Skip to main content

Análisis de riesgo

Escrito por Ginzo Technologies en . Publicado en Blog.

En casi cualquier ámbito o disciplina es posible emplear un análisis de riesgo de seguridad. Esta técnica también conocida como PHA (Por sus siglas en inglés) consiste en evaluar las posibles consecuencias de determinada acción. De esta manera se puede considerar el alcance de las amenazas y su relación con los beneficios obtenibles.

Con este propósito la evaluación de riesgo busca predecir de cierta forma cualquier repercusión. Adaptándola a unidades compatibles con las potenciales ganancias para su posterior comparación. Usando esta herramienta se miden tanto los peligros inmediatos como los futuros.

Tipos de análisis de riesgo

Esta práctica puede tener diferentes enfoques o maneras para identificar los riesgos. Por esto surgen variados tipos de análisis de riesgo, de los cuales se destacan solo 2. Aunque ambos tengan el mismo objetivo, consideran aspectos distintos, arrojando resultados dispares. Cada uno se utiliza con mayor frecuencia en ciertos ámbitos en función de qué se espere observar.

Análisis determinista (Cualitativo)

Este método suele ser el más simple de entender e incluso puede ser implementado inconscientemente en la vida diaria. Para él se evalúan 3 posibles escenarios: el mejor, el peor y el más probable.  En el primero se consideran los máximos beneficios mientras que en el segundo las mayores pérdidas.  Para el más probable se evalúa el nivel intermedio entre las circunstancias hipotéticas anteriores.

Con este análisis de riesgos de un proyecto los posibles acontecimientos se tienen en cuenta por igual. Definiendo de una forma muy simple cuáles son los probables resultados de una determinada acción. Aunque esto presenta un problema, ya que se toman en cuenta muy pocas variantes. Ignorando cualquiera de los cientos de matices que pudieran encontrarse entre las 2 vertientes principales.

Análisis de Monte Carlo (Cuantitativo)

También conocido como análisis estocásticos, es una evaluación de probabilidades. Consiste en hacer uso de la “Simulación de Monte Carlo”, un modelo que busca cuantificar valores inciertos.  Para ello se miden los resultados en rangos conocidos como distribuciones de probabilidad. Estas se dividen en 6:

  • Normal: el valor de la media.
  • Longnormal: media de valores que no pueden bajar de 0.
  • Uniform: rango donde todos los escenarios tienen la misma posibilidad de producirse.
  • Triangular: media definida entre el mejor escenario, el peor y el más probable.
  • PERT: similar al anterior pero se tiene más en cuenta el nivel de todos los extremos en conjunto.
  • Discrete: se definen las probabilidades de ciertas situaciones manualmente.

Los resultados con el método de Monte Carlo son mucho más exactos y presentan varias ventajas sobre el sistema cualitativo. De esta forma se evalúan tanto los posibles escenarios como la probabilidad de cada uno individualmente. Además facilita la integración de los resultados a una gráfica. Lo que permite identificar fácilmente qué variables generan una mayor fluctuación en los resultados.

¿Cómo hacer un análisis de riesgo paso a paso?

Un análisis de riesgo que debe hacerse periódicamente en las empresas debe ser sobre la ciberseguridad, porque las medidas para esta varían cada vez más rápido. Para saber cómo hacer un análisis efectivo se debe seguir cierto esquema. A continuación una evaluación explicada en solo 5 pasos:

  1. Establecer parámetros: considerar como afectan determinadas acciones a la seguridad. Luego definir cómo pueden ocasionarse las mismas.
  2. Conocer las zonas de riesgos: identificar los equipos que cuentan con información o con accesos especialmente importantes.
  3. Considerar escenarios de amenaza: Notar como estas áreas importantes pueden ser vulneradas en caso de un ataque.
  4. Identificar y analizar riesgos: en este punto se tienen que considerar completamente las repercusiones de cada riesgo. Sean voluntarios o accidentales, se debe saber cuál sería el alcance de estos.
  5. Crear mecanismos de mitigación: ante cada problema hay ciertas consecuencias que son inevitables. El objetivo de este paso es encontrar la forma de reducir cada posible peligro a su mínima expresión.