Todos los incidentes deben ser investigados, analizados e informados. Los recursos dedicados al tratamiento deben ser proporcionales al incidente.
El registro del incidente es parte del sistema de información para la gestión del riesgo.
De los incidentes se obtienen lecciones aprendidas para la mejora en el control del riesgo.
Estas afirmaciones, que resultan obvias, no siempre son fáciles de cumplir en el registro de incidentes.
Incluir datos para clasificación y caracterización de los incidenties en su registro, facilita su utilización en el control del riesgo futuro.
Las tablas de clasificación para tipificar o caracterizar un incidente no son fáciles de crear. En ocasiones, es necesario disponer de un número importante de incidentes para crear tablas con métricas de clasificación útiles.
En la apreciación del riesgo y la planificación de controles de seguridad, disponer de un registro de incidentes que permitan caracterizar la amenaza es de gran ayuda para determinar el nivel de exposición, la vulnerabilidad y un impacto razonable. No obstante, debido a la baja probabilidad de ocurrencia de muchas amenazas, la información obtenida no suele ser suficiente para inferir estadísticamente la apreciación del riesgo.
Ejemplos que ilustran la ayuda del registro de los incidentes en el control del riesgo.
Ejemplo 1: Disponemos de tres incidentes registrados en un almacén: Dos de robo y un tercero de daños al cierre perimetral.
Al analizar el riesgo del activo, el registro de incidentes nos ha permitido concluir que es razonable proponer una exposición de 6 veces por año.
Ejemplo 2: Disponemos de tres incidentes registrados en un almacén: Dos de robo y un tercero de daños al cierre perimetral.
Al apreciar el riesgo del activo, conforme a la caracterización de la amenaza y a las características de la instalación, se puede determinar con mayor precisión la vulnerabilidad del activo a esta amenaza.
Ejemplo 3: Analizar el impacto de los incidentes y registrarlo, permite contrastar el impacto en futuros procesos de análisis de riesgo de este activo o de activos similares.
Los registros de incidentes de la propia empresa no son la única fuente de información para evaluar la amenaza, también podemos contar con otras fuentes:
Conclusiones:
Nuestro sistema de gestión del riesgo tendrá que permitir la aplicación de distintas metodologías de apreciación y tratamiento del riesgo conforme a: