II.

Administracin de Riesgos y Continuidad de Actividades

Los Riesgos: Se refiere a la probabilidad de que ocurra o realice un evento no previsto, es decir son factores que pueden incrementar o causar prdidas. Proceso de administracin de riesgos de seguridad

La administracin de riesgos como un proceso son cuatro fases principales:

1. Evaluacin del riesgo: identificar y asignar prioridades a los riesgos para la

empresa.
2. Apoyo a la toma de decisiones: identificar y evaluar las soluciones de control

segn un proceso definido de anlisis de costo-beneficio.

3. Implementacin de controles: implementar y poner en funcionamiento las

soluciones con el fin de reducir el riesgo para la empresa.

4. Medicin de la efectividad del programa: analizar la efectividad del proceso

de administracin de riesgos y comprobar que los controles proporcionan el nivel de proteccin previsto.

Cada fase del ciclo consta de varios pasos detallados. En la siguiente lista se describen los pasos para que comprenda la importancia de cada uno en la gua como un conjunto:
Fase de evaluacin de riesgos

Planear la recopilacin de datos: descripcin de las claves para el xito y orientacin de preparacin. Recopilar datos de riesgos: descripcin del proceso de recopilacin y anlisis de datos. Asignar prioridades a riesgos: descripcin de los pasos normativos para calificar y cuantificar los riesgos.

Fase de apoyo a la toma de decisiones

Definir los requisitos funcionales: definicin de los requisitos funcionales para mitigar los riesgos. Seleccionar las soluciones de control posibles: descripcin del enfoque para identificar las soluciones de mitigacin. Revisar la solucin: evaluacin de los controles propuestos segn los requisitos funcionales. Estimar la reduccin del riesgo: intento de comprender la exposicin o probabilidad reducida de riesgos. Estimar el costo de la solucin: evaluacin de los costos directos e indirectos asociados a las soluciones de mitigacin. Seleccionar la estrategia de mitigacin: realizacin del anlisis de costobeneficio para identificar la solucin de mitigacin ms asequible.

Fase de implementacin de controles

Buscar un enfoque holstico: incorporacin de personas, procesos y tecnologa en la solucin de mitigacin. Organizar por defensa en profundidad: organizacin de las soluciones de mitigacin en la empresa.

Fase de medicin de la efectividad del programa

Desarrollar el clculo de riesgos: comprensin de la posicin de riesgo y el progreso.

 Medir la efectividad del programa: evaluacin del programa de administracin de riesgos para determinar los aspectos que se deben mejorar.

Nivel de esfuerzo Si su organizacin tiene poca experiencia en la administracin de riesgos, puede resultar til conocer los pasos del proceso que requieren ms esfuerzo por parte del equipo de administracin de riesgos de seguridad. Los niveles relativos de esfuerzo tambin pueden resultar tiles como orientacin para evitar dedicar demasiado tiempo a un punto del proceso global. Para resumir el nivel de esfuerzo a lo largo del proceso, en la figura se muestra un nivel moderado de esfuerzo para recopilar datos, un nivel menor para el anlisis de resumen seguido de niveles altos de esfuerzo para elaborar listas detalladas de riesgos y llevar a cabo el proceso de apoyo a la toma de decisiones.

Figura 3.2 Nivel relativo de esfuerzo durante el proceso de administracin de riesgos de seguridad

Bases del proceso de administracin de riesgos de seguridad Antes de comenzar la administracin de riesgos de seguridad, es importante disponer de conocimientos slidos de las bases, requisitos previos y tareas del proceso de administracin de riesgos de seguridad de Microsoft, que son:

Distincin entre la administracin de riesgos y la evaluacin de riesgos. Notificacin clara del riesgo. Determinacin de la madurez de administracin de riesgos de la organizacin. Definicin de las funciones y responsabilidades del proceso.

Administracin de riesgos y evaluacin de riesgos

El proceso de administracin de riesgos de seguridad define la administracin de riesgos como el proceso global para administrar el riesgo hasta alcanzar un nivel aceptable en la empresa. La evaluacin de riesgos se define como el proceso de identificar y asignar prioridades a los riesgos para la empresa. Segn se describe en el diagrama anterior, la administracin de riesgos se compone de cuatro fases principales: evaluacin de riesgos, apoyo a la toma de decisiones, implementacin de controles y medicin de la efectividad del programa. La evaluacin de riesgos, en el contexto del proceso de administracin de riesgos de seguridad de Microsoft, slo hace referencia a la fase de evaluacin de riesgos en el ciclo de administracin de riesgos global.

El proceso de administracin de riesgos habitualmente corresponde al ciclo contable fiscal de una organizacin para alinear las solicitudes presupuestarias de los controles con los procesos de negocios normales. Un intervalo anual resulta

muy habitual en el proceso de administracin de riesgos para alinear las nuevas soluciones de control con los ciclos presupuestarios anuales. Aunque la evaluacin de riesgos es una fase necesaria y discreta del proceso de administracin de riesgos, el grupo de seguridad de informacin puede llevar a cabo varias evaluaciones de riesgos independientes de la fase de administracin de riesgos o ciclo presupuestario actual. El grupo de seguridad de informacin puede iniciarlas en cualquier momento si se produce un cambio posiblemente relacionado con la seguridad en la empresa, como la introduccin de nuevas prcticas de negocios, o si se han detectado nuevas vulnerabilidades o cambios en la infraestructura. Estas evaluaciones frecuentes se suelen denominar evaluaciones de riesgos ad hoc o evaluaciones de riesgos de mbito limitado y se deben considerar complementarias al proceso de administracin de riesgos formal. Las

evaluaciones ad hoc normalmente se centran en un rea de riesgo en la empresa y no requieren la misma cantidad de recursos que el proceso de administracin de riesgos en su totalidad. En el apndice A, "Evaluaciones ad hoc", se describe este tipo de evaluaciones y se ofrece una plantilla de ejemplo de una evaluacin de riesgos ad hoc.
Tabla 3.1: Administracin de riesgos y evaluacin de riesgos Administracin de riesgos Objetivo Evaluacin de riesgos

Administrar los riesgos en la Identificar los riesgos y empresa para lograr un nivel asignarles prioridades aceptable Programa global a lo largo de las cuatro fases Continuo Alineado con los ciclos presupuestarios Fase nica del programa de administracin de riesgos Segn se necesite N/A

Ciclo Programa Alineacin

Notificacin del riesgo

Las distintas personas involucradas en el proceso de administracin de riesgos suelen definir el trmino riesgo de un modo diferente. Para garantizar la coherencia en todas las etapas del ciclo de administracin de riesgos, el proceso de administracin de riesgos de

seguridad requiere que todos los participantes comprendan y acepten una nica definicin del trmino riesgo. Cuando ambos elementos de riesgo (probabilidad y ataque) estn incluidos en una declaracin de riesgo, en el proceso se denomina declaracin de riesgo bien elaborada. Utilice el trmino para garantizar una comprensin coherente de la naturaleza compuesta del riesgo. En el siguiente diagrama se describe el riesgo en su nivel ms bsico.

Figura 3.3 Declaracin de riesgo bien elaborada Resulta importante que todos los implicados en el proceso de administracin de riesgos comprendan la complejidad de cada elemento de la definicin de riesgo. Slo un conocimiento exhaustivo del riesgo permitir a la empresa poder emprender una accin especfica al afrontarlo. Por ejemplo, al definir las repercusiones en la empresa se necesita informacin acerca del activo afectado, el tipo de dao que se puede producir y el alcance del dao en el activo. A continuacin, para determinar la probabilidad de que se produzca el ataque, se debe comprender el modo en que se puede producir cada ataque y la manera en que el entorno de controles actual reducir la probabilidad del riesgo. El proceso de administracin de riesgos de seguridad de Microsoft proporciona las herramientas para comunicar y medir de forma coherente la probabilidad y el nivel de prdida de cada riesgo. En los captulos de esta gua se recorre el proceso para establecer cada componente de la declaracin de riesgo bien elaborada para identificar y asignar prioridades a los riesgos en la empresa. El siguiente diagrama se basa en la declaracin de riesgo bsica descrita anteriormente para mostrar las relaciones de cada elemento de riesgo.

Figura

3.4

Componentes

de

la

declaracin

de

riesgo

bien

elaborada

Para facilitar la notificacin del alcance del ataque y el nivel de probabilidad en la declaracin de riesgo, el proceso de administracin de riesgos de seguridad de Microsoft comienza la asignacin de prioridades mediante el uso de trminos relativos como alto, moderado y bajo. Aunque esta terminologa bsica simplifica la seleccin de los niveles de riesgo, no proporciona detalles suficientes cuando se lleva a cabo un anlisis de costo-beneficio para seleccionar la opcin de mitigacin ms eficaz. Para solventar este punto dbil del enfoque cualitativo bsico, el proceso ofrece herramientas para generar una comparacin de riesgos de nivel detallado. El proceso tambin incorpora atributos cuantitativos para contribuir al anlisis de costo-beneficio con el fin de seleccionar controles. Un error habitual de las disciplinas de administracin de riesgos consiste en que normalmente no tienen en cuenta las definiciones cualitativas como riesgos altos, moderados o bajos para la empresa. En el programa de administracin de riesgos de seguridad se identificarn numerosos riesgos. Aunque el proceso de administracin de riesgos de seguridad proporciona orientacin para aplicar de forma coherente las estimaciones de riesgos cualitativos y cuantificables, corresponde al equipo de administracin de riesgos de seguridad definir el significado de cada valor en trminos de negocio especficos. Por ejemplo, un riesgo alto para la empresa puede significar una vulnerabilidad que se produzca en un ao, lo que conlleva la prdida de integridad de la propiedad intelectual ms importante de la organizacin. El equipo de administracin de riesgos de

seguridad debe asignar las definiciones de cada elemento de la declaracin de riesgo bien elaborada. Determinacin de la madurez de administracin de riesgos de la organizacin Antes de que una organizacin intente implementar el proceso de administracin de riesgos de seguridad, es importante que examine su nivel de madurez en lo que se refiere a la administracin de riesgos de seguridad. Para una organizacin que no disponga de directivas o procesos formales para la administracin de riesgos ser excesivamente difcil poner en prctica todos los aspectos del proceso a la vez. Incluso para las organizaciones con directivas y directrices formales que siguen la mayora de los empleados, el proceso puede ser un poco abrumador. Por estos motivos, es importante que realice una estimacin del nivel de madurez de su organizacin. Si considera que su organizacin todava es relativamente inmadura, puede introducir el proceso en etapas incrementales durante varios meses, tal vez mediante pruebas piloto en una sola unidad de negocios hasta que el ciclo se haya realizado varias veces. Despus de demostrar la eficacia del proceso de administracin de riesgos de seguridad mediante este programa piloto, el equipo de administracin de riesgos de seguridad podra introducirlo lentamente en otras unidades de negocios hasta que toda la organizacin lo utilizase.
Tabla 3.2: Niveles de madurez de la administracin de riesgos de seguridad Nivel Estado 0 No existe Definicin

La directiva (o el proceso) no est documentada y la organizacin, anteriormente, no ha tomado conciencia del riesgo de negocios asociado a esta administracin de riesgos. Por lo tanto, no ha habido comunicados al respecto. Es evidente que algunos miembros de la organizacin han llegado a la conclusin de que la administracin de riesgos tiene valor. No obstante, los esfuerzos de administracin de riesgos se han llevado a cabo de un modo ad hoc. No hay directivas o procesos documentados y el proceso no se puede repetir por completo. En general, los proyectos de

Ad hoc

Nivel Estado

Definicin

administracin de riesgos parecen caticos y sin coordinacin; los resultados no se han medido ni auditado.
2 Repetible

Hay una toma de conciencia de la administracin de riesgos en la organizacin. El proceso de administracin de riesgos es repetible aunque inmaduro. El proceso no est totalmente documentado; no obstante, las actividades se realizan peridicamente y la organizacin est trabajando en establecer un proceso de administracin de riesgos exhaustivo con la participacin de los directivos. No hay cursos formales ni comunicados acerca de la administracin de riesgos; la responsabilidad de la implementacin est en manos de empleados individuales. La organizacin ha tomado una decisin formal de adoptar la administracin de riesgos incondicionalmente con el fin de llevar a cabo su programa de seguridad de informacin. Se ha desarrollado un proceso de lnea de base en el que se han definido los objetivos de forma clara con procesos documentados para lograr y medir el xito. Adems, todo el personal dispone de algunos cursos de administracin de riesgos rudimentaria. Finalmente, la organizacin est implementando de forma activa sus procesos de administracin de riesgos documentados. riesgos en todos los niveles de la organizacin. Los procedimientos de administracin de riesgos existen, el proceso est bien definido, la comunicacin de la toma de conciencia es muy amplia, hay disponibles cursos rigurosos y se han implementado algunas formas iniciales de medicin para determinar la efectividad. Se han dedicado recursos suficientes al programa de administracin de riesgos, muchas partes de la organizacin disfrutan de sus ventajas y el equipo de administracin de riesgos de seguridad puede mejorar continuamente sus procesos y herramientas. Se utilizan herramientas de tecnologa como ayuda para la administracin de riesgos, pero la mayora de los procedimientos, si no todos, de evaluacin de riesgos, identificacin de controles y anlisis de costo-beneficios son manuales.

Proceso definido

Administrado Hay un conocimiento extendido de la administracin de

Optimizado

La organizacin ha dedicado recursos importantes a la administracin de riesgos de seguridad y los miembros del personal miran al futuro intentando determinar los problemas y soluciones que habr en los meses y aos

Nivel Estado

Definicin

venideros. El proceso de administracin de riesgos se ha comprendido bien y se ha automatizado considerablemente mediante el uso de herramientas (desarrolladas internamente o adquiridas a proveedores de software independientes). La causa principal de todos los problemas de seguridad se ha identificado y se han adoptado medidas adecuadas para minimizar el riesgo de repeticin. El personal dispone de cursos en distintos niveles de experiencia.

Tabla 3.3: Funciones y responsabilidades principales del proceso de administracin de riesgos de seguridad Ttulo Patrocinador ejecutivo Responsabilidad principal

Patrocina todas las actividades asociadas a la administracin de riesgos para la empresa; por ejemplo, desarrollo, asignacin de fondos, autoridad y apoyo al equipo de administracin de riesgos de seguridad. Esta funcin normalmente la lleva a cabo un ejecutivo, como responsables de la seguridad o responsables de la informacin. Esta funcin tambin sirve de ltimo punto de traspaso para definir el riesgo aceptable para la empresa. Se encarga de los activos tangibles e intangibles de la empresa. Los responsables de negocios tambin se encargan de la asignacin de prioridades a los activos de negocios y de la definicin de los niveles de repercusin en los activos. Los responsables de negocios normalmente se encargan de la definicin de los niveles de riesgo; no obstante, el patrocinador ejecutivo toma la decisin final de incorporar comentarios del grupo de seguridad de informacin. Se encarga del proceso de administracin de riesgos global, incluidas las fases de evaluacin de riesgos y de medicin de la efectividad del programa. Tambin define los requisitos de seguridad funcionales y mide los controles de TI y la efectividad global del programa de

Responsable de negocios

Grupo de seguridad de informacin

Ttulo

Responsabilidad principal

administracin de riesgos de seguridad.

Grupo de tecnologa de la informacin Equipo de administracin de riesgos de seguridad

Incluye arquitectura, ingeniera y operaciones de TI. Es responsable de dirigir el programa de administracin de riesgos global. Tambin es responsable de la fase de evaluacin de riesgos y de asignar prioridades a los riesgos para la empresa. Como mnimo, el equipo consta de un responsable de evaluacin y de un responsable de registro. Como funcin principal del equipo de administracin de riesgos de seguridad, dirige los debates de recopilacin de datos. Esta funcin tambin puede dirigir todo el proceso de administracin de riesgos. Registra la informacin de riesgos detallada durante los debates de recopilacin de datos. Se encargan de implementar y sustentar las soluciones de control para administrar el riesgo con un nivel aceptable. Incluye al grupo de TI y, en algunos casos, a los responsables de negocios. Consta del equipo de administracin de riesgos de seguridad, representantes del grupo de TI y responsables de negocios especficos. El patrocinador ejecutivo normalmente dirige este comit. Es responsable de seleccionar las estrategias de mitigacin y de definir el riesgo aceptable para la empresa. Trmino general que hace referencia a los participantes directos e indirectos en un determinado proceso o programa; se utiliza en todo el proceso de administracin de riesgos de seguridad de Microsoft. Los participantes tambin pueden ser grupos ajenos a TI, por ejemplo, finanzas, relaciones pblicas y recursos humanos.

Responsable de evaluacin de riesgos

Responsable de registro de evaluacin de riesgos Responsables de mitigacin

Comit directivo de seguridad

Participante

El equipo de administracin de riesgos de seguridad encontrar participantes que intervengan por primera vez en el proceso de administracin de riesgos que no

comprendan por completo sus funciones. Aproveche siempre la oportunidad para proporcionar un resumen del proceso y de sus participantes. El objetivo es lograr el consenso y destacar el hecho de que cada participante tiene su responsabilidad en la administracin de riesgos. El siguiente diagrama, donde se resumen los participantes clave y se muestran sus relaciones de alto nivel, puede resultar til para comunicar las funciones y responsabilidades definidas anteriores y debe ofrecer un resumen del proceso de administracin de riesgos. Para resumir, el patrocinador ejecutivo es el ltimo responsable de definir el riesgo aceptable y proporciona orientacin al equipo de administracin de riesgos de seguridad en cuanto a la clasificacin de riesgos para la empresa. El equipo de administracin de riesgos de seguridad es responsable de evaluar el riesgo y de definir los requisitos funcionales para mitigar el riesgo a un nivel aceptable. Posteriormente, el equipo de administracin de riesgos de seguridad colabora con los grupos de TI que se encargan de la seleccin, la implementacin y las operaciones de mitigacin. La relacin final definida a continuacin es el control del equipo de administracin de riesgos de seguridad de la medicin de la efectividad del control. Normalmente se realiza mediante informes de auditora, que tambin se notifican al patrocinador ejecutivo.

Figura 3.5 Resumen de las funciones y responsabilidades empleadas en el proceso de administracin de riesgos de seguridad de Microsoft