Cálculos de evaluación de riesgos de seguridad informática: SLE, ALE y ARO
El riesgo es una constante
Puede que no siempre lo sepamos, pero evaluamos constantemente el riesgo en nuestra vida diaria. Podría ser algo tan simple como evitar un bache en la carretera para que no se pinche una llanta o algo importante que implique muchos riesgos, como comprar una casa nueva. Algunos riesgos pueden ser evaluados por nuestras propias experiencias u opiniones pasadas (conocido como evaluación cualitativa) y otros riesgos pueden medirse computacionalmente (conocido como evaluación cuantitativa). En esta lección, profundizaremos en algunas de las fórmulas cuantitativas que se utilizan para evaluar el riesgo.
Análisis cuantitativo de riesgos
Hay tres cálculos de evaluación de riesgos reconocidos: SLE, ALE y ARO.
Expectativa de pérdida única (SLE)
SLE nos dice qué tipo de pérdida monetaria podemos esperar si un activo se ve comprometido debido a un riesgo. El cálculo de SLE requiere el conocimiento del valor del activo (AV) y el rango de pérdida que se puede esperar si se explota un riesgo, lo que se conoce como factor de exposición (EF). EF es un porcentaje determinado por la cantidad de impacto que podemos esperar en función del riesgo, el más alto es 1 (lo que significa 100%).
En términos de fórmulas, SLE = AV ∗ EF
Veamos un ejemplo que usa esta fórmula. Cuando nos subimos a un automóvil, sabemos que existen riesgos específicos que pueden impedirnos llegar a nuestro destino, como pasar por un bache que puede impactar una llanta. Para determinar el LES de ese riesgo, usamos el valor de la llanta (alrededor de $ 100) y lo multiplicamos por las posibilidades de que el bache cause un pinchazo. Un pequeño bache puede tener una baja probabilidad de causar un pinchazo, por lo que podríamos darle un valor de EF de 0.1 o 10%. El SLE es de $ 10 ($ 100 ∗ 0.1), que es el desgaste que podemos esperar al golpear ese bache. Ahora, si vemos un bache muy grande y sabemos que golpearlo definitivamente causará un pinchazo irreparable, el EF es 1 o 100%, por lo que el SLE es $ 100 ($ 100 ∗ 1). Esto significa que perdemos el 100% del valor del neumático (SLE) y tenemos que comprar otro.
Tasa anual de ocurrencia (ARO)
ARO es simplemente la probabilidad de que un riesgo se vea comprometido. En nuestro ejemplo de baches, si pasamos por un bache grande solo una vez al año y sabemos que lo vamos a golpear cada vez, el ARO sería 1, un golpe una vez al año. Sencillo. Sin embargo, ¿qué sucede si sabemos que no golpearemos el pequeño bache cada vez? Entonces tenemos que llegar a un porcentaje de la probabilidad de que lo logremos. Digamos que aunque sabemos sobre el bache, asumimos que en realidad podemos golpearlo solo una vez cada 10 años. El ARO se calcula dividiendo 1 por 10, que es 0,1 o 10%. Por lo tanto, cada año (ARO) hay un 10% de posibilidades de que lleguemos al bache.
Expectativa de pérdida anual (ALE)
ALE es la pérdida total que podemos esperar de un riesgo en un período de un año. Es por eso que calculamos SLE y ARO cuando se trata de riesgo porque ALE = SLE ∗ ARO. En última instancia, ALE ilustra los costos de riesgo. Volvamos a nuestro escenario de baches. Calculamos que el pequeño bache tiene un SLE de $ 10. Pero, ¿qué pasa si queremos saber cuánto nos está costando el bache al año? Dado que no estamos golpeando el bache todos los años, sabemos que el bache está causando daños de menos de $ 10 por año. Entonces, tenemos que calcular el costo único de golpear el bache (SLE = $ 10) por la frecuencia con la que lo golpearemos en función de un porcentaje anual (ARO = 0.1), que llega a $ 1. Esto nos dice que, basado en porcentajes, el pequeño bache nos está costando $ 1 por año.
¿Qué nos dice esto realmente?
En lugar de un bache y una llanta de $ 100, ¿qué pasa si el riesgo es una violación de datos y los datos valen millones de dólares? Estos cálculos proporcionan una forma estadística de comprender el costo de riesgos específicos cuando se trata de un gran número. Utilizando SLE, ARO y ALE, podemos identificar cuánto le cuesta un riesgo a una empresa. El propósito de identificar estos números es proporcionar niveles de riesgo por gravedad. Un riesgo que tiene un ALE de mil dólares probablemente se verá como un riesgo mucho menor que uno que tenga un ALE de un millón de dólares. Además, dos riesgos con el mismo ALE pueden causar otros problemas a una organización, como la necesidad de que el departamento de TI actúe. Si uno de los riesgos tiene un ARO de 1 y el otro tiene un ARO de 0,1, es posible que la organización desee abordar el riesgo que ocurrirá una vez al año para que su ARO disminuya.
Resumen de la lección
- Los riesgos se pueden medir cualitativa o cuantitativamente.
- La evaluación cuantitativa de riesgos implica el uso de fórmulas para identificar:
- con qué frecuencia se producirá un riesgo
- cuál será el impacto del riesgo para un solo incidente
- cuál es el costo del riesgo (el objetivo final de la evaluación cuantitativa)
- Hay tres fórmulas estándar para la evaluación cuantitativa de riesgos:
- Expectativa de pérdida única (SLE) = Valor del activo (AV) ∗ Factor de exposición (EF)
- Tasa anual de ocurrencia (ARO) = número estimado de incidentes / período de tiempo
- Expectativa de pérdida anual (ALE) = SLE ∗ ARO
Rodrigo Ricardo
Apasionado por compartir conocimientos y ayudar a otros a aprender algo nuevo cada día.
Articulos relacionados
- ¿Cuáles son los Riesgos de Invertir en Acciones? Un Análisis Exhaustivo
- ¿Cuáles son los Riesgos del Embarazo Tardío?
- ¿Qué riesgos existen durante el embarazo en adolescentes?
- ¿Cuáles son los riesgos asociados a la minería a cielo abierto?
- Capa de Transporte del Modelo OSI: Funciones, Seguridad y Protocolo
- Resistencia Muscular y Fuerza: Evaluación y diferencias
- Seguridad de los Datos: Amenazas, soluciones y gestión
- Seguridad agrícola: consejos y estadísticas
- Problemas y soluciones de seguridad de redes inalámbricas
- Tipos de Ataques en Seguridad de Redes