EVALUAR LA PROTECCION OFRECIDA POR LOS CONTROLES
Esta
ventana permite para cada Amenaza del Escenario escogido:
- Seleccionar
los controles que realmente existen en la entidad (los que están
implantados y funcionando) para la Amenaza seleccionada en el paso
anterior "Evaluar Protección Ofrecida por los Controles".
- Definir la Frecuencioa de Ejecución para cada Control relacionado a las Amenazas
- Escoger la relación Costo/Beneficio del conjunto de controles existentes para mitigar la Amenaza.
- Agregar
nuevos controles o rangos de frecuencia de ejecución de
controles, que no se hayan tenido en cuenta hasta el momento en el
Estudio de Gestión de Riesgos EGR.
- Evaluar la protección existente para la Amenaza, ofrecida por los controles seleccionados.
PASOS PARA EVALUAR LA PROTECCIÓN EXISTENTE DE LA AMENAZA DE RIESGO:
Paso 1: Identificación de los Controles Asociados con una Amenaza.
Para identificar los controles existentes en la empresa que mitigan la
Amenaza escogida, de click en el CheckBox de la Tabla de Controles
asociados a dicha Amanaza (en la ventana Anterior "Identificar
Controles Existentes/Requeridos"). En los campos de Texto de la esquina
superior derecha, aparecerá el nombre y descripción
detallada del último control seleccionado.
Paso 2: Establecer Frecuencia de Ejecución para cada control.
Después de seleccionar los controles existentes, escoja de la
lista en la columna Frecuencia, la frecuencia de aplicación de
cada control. El diseñador deberá seleccionar
una frecuencia de la lista por cada control.
Paso 3: Evaluación Costo / Beneficio de los controles.
Una vez seleccionados los controles por amenaza, se debe evaluar
la relación Costo / Beneficio de los controles, en el
recuadro superior izquierdo. El usuario debe establecer un valor para
el costo total de todos los controles que están asociados con la
amenaza (Bajo, Medio o Alto) y un valor para el Beneficio que
representan dichos controles para la entidad (Bajo, Medio o Alto).
Según los valores dados por el usuario, el sistema utiliza una
tabla como la que se muestra a continuación para
determinar la eficiencia de los controles, es decir, si la
relación costo / Beneficio es razonable o no:

Cuando la
relación de Costo / Beneficio es Muy Alta o Alta, el sistema
establece que dicha relación es RAZONABLE; de lo contrario
establece que es NO RAZONABLE (y muestra esto en la parte superior
derecha de la pantalla donde se definen los valores)
Paso 4: Evaluar Amenaza.
Después de evaluar el Costo / beneficio de los controles,
se procede a pulsar el botón “Evaluar
Amenaza”. Entonces el aplicativo calculará los
valores de protección existente y riesgo residual teniendo en
cuenta los siguientes tres criterios:
- Están establecidos los tres
anillos de seguridad o barreras de control. El sistema, valida si la
amenaza de riesgo tienen asociado al menos un control de tipo
preventivo, un control de tipo detectivo y un control de tipo
correctivo. En caso afirmativo, aparece en la pantalla (esquina
superior izquierda) el mensaje “SI” en el campo "Satisface
los Anillos de Seguridad"; en caso contrario aparece el mensaje “NO”.
- Promedio por clase de control. El sistema
calcula el valor promedio de la clase de los controles asociados a la
amenaza y verifica si este valor promedio está por encima del
mínimo aceptable establecido. La clase del control esta dada por
los criterios de automatización y discrecionalidad del control.
- Control clase A – Automático No Discrecional
- Control clase B – Automático Discrecional
- Control clase C – Manual No Discrecional
- Control clase C – Manual Discrecional
- Según los valores
numéricos asociados a cada clase de control, los controles clase
C tienen una calificación de 3.5 y los controles clase A tienen
una calificación de 5.0. Dado esto, el promedio por clase para
la amenaza CR0129 sería igual a (3.5 + 3.5 + 5.0) / 3, lo cual
da como resultado un valor de 4.0 el cual está por encima
del mínimo establecido que en este caso es de 3.5 (esto se
presenta en la parte superior izquierda de la pantalla).
- El valor asignado a la Relación Costo / Beneficio de los controles.
Paso 4: Posibles Valores de la Protección Existente (PE) y el Riesgo Residual (RR).
Hacer click en el botón evaluar. Esto calculará el nivel
de Protección Existente de la Amenaza. A continuación se
presentan los valores de Protección Existente y Riesgo Residual
dependiendo de la satisfacción de los tres criterios de
evaluación mencionados:
