Definición: ¿Qué significa Marco de evaluación de riesgos (RAF)?
Un marco de evaluación de riesgos (RAF) es un enfoque para priorizar y compartir información sobre los riesgos de seguridad planteados a una organización de tecnología de la información. La información debe presentarse de manera que tanto el personal técnico como el personal no técnico del grupo puedan comprender. La vista del RAF brinda asistencia a las organizaciones para identificar y ubicar áreas de bajo y alto riesgo en el sistema que pueden ser susceptibles de abuso o ataque.
Techinfo explica el Marco de evaluación de riesgos (RAF)
Los datos que proporcionan los RAF son beneficiosos para abordar las amenazas potenciales y planificar los costos y presupuestos. Muchos RAF ya se aceptan como estándares en varias industrias. Algunos ejemplos incluyen la Evaluación de vulnerabilidades, activos y amenazas operacionalmente críticas (OCTAVE) del Equipo de preparación para emergencias informáticas, los Objetivos de control para la información y tecnología relacionada (COBIT) de la Asociación de control y auditoría de sistemas de información y la Guía de gestión de riesgos Sistemas de tecnología de la información del Instituto Nacional de Estándares.
Al igual que otros marcos, existen pautas para la creación de MAR que deben seguirse:
- Inventario y Categorización: Agrupa los sistemas de información, ya sean internos o externos, en categorías y diferencia sus procesos.
- Identifique los riesgos potenciales: busque amenazas, vulnerabilidades y riesgos que el sistema pueda encontrar. Además de los ataques de malware, deben tenerse en cuenta los sucesos naturales, como calamidades o cortes de energía.
- Implementar y evaluar: basándose en la discusión de los riesgos potenciales, implemente los controles de seguridad correspondientes para la seguridad de los datos. Evalúe y documente los hallazgos sobre cómo funcionan los controles y cómo contribuyen a la reducción del riesgo.
- Autorizar y monitorear: Autorizar las operaciones del sistema determinando el procedimiento, el riesgo para las operaciones y activos de la organización, las fortalezas y debilidades individuales y otros factores que contribuirán al bienestar de las operaciones. El monitoreo de los controles de seguridad es un proceso continuo que incluye la evaluación de la efectividad de los controles de seguridad, la documentación de los cambios, la implementación de las soluciones discutidas y la presentación del estado del sistema al personal organizacional apropiado.