Paso 3: elaboración de perfiles de amenazas
Esta fase ayuda a identificar y priorizar las amenazas y comprender cómo pueden manifestarse. La elaboración de perfiles de amenazas comienza con la identificación de amenazas potencialmente relevantes mediante la discusión con partes interesadas clave y el análisis de fuentes disponibles de inteligencia sobre amenazas (por ejemplo, un equipo interno de inteligencia sobre amenazas o fuentes comerciales externas).
Una vez creado el panorama de amenazas, se debe perfilar cada amenaza que contenga. Las amenazas se pueden perfilar en función de dos factores de riesgo clave: la probabilidad de inicio (la probabilidad de que una amenaza particular inicie uno o más eventos de amenaza) y la fuerza de la amenaza, o la eficacia con la que una amenaza particular puede iniciar o ejecutar eventos de amenaza.
Las amenazas también se pueden perfilar mejor separándolas en un grupo general: adversarial, accidental o ambiental.
Paso 4: Evaluación de vulnerabilidad
Una vez que se completa el perfil de amenazas, la siguiente fase es identificar el grado en que los activos de información son vulnerables contra cada amenaza identificada. Se utiliza una evaluación de vulnerabilidad para examinar el alcance de la relevancia de cada control clave, así como el desempeño y la calidad de su implementación.
Cada vulnerabilidad debe evaluarse y expresarse en términos de la fuerza relativa de sus controles. La solidez de los controles se puede calcular en función de la calificación de las partes interesadas para ese control, junto con información de respaldo como las características del control, el desempeño, las deficiencias y la documentación.
Al final de la evaluación, el profesional habrá obtenido una comprensión sólida de qué activos de información son vulnerables frente a qué evento de amenaza.