Un modelo de evaluación de amenazas es una representación del plan de una organización con respecto a la identificación de posibles amenazas y los medios que implementará para minimizar o contrarrestar esas amenazas. Dichos modelos pueden usar hojas de cálculo, gráficos, diagramas de flujo, diagramas o una serie de otras ayudas para ilustrar sus puntos necesarios.
Propósito
El propósito de un modelo de evaluación de amenazas es brindar a las organizaciones la capacidad de identificar posibles amenazas antes de que ocurran y describir formas de prevenirlas o revertir sus efectos. A medida que una organización se vuelve cada vez más grande y compleja, los diversos tipos de amenazas a las que se enfrenta pueden crecer en número y magnitud, y es importante contar con un modelo establecido que la organización pueda usar para organizar y analizar estas amenazas y luego implementar contramedidas contra ellas.. Intentar minimizar las amenazas sin el uso de un modelo puede ser confuso, ineficiente e incluso contraproducente.
Usos
Los modelos de evaluación de amenazas pueden ser útiles cuando se trata de asuntos de responsabilidad, como los riesgos de seguridad que podrían provocar que los clientes presenten demandas civiles contra un minorista. También pueden lidiar con cosas como la seguridad informática, que puede ser extremadamente importante para las empresas que tratan con grandes almacenes de información de cuentas de clientes, especialmente cuando almacenan información como números de tarjetas de crédito, direcciones y números de Seguro Social. Al tomar nota de las posibles amenazas y encontrar formas de lidiar con ellas, las organizaciones pueden protegerse a sí mismas, a su reputación, a sus clientes y a la sociedad en general.
Cuestiones fundamentales
De acuerdo con "Una descripción general de la evaluación de amenazas y riesgos" de James Bayne para el Instituto SANS, una fuente de capacitación en seguridad de la información, cualquier modelo de evaluación de amenazas debe tratar una serie de cuestiones clave. Primero, debe identificar qué se necesita proteger, como los activos físicos o la información confidencial. En segundo lugar, debe identificar todas las amenazas y vulnerabilidades a las que se enfrenta la organización. En tercer lugar, debe exponer todas las implicaciones de lo que sucedería si se perdiera alguno de los activos valiosos. Cuarto, debe dar algunas soluciones sobre cómo la organización puede minimizar su exposición a tales amenazas.
Analizando amenazas
Al realizar una evaluación de amenazas, debe analizar la naturaleza y la gravedad de las amenazas que enfrenta su organización. El aspecto más importante de categorizar las amenazas es identificarlas como humanas o no humanas. Una amenaza humana, por ejemplo, sería un hacker, un empleado descontento, un empleado mal entrenado o un ladrón. Una amenaza no humana sería un desastre natural o una falla del equipo. Un modelo de evaluación de amenazas debe ayudarlo a enumerar todas estas amenazas y cuantificar su grado de gravedad.