EVALUAR LA PROTECCION OFRECIDA POR LOS CONTROLES 

Esta ventana permite para cada Amenaza del Escenario escogido:


PASOS PARA EVALUAR LA PROTECCIÓN EXISTENTE DE LA AMENAZA DE RIESGO:

Paso 1: Identificación de los Controles Asociados con una Amenaza.
Para identificar los controles existentes en la empresa que mitigan la Amenaza escogida, de click en el CheckBox de la Tabla de Controles asociados a dicha Amanaza (en la ventana Anterior "Identificar Controles Existentes/Requeridos"). En los campos de Texto de la esquina superior derecha, aparecerá el nombre y descripción detallada del último control seleccionado.

Paso 2: Establecer Frecuencia de Ejecución para cada control.
Después de seleccionar los controles existentes, escoja de la lista en la columna Frecuencia, la frecuencia de aplicación de cada control.
El diseñador deberá seleccionar una frecuencia de la lista por cada control.

Paso 3: Evaluación Costo / Beneficio de los controles.
Una vez seleccionados los controles por amenaza,  se debe evaluar la  relación Costo / Beneficio de los controles, en el recuadro superior izquierdo. El usuario debe establecer un valor para el costo total de todos los controles que están asociados con la amenaza (Bajo, Medio o Alto) y un valor para el Beneficio que representan dichos controles para la entidad (Bajo, Medio o Alto). Según los valores dados por el usuario, el sistema utiliza una tabla como la que se muestra a continuación para determinar  la eficiencia de los controles, es decir, si la relación  costo / Beneficio es razonable o no:



Cuando la relación de Costo / Beneficio es Muy Alta o Alta, el sistema establece que dicha relación es RAZONABLE; de lo contrario establece que es NO RAZONABLE (y muestra esto en la parte superior derecha de la pantalla donde se definen los valores)

Paso 4: Evaluar Amenaza.
Después de evaluar el Costo / beneficio de los controles, se  procede a pulsar el botón “Evaluar Amenaza”.  Entonces el aplicativo calculará los valores de protección existente y riesgo residual teniendo en cuenta los siguientes tres criterios:
  • Están establecidos los tres anillos de seguridad o barreras de control. El sistema, valida si la amenaza de riesgo tienen asociado al menos un control de tipo preventivo, un control de tipo detectivo y un control de tipo correctivo. En caso afirmativo, aparece en la pantalla (esquina superior izquierda) el mensaje “SI” en el campo "Satisface los Anillos de Seguridad";  en caso contrario aparece el mensaje “NO”.
  • Promedio por clase de control. El sistema calcula el valor promedio de la clase de los controles asociados a la amenaza y verifica si este valor promedio está por encima del mínimo aceptable establecido. La clase del control esta dada por los criterios de automatización y discrecionalidad del control.
    • Control clase A – Automático  No Discrecional
    • Control clase B – Automático  Discrecional
    • Control clase C – Manual No Discrecional
    • Control clase C – Manual  Discrecional
    • Según los valores numéricos asociados a cada clase de control, los controles clase C tienen una calificación de 3.5 y los controles clase A tienen una calificación de 5.0. Dado esto, el promedio por clase para la amenaza CR0129 sería igual a (3.5 + 3.5 + 5.0) / 3, lo cual da como resultado un valor de 4.0  el cual está por encima del mínimo establecido que en este caso es de 3.5 (esto se presenta en la parte superior izquierda de la pantalla).
  • El valor asignado a la Relación Costo / Beneficio de los controles. 
Paso 4: Posibles Valores de la Protección Existente (PE) y  el Riesgo Residual (RR).
Hacer click en el botón evaluar. Esto calculará el nivel de Protección Existente de la Amenaza. A continuación se presentan los valores de Protección Existente y Riesgo Residual dependiendo de la satisfacción de los tres criterios de evaluación mencionados: