--Originally published at Intervention IT
Como algunos de ustedes sabrán por mi blog con mi compañera Audray sobre las vulnerabilidades y el propósito de los frameworks, la evaluación de riesgos no es posible de realizar por una sola persona en la organización ni un proceso corto.
Es por esto que para poder llevar a cabo este proceso de manera rápida y sobretodo exitosa, se crearon las metodologías para poder evaluar los riesgos.
Estas metodologías incluyen lo que es:
- El proceso de evaluación de riesgos a utilizar. Para poder conseguir la información necesaria a analizarse.
- Un modelo de riesgos explicito, definiendo los términos, factores ha evaluar y las relaciones de estos. No se puede tener una metodología sin saber concretamente lo que se hará. Aquellos que implementan la metodología deben tener en claro las cosas a realizar para poder completar con éxito la evaluación a partir del método; o puede correrse el riesgo de que sea invalidado el esfuerzo.
- La perspectiva de la evaluación, especificando el rango y como se identifican las combinaciones de los factores. Esta parte de la metodología ayuda a reducir el trabajo y limitarlo puesto que no será necesario el buscar por completo todas las combinaciones de los factores a evaluar. Esto es importante puesto que puede llegar a existir un momento en el que los riesgos tengan un impacto demasiado pequeño y sea mejor empezar a poner en marcha la metodología en vez de volverla perfecta.
- La aproximación a usar en el análisis (enfocada a vulnerabilidades, al impacto, etc…). Esto ayuda a mantener una jerarquía y enfocar los esfuerzos aún más en aquellos riesgos que son considerados por la organización los más importantes.
Toda esta información no es al azar, debe ser determinada por la situación de cada organización y la estrategia utilizada por esta.
Y lo mejor
+Info:
https://rmf.org/images/stories/rmf_documents/sp800_30_r1.pdf
