CONTENIDOS CONCEPTUALES

Elementos de Riesgo

Los elementos de riesgo son los componentes básicos que se interrelacionan para definir el riesgo total. Incluyen la amenaza, la vulnerabilidad y el impacto potencial. Comprender estos elementos permite a las organizaciones identificar, evaluar y mitigar los riesgos de manera efectiva.

Amenaza

Una amenaza es cualquier evento o circunstancia potencial que podría causar un daño a un activo de TI. Las amenazas pueden ser intencionales, como los ciberataques, o no intencionales, como los desastres naturales o los errores humanos.

Amenazas intencionales: Ciberdelincuentes, hackers, programa malintencionado.

Amenazas no intencionales: Fallas de hardware, incendios, terremotos, errores de configuración, empleados desinformados.

Vulnerabilidad

Una vulnerabilidad es una debilidad en un sistema, proceso o control que podría ser explotada por una amenaza para causar un daño. Las vulnerabilidades pueden encontrarse en el software, el hardware, la red, los datos o los procedimientos de una organización.

Ejemplos: Software sin parches de seguridad, contraseñas débiles, falta de capacitación del personal, configuraciones incorrectas en los servidores, hardware obsoleto.

Probabilidad de Impacto

La probabilidad de impacto mide la posibilidad de que una amenaza se materialice y cause un daño real. Se determina al analizar qué tan probable es que una amenaza específica explote una vulnerabilidad particular. El impacto se clasifica en categorías como alto, medio o bajo, y considera tanto la probabilidad de que ocurra como la gravedad del daño.