En el marco de gestión de riesgos de COSO, ¿cuáles son las subdivisiones de la evaluación de riesgos?
Evaluación de referencia
Si las operaciones comerciales de una organización no son muy complejas y la organización no depende en gran medida del procesamiento de información y las redes, o si la mayoría de los sistemas de información de la organización utilizan información general, se En un modelo estandarizado, la evaluación de riesgos de referencia hace que sea sencillo y sencillo lograr un nivel básico de seguridad que cumpla con todos los requisitos de la organización y su entorno empresarial.
Utilizando una evaluación de riesgos de referencia, la organización lleva a cabo inspecciones de referencia de seguridad de los sistemas de información en función de su situación real (industria, entorno empresarial y naturaleza, etc.). ) (Comparar las medidas de seguridad existentes con las especificadas en la línea base de seguridad para identificar brechas) y obtener requisitos de seguridad básicos para reducir y controlar los riesgos seleccionando e implementando medidas de seguridad estándar. La llamada línea base de seguridad es un conjunto de medidas o prácticas de control de seguridad especificadas en muchos estándares y especificaciones. Estas medidas y prácticas son aplicables a todos los sistemas en entornos específicos y pueden cumplir requisitos de seguridad básicos y permitir que el sistema alcance un cierto nivel de protección de seguridad. Las organizaciones pueden seleccionar líneas de base de seguridad basadas en los siguientes recursos:
Estándares internacionales y nacionales, como BS 7799-1 e ISO 13335-4;
Estándares o recomendaciones de la industria, como el Manual de protección básica de TI de la Agencia Federal Alemana de Seguridad;
Práctica de otras organizaciones con objetivos comerciales y escala similares.
Por supuesto, las organizaciones también pueden establecer sus propias líneas de base si el entorno y los objetivos comerciales son típicos.
La evaluación de referencia tiene las ventajas de menos recursos, ciclo corto y operación simple. Para muchas organizaciones con entornos similares y necesidades de seguridad similares, una evaluación de referencia es claramente el método más rentable de evaluación de riesgos. Por supuesto, la evaluación de referencia también tiene sus inevitables deficiencias, como la dificultad de establecer un nivel de referencia. Si es demasiado alto, puede provocar un desperdicio de recursos y restricciones excesivas. Si es demasiado bajo, puede resultar difícil estar completamente seguro. Además, es difícil gestionar los cambios relacionados con la seguridad.
El objetivo de una evaluación de referencia es establecer un conjunto mínimo de contramedidas para cumplir los objetivos básicos de seguridad de la información que se pueden implementar en toda la organización. Si existen necesidades especiales, se debe realizar una evaluación más detallada del sistema específico.
Evaluación detallada
La evaluación de riesgos detallada requiere una identificación y evaluación detallada de los activos, una evaluación de las amenazas y los niveles de vulnerabilidad que pueden causar riesgos, e identificación y elección de medidas de seguridad. Este método de evaluación encarna la idea de gestión de riesgos, que consiste en identificar los riesgos de los activos y reducirlos a un nivel aceptable para demostrar que las medidas de control de seguridad tomadas por los administradores son apropiadas.
Las ventajas de la evaluación detallada son:
1. Una organización puede tener una comprensión precisa de los riesgos de seguridad de la información a través de una evaluación de riesgos detallada y definir con precisión el nivel de seguridad actual y las necesidades de seguridad de la organización;
2. Los resultados de la evaluación detallada se pueden utilizar para gestionar los cambios de seguridad. Por supuesto, la evaluación detallada de riesgos puede ser un proceso que requiere muchos recursos, incluyendo tiempo, esfuerzo y tecnología. Por lo tanto, las organizaciones deben establecer cuidadosamente el alcance de los sistemas de información que se van a evaluar y definir los límites del entorno empresarial, las operaciones y los activos de información.
Evaluación combinada
La evaluación de riesgos de referencia consume menos recursos, tiene un ciclo corto, es simple de operar, pero no es lo suficientemente precisa y es adecuada para una evaluación ambiental general. La evaluación de riesgos detallada es precisa y detallada, pero consume más recursos y es adecuada para la evaluación en áreas pequeñas con límites estrictamente definidos. Basándose en subprácticas, la mayoría de las organizaciones adoptan un método de evaluación combinado que combina los dos.
Para decidir qué método de evaluación de riesgos seleccionar, la organización primero lleva a cabo una evaluación preliminar de riesgos de alto nivel de todos los sistemas, enfocándose en el valor comercial y los posibles riesgos de los sistemas de información e identificando aquellos con alto riesgo o a sus operaciones comerciales. Estos activos o sistemas deben incluirse en el alcance de una evaluación de riesgos detallada, mientras que otros sistemas pueden seleccionar directamente medidas de seguridad a través de una evaluación de riesgos de referencia.
Este método de evaluación combina las ventajas de la evaluación inicial y la evaluación de riesgos detallada, lo que no solo ahorra los recursos consumidos por la evaluación, sino que también garantiza la exhaustividad y sistematicidad de los resultados de la evaluación. Además, los recursos y fondos de la organización se pueden utilizar donde sean más eficaces y se puede prestar atención por adelantado a los sistemas de información de alto riesgo. Por supuesto, las evaluaciones de cartera también tienen desventajas: si la evaluación inicial de riesgos de alto nivel no es lo suficientemente precisa, algunos sistemas que requieren una evaluación detallada pueden pasarse por alto, lo que en última instancia conduce a resultados inexactos.