FAIR (Factor Analysis of Information Risk)
¿Qué es FAIR (Factor Analysis of Information Risk)?
FAIR (Factor Analysis of Information Risk)Estándar internacional abierto para cuantificar el riesgo de información y ciberriesgo en términos financieros, descomponiéndolo en factores de frecuencia y magnitud de pérdidas.
FAIR, mantenido por el FAIR Institute y estandarizado por The Open Group (O-RA, O-RT), es el modelo cuantitativo de ciberriesgo más utilizado. Descompone el riesgo en frecuencia de eventos de pérdida (frecuencia de eventos de amenaza × vulnerabilidad) y magnitud de pérdida (primarias y secundarias), con subfactores que se estiman mediante rangos calibrados. Herramientas como FAIR-U y plataformas comerciales suelen ejecutar simulaciones de Monte Carlo para producir distribuciones de pérdidas, incluidos ALE y curvas de excedencia. FAIR se emplea para priorizar inversiones, soportar conversaciones con consejo y reguladores, fijar apetito de riesgo y respaldar seguros cibernéticos, complementando ISO 31000, NIST RMF y los marcos ERM.
● Ejemplos
- 01
Análisis FAIR del Business Email Compromise para justificar inversión en protección avanzada de correo.
- 02
Informe trimestral de riesgos clave basado en FAIR para el comité de auditoría.
● Preguntas frecuentes
¿Qué es FAIR (Factor Analysis of Information Risk)?
Estándar internacional abierto para cuantificar el riesgo de información y ciberriesgo en términos financieros, descomponiéndolo en factores de frecuencia y magnitud de pérdidas. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa FAIR (Factor Analysis of Information Risk)?
Estándar internacional abierto para cuantificar el riesgo de información y ciberriesgo en términos financieros, descomponiéndolo en factores de frecuencia y magnitud de pérdidas.
¿Cómo funciona FAIR (Factor Analysis of Information Risk)?
FAIR, mantenido por el FAIR Institute y estandarizado por The Open Group (O-RA, O-RT), es el modelo cuantitativo de ciberriesgo más utilizado. Descompone el riesgo en frecuencia de eventos de pérdida (frecuencia de eventos de amenaza × vulnerabilidad) y magnitud de pérdida (primarias y secundarias), con subfactores que se estiman mediante rangos calibrados. Herramientas como FAIR-U y plataformas comerciales suelen ejecutar simulaciones de Monte Carlo para producir distribuciones de pérdidas, incluidos ALE y curvas de excedencia. FAIR se emplea para priorizar inversiones, soportar conversaciones con consejo y reguladores, fijar apetito de riesgo y respaldar seguros cibernéticos, complementando ISO 31000, NIST RMF y los marcos ERM.
¿Cómo defenderse de FAIR (Factor Analysis of Information Risk)?
Las defensas contra FAIR (Factor Analysis of Information Risk) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para FAIR (Factor Analysis of Information Risk)?
Nombres alternativos comunes: FAIR, Análisis FAIR.
● Términos relacionados
- compliance№ 889
Análisis cuantitativo de riesgos
Enfoque de análisis que expresa probabilidad e impacto en cifras, generalmente como probabilidades y distribuciones de pérdida monetaria, para sustentar decisiones basadas en datos.
- compliance№ 705
Simulación de riesgos Monte Carlo
Técnica computacional que estima el riesgo ejecutando miles de escenarios aleatorios a partir de distribuciones de probabilidad de entrada, produciendo una distribución de resultados posibles.
- compliance№ 935
Evaluación de riesgos
Actividad estructurada dentro de la gestión de riesgos que identifica amenazas, vulnerabilidades e impactos sobre activos concretos y valora el riesgo resultante para decidir su tratamiento.
- compliance№ 936
Gestión de riesgos
Proceso coordinado de identificar, analizar, evaluar, tratar, monitorizar y comunicar los riesgos para mantenerlos dentro de la tolerancia definida por la organización.
- compliance№ 383
Gestión de riesgos empresariales (ERM)
Enfoque integrado y transversal para identificar, gobernar y tratar riesgos estratégicos, financieros, operativos, de cumplimiento y cibernéticos en línea con los objetivos del negocio.
- compliance№ 733
NIST Risk Management Framework
Proceso del NIST en siete pasos, definido en SP 800-37, para integrar la gestión de riesgos de seguridad, privacidad y cadena de suministro en el ciclo de vida del sistema.