¿Evaluación de riesgos cualitativa o cuantitativa?
Una actividad relevante durante la realización de una evaluación de riesgos consiste en conocer aquellas amenazas que pueden materializarse, provocando consecuencias negativas de mayor alcance, y que por lo tanto deben ser atendidas con mayor prioridad.
La complejidad se presenta cuando es necesario conocer cuáles riesgos deben ser atendidos primero, y sobre todo, qué parámetros deben ser utilizados para la asignación de prioridades. En este contexto, generalmente se utilizan dos enfoques para emitir una valoración: elementos cualitativos o cuantitativos (o bien, una combinación de ambos), que permitan determinar la severidad de los riesgos identificados y analizados previamente.
Evaluación de riesgos cuantitativa
La evaluación cuantitativa tiene como propósito asignar valores monetarios a riesgos específicos, por lo que tiene como punto de partida la determinación de una pérdida potencial asociada a la materialización de una o más amenazas.
Generalmente, resulta más complicado llevar a cabo una evaluación cuantitativa (si se compara con una cualitativa), entre otras razones porque puede considerar un conjunto de variables a las cuales se le debe asignar un dato de manera consciente, que permitan obtener resultados con mayor precisión y apegados a la realidad de los riesgos que están relacionados con la información y otros activos de la empresa.
Para calcular la pérdida potencial, se puede utilizar la fórmula de Expectativa de Pérdida Anual (ALE por sus siglas en inglés), enfocada en modelar el impacto generado por un riesgo de seguridad. El uso de un modelo matemático agrega objetividad a los resultados de la evaluación, ya que con los mismos valores utilizados durante el cálculo, se obtienen resultados consistentes.
Además, se ofrece un resultado que muestra la relación costo-beneficio entre la necesidad de asignar recursos que permitan evitar o reducir las pérdidas derivadas de los riesgos identificados.
Evaluación de riesgos cualitativa
A diferencia de una evaluación cuantitativa, se trata de una valoración realizada a través de las características que tienen como base un escenario de amenaza sobre los activos, y generalmente está asociado a una calificación de los riesgos que utiliza como parámetros cualidades como alto, medio o bajo.
Debido a que cada persona posee un concepto de lo que representa una característica “alta, media o baja” como una manera de clasificación, la evaluación cualitativa puede convertirse en un elemento subjetivo, por lo que en términos de seguridad de la información resulta básico definir criterios precisos de lo que cada categoría representa, con el objetivo (nuevamente) de obtener resultados consistentes.
Probablemente sea más sencillo identificar que un riesgo clasificado como “alto” deba tener mayor prioridad que uno etiquetado como “bajo”. El desafío consiste en definir claramente cuando se asigna una cualidad de este estilo a cada uno de los riesgos. Esto puede lograrse, por ejemplo, a través de una matriz de riesgo relativo, que utiliza como variables de clasificación y priorización de riesgos el impacto y la probabilidad de ocurrencia.
Por el contrario, para diversas áreas de la organización es preferible la asignación de una cantidad de dinero a un riesgo, más aún si se agrega una escala que contribuya a decidir cuándo es aceptable una pérdida potencial por riesgos de seguridad. La estimación de la pérdida facilita la toma de decisiones en relación a la cantidad de recursos asignados para la protección de la información.
Entonces, ¿cuál enfoque es más conveniente?
En realidad, cualquier enfoque para la evaluación de riesgos es útil si el método elegido en más de una ocasión, permite la obtención de resultados consistentes, válidos y comparables.
Lo primordial durante la evaluación está relacionado con la definición y aplicación de criterios propios para cada organización, lo que define su aversión al riesgo y una correcta valoración (cualitativa o cuantitativa) asignada a cada riesgo. Posteriormente, una adecuada selección de opciones de tratamiento.
Además, resulta igualmente importante conocer distintos factores o amenaza que puede afectar a la información (sobre todo conocer escenarios que realmente podrían presentarse), lo que se traduce en mayor eficiencia y la obtención de resultados realistas. Si los esfuerzos dedicados a la evaluación permiten llevar a cabo una combinación de enfoques, esta actividad incrementa las probabilidades de aumentar la validez y precisión en los resultados en las evaluaciones de riesgos.