentaje, mayor el impacto de la amenaza sobre los activos.

ACCOST = Costo de Categoría de Activo. El cálculo usa el valor medio de un rango de costo para una categoría de activos.

 

¿Qué es Análisis de Riesgos?

 

Es el proceso de evaluar amenazas a y vulnerabilidades de un activo para dar una opinión experta sobre la probabilidad de pérdida o daño y su impacto. El análisis establece la base para recomendaciones de contramedidas.

 

El "análisis de riesgo" es un proceso analítico diseñado para una comprensión de las vulnerabilidades y cómo las amenazas potenciales pueden explotar esas vulnerabilidades. El análisis cuantifica las vulnerabilidades, el riesgo y la pérdida, presentando una representación objetiva de la postura de seguridad de un sistema. El proceso incluye la cuantificación de las probabilidades y las consecuencias esperadas para los riesgos identificados.

 

El análisis de riesgos es un proceso continuo. Los entornos de amenazas y las contramedidas cambian constantemente. Cualquier análisis de riesgo debe ser constantemente actualizado para reflejar el entorno cambiante.

 

Una cantidad considerable de inteligencia debe ser incorporada a cualquier programa de análisis para asegurar que este tenga la habilidad de determinar que contramedidas, vulnerabilidades, amenazas y categorías de activo se aplican a la entidad analizada. Un buen programa de análisis puede determinar automáticamente las reglas y regulaciones aplicables y las contramedidas asociadas.

¿Cómo se USA CounterMeasures Para Llevar a Cabo Evaluaciones y Análisis de Riesgos?

 

El enfoque técnico de Alion al análisis de riesgo se basa en un proceso bien definido, probado y estandarizado. Hemos podido hacer a los análisis de riesgo una fuente de datos sostenibles y fiables que pueden ser usados por la organización para mitigar y manejar el riesgo basándose en información real y oportuna. Logramos esto identificando y estandarizando los pasos críticos definidos por la metodología de análisis, para identificar las áreas y procesos más importantes, determinando como incluir los datos en el cálculo Amenaza x Vulnerabilidad x Consecuencia = Riesgo (A x V x C = R) y produciendo información que identifica claramente el riesgo y los medios para mitigarlo o reducirlo.

 

El proceso de Análisis de Riesgos de CounterMeasures tiene 7 pasos distintivos para completar un análisis de riesgo.

7 Steps Figure

Cualquier persona, que haya conducido análisis de riesgos anteriormente, a lo mejor manualmente, notará que el proceso no es tan diferente de lo que ya conoce. Es el software que ayuda a completar la tarea, de manera relativamente fácil, y con confianza en el resultado.

 

Más información sobre CounterMeasures.

 

Copyright © Alion Science and Technology Corporation ׀ Privacy Policy ׀ Legal Notice ׀ Section 508 Notice
Volver al Comienzo