Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Guía de Administración de Riesgos de Seguridad

    Încărcat de

    Juan Jose Jaspe
    126 vizualizări166 pagini

    Titlu original

    Guía de administración de riesgos de seguridad

    Drepturi de autor

    © Attribution Non-Commercial (BY-NC)

    Formate disponibile

    PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    126 vizualizări166 pagini

    Guía de Administración de Riesgos de Seguridad

    Încărcat de

    Juan Jose Jaspe

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 166

    Gua de administracin de riesgos de seguridad Informacin general de la Gua de administracin de riesgos de seguridad Captulo 1: Introduccin a la gua de administracin de riesgos

    de seguridad Captulo 2: Estudio de prcticas de administracin de riesgos de seguridad Captulo 3: Informacin general acerca de la administracin de riesgos de seguridad Captulo 4: Evaluacin del riesgo Captulo 5: Apoyo a la toma de decisiones Captulo 6: Implementacin de controles y medicin de la efectividad del programa Apndice A: Evaluaciones de riesgos ad hoc Apndice B: Activos comunes del sistema de informacin Apndice C: Amenazas comunes Apndice D: Vulnerabilidades

    Gua de administracin de los riesgos de seguridad Descripcin


    Los clientes se pueden sentir agobiados al tratar de iniciar un plan de administracin de los riesgos de seguridad. Esto ocurre porque no tienen la experiencia interna, los recursos de presupuesto o los parmetros de contratacin externa. Para ayudar a estos clientes Microsoft desarroll la Gua de administracin de los riesgos de seguridad. Con esta gua los clientes de cualquier tipo pueden planear, desarrollar y mantener un programa exitoso de administracin de los riesgos de seguridad. En un proceso de cuatro fases, descrito ms adelante, la gua explica cmo realizar cada fase de un programa de administracin de los riesgos y cmo desarrollar un proceso continuo para medir y manejar los riesgos de seguridad en un nivel aceptable.

    Esta gua es tecnolgicamente agnstica y hace referencia a muchos estndares aceptados por la industria para administrar los riesgos de seguridad. Es un importante ejemplo del compromiso de Microsoft de aportar orientacin de calidad que ayude a los clientes para asegurar sus infraestructuras de informtica (IT). Esta gua incorpora las experiencias del mundo real del rea informtica de Microsoft y tambin incluye contribuciones de los clientes y socios de negocios de Microsoft. Esta gua se desarroll, revis y aprob por equipos de expertos acreditados en seguridad. Esta gua y otros temas de orientacin de seguridad estn disponibles en el Centro de seguridad (en ingls) [

    http://www.microsoft.com/technet/security/default.mspx ] en www.microsoft.com/technet/security. La retroalimentacin o las preguntas sobre esta gua se deben dirigir a secwish@microsoft.com. Esta gua consta de seis captulos y cuatro apndices. En esta pgina Captulo 1: Introduccin a la Gua de administracin de los riesgos de seguridad Captulo 2: Encuesta de las prcticas de administracin de los riesgos de seguridad Captulo 3: Descripcin general de la administracin de los riesgos de seguridad Captulo 4: Evaluar los riesgos Captulo 5: Efectuar el soporte de las decisiones Captulo 6: Implementar los controles y medir la eficacia del programa Apndices Recursos relacionados Enve su retroalimentacin

    Captulo 1: Introduccin a la Gua de administracin de los riesgos de seguridad


    El captulo 1 presenta la Gua de administracin de los riesgos de seguridad (SRMG) y ofrece una breve descripcin general de los captulos subsiguientes. Tambin brinda informacin sobre:

    Consejos para tener xito con un programa de administracin de los riesgos de seguridad Trminos y definiciones esenciales Convenciones de estilo en los documentos Referencias para ms informacin

    Principio de la pgina Captulo 2: Encuesta de las prcticas de administracin de los riesgos de seguridad El captulo 2 establece la base y ofrece un contexto para la SRMG al revisar otros enfoques de la administracin de los riesgos de seguridad y ciertas consideraciones relacionadas, incluyendo cmo determinar el nivel de madurez de la administracin de riesgos de su empresa.

    Principio de la pgina Captulo 3: Descripcin general de la administracin de los riesgos de seguridad

    El captulo 3 contiene una perspectiva ms detallada de las cuatro fases del proceso SRMG y presenta algunos conceptos y claves importantes para tener xito. Tambin brinda asesora sobre cmo preparar el programa a travs de una planeacin efectiva y enfatiza la creacin de un Equipo de administracin de los riesgos de seguridad consistente, con roles y responsabilidades bien definidos. Principio de la pgina Captulo 4: Evaluar los riesgos El captulo 4 aborda la primera fase, Evaluar los riesgos, en detalle. Los pasos en esta fase incluyen planear, recopilar los datos y establecer la prioridad de los riesgos. La prioridad de los riesgos se compone de resumen y niveles detallados, equilibrar los enfoques cualitativo y cuantitativo para tener informacin de riesgos confiable dentro de los elementos de compensacin del tiempo y esfuerzo. El resultado de la fase de Evaluar los riesgos es una lista de los riesgos importantes con un anlisis detallado que el equipo puede utilizar para tomar decisiones de negocios durante la siguiente fase del proceso.

    Principio de la pgina Captulo 5: Efectuar el soporte de las decisiones El captulo 5 aborda la segunda fase, Efectuar el soporte de las decisiones. Durante esta fase, los equipos determinan cmo resolver los riesgos esenciales de las formas ms efectivas y redituables. Los equipos identifican controles, estiman costos, evalan el grado de reduccin de riesgos y despus determinan qu controles se deben implementar. El resultado de la fase Efectuar el soporte de las decisiones es un plan claro y factible para controlar o aceptar cada uno de los riesgos principales identificados en la fase Evaluar los riesgos.

    Principio de la pgina Captulo 6: Implementar los controles y medir la eficacia del programa El captulo 6 aborda las dos fases finales de la SRMG: Implementar los controles y medir la eficacia del programa. En la fase Implementar los controles, los Propietarios de mitigacin crean y ejecutan los planes basados en la lista de soluciones de control que surgen durante el proceso de efectuar el soporte de las decisiones. Al completar las tres primeras fases del proceso de administracin de los riesgos de seguridad, las empresas deben evaluar su progreso con relacin a la administracin de los riesgos de seguridad

    completa. La fase final, Medir la eficacia del programa, presenta el concepto de una "Tarjeta de resultados de los riesgos de seguridad" para ayudar en este esfuerzo.

    Principio de la pgina Apndices Los apndices incluyen:


    Apndice A: Evaluaciones de riesgo Ad-Hoc Apndice B: Activos comunes del sistema informtico Apndice C: Amenazas comunes Apndice D: Vulnerabilidades

    Gua de administracin de riesgos de seguridad Captulo 1: Introduccin a la Gua de administracin de riesgos de seguridad Publicado: 15/10/2004 En esta pgina Resumen ejecutivo Destinatarios de la gua mbito de la gua Claves para el xito Trminos y definiciones Convenciones de estilo Obtencin de ayuda para esta gua Informacin adicional Resumen ejecutivo Retos del entorno La mayora de las organizaciones reconocen la funcin fundamental que la tecnologa de la informacin (TI) desempea en sus objetivos de negocios. Pero las infraestructuras de TI extremadamente conectadas de hoy en da existen en un entorno que es cada vez ms hostil: los ataques se efectan con mayor frecuencia y exigen un tiempo de reaccin ms breve. Con frecuencia las organizaciones no pueden reaccionar ante las nuevas amenazas de seguridad antes de que afecten a su negocio. La administracin de la seguridad de sus infraestructuras, y el valor de negocio que ofrecen, se ha convertido en una preocupacin primordial para los departamentos de TI.

    Adems, la nueva legislacin que emana de preocupaciones de privacidad, obligaciones financieras y gobernanza corporativa exige que las organizaciones administren sus infraestructuras de TI de un modo ms estricto y eficaz que en el pasado. Muchas agencias gubernamentales y organizaciones que trabajan con dichas agencias estn obligadas por ley a mantener un nivel mnimo de control de la seguridad. Si la seguridad no se administra proactivamente, los ejecutivos y las organizaciones se exponen a riesgos debidos a infracciones que conllevan responsabilidades fiduciarias y legales. Un camino mejor El enfoque de Microsoft para la administracin de riesgos de seguridad proporciona un enfoque proactivo que puede ayudar a las organizaciones de cualquier tamao a responder a los requisitos que presentan estos retos del entorno y legales. Un proceso de administracin de riesgos de seguridad formal permite que las empresas funcionen de un modo ms econmico con un nivel conocido y aceptable de riesgos de negocios. Tambin ofrece a las organizaciones una forma coherente y clara para organizar y asignar prioridades a los recursos limitados con el fin de administrar el riesgo. Las ventajas de utilizar una administracin de riesgos de seguridad se apreciarn al implementar controles asequibles que reduzcan el riesgo a un nivel aceptable. La definicin de riesgo aceptable, as como el enfoque para administrar el riesgo, vara de una organizacin a otra. No hay una respuesta acertada o errnea; existen numerosos modelos de administracin de riesgos en uso actualmente. Cada modelo ofrece un equilibrio entre precisin, recursos, tiempo, complejidad y subjetividad. La inversin en un proceso de administracin de riesgos, con un marco slido y funciones y responsabilidades bien definidas, prepara la organizacin para articular prioridades, planear la mitigacin de amenazas y afrontar la siguiente amenaza o vulnerabilidad de la empresa. Adems, un programa de administracin de riesgos eficaz ayudar a la empresa a realizar un progreso importante hacia el cumplimiento de los nuevos requisitos legislativos. Funcin de Microsoft en la administracin de riesgos de seguridad sta es la primera gua normativa publicada por Microsoft que se centra por completo en la administracin de riesgos de seguridad. Basada en las experiencias propias de Microsoft y en las de sus clientes, esta gua ha sido probada y revisada por clientes, socios y revisores tcnicos durante su desarrollo. El objetivo de este esfuerzo es ofrecer una gua clara y aplicable acerca de cmo implementar un proceso de administracin de riesgos de seguridad que proporcione numerosas ventajas, entre las que se incluyen:

    Hacer que los clientes adopten una postura de seguridad proactiva y liberarlos de un proceso reactivo y frustrante.

    Poder cuantificar la seguridad al mostrar el valor de los proyectos de seguridad. Ayudar a los clientes a mitigar de forma eficaz los riesgos de mayor envergadura en sus entornos en vez de aplicar recursos escasos a todos los riesgos posibles.

    Informacin general acerca de la gua Esta gua emplea estndares del sector para ofrecer un hbrido de los modelos de administracin de riesgos establecidos en un proceso de cuatro fases iterativos que busca el equilibrio entre el costo y la efectividad. Durante un proceso de evaluacin de riesgos, los pasos cualitativos identifican rpidamente los riesgos ms importantes. A continuacin se expone un proceso cuantitativo basado en funciones y responsabilidades definidas cuidadosamente. Este enfoque es muy detallado y conlleva un conocimiento exhaustivo de los riesgos ms importantes. La combinacin de pasos cualitativos y cuantitativos en el proceso de administracin de riesgos proporciona la base sobre la que pueden tomar decisiones slidas acerca del riesgo y la mitigacin, siguiendo un proceso empresarial inteligente. Nota: no se preocupe si algunos de los conceptos que se tratan en este resumen ejecutivo le resultan nuevos; en los captulos se explican detalladamente. Por ejemplo, en el captulo 2, "Estudio de prcticas de administracin de riesgos de seguridad", se examinan las diferencias entre los enfoques cualitativos y cuantitativos de la evaluacin de riesgos. El proceso de administracin de riesgos de seguridad de Microsoft permite que las organizaciones implementen y mantengan procesos para identificar y asignar prioridades a los riesgos en sus entornos de TI. El cambio de los clientes de un enfoque reactivo a uno proactivo mejora fundamentalmente la seguridad en sus entornos. A su vez, una seguridad mejorada facilita una mayor disponibilidad de las infraestructuras de TI y un mayor valor de negocios. El proceso de administracin de riesgos de seguridad ofrece una combinacin de varios enfoques, entre los que se incluyen anlisis cuantitativo puro, anlisis del rendimiento de la inversin en seguridad (ROSI), anlisis cualitativo y enfoques de prcticas recomendadas. Es importante tener en cuenta que en esta gua se trata un proceso y que no tiene requisitos de tecnologa especficos. Factores importantes para el xito Existen numerosas claves para lograr una implementacin satisfactoria de un programa de administracin de riesgos de seguridad en una organizacin. Algunas de ellas resultan de especial importancia y se presentarn aqu; otras se tratarn en la seccin "Claves para el xito" ms adelante en este captulo. En primer lugar, no se puede llevar a cabo una administracin de riesgos de seguridad si no se cuenta con el apoyo y el compromiso del equipo directivo. Cuando la administracin de riesgos de seguridad se

    dirige desde la cpula, las organizaciones pueden articular la seguridad en trminos de valor para la empresa. A continuacin, una definicin clara de funciones y responsabilidades resulta fundamental para el xito. Los responsables de negocios son los encargados de identificar las repercusiones de un riesgo. Tambin se encuentran en la mejor posicin para articular el valor de negocio de los activos que son necesarios para llevar a cabo sus funciones. El grupo de seguridad de informacin se encarga de identificar la probabilidad de que se produzca el riesgo teniendo en cuenta los controles actuales y propuestos. El grupo de tecnologa de informacin es el responsable de implementar los controles que el comit directivo de seguridad ha seleccionado cuando la probabilidad de una vulnerabilidad presenta un riesgo inaceptable. Prximos pasos La inversin en un programa de administracin de riesgos de seguridad (con un proceso slido y factible as como funciones y responsabilidades definidas) prepara a una organizacin a articular prioridades, planear la mitigacin de amenazas y afrontar amenazas y vulnerabilidades crticas para la empresa. Utilice esta gua para evaluar su preparacin y orientar sus capacidades de administracin de riesgos de seguridad. Si necesita o desea ms ayuda, pngase en contacto con un equipo de cuentas de Microsoft o con un socio de Microsoft Services. Principio de la pgina Destinatarios de la gua Esta gua se ha diseado principalmente para consultores, especialistas en seguridad, arquitectos de sistemas y profesionales de TI que son responsables de planear el desarrollo y la implementacin de aplicaciones o infraestructuras en varios proyectos. Estas funciones incluyen las siguientes descripciones de trabajo comunes:

    Diseadores y arquitectos de sistemas que son responsables de los esfuerzos en materia de arquitectura de sus organizaciones.

    Miembros del equipo de seguridad de informacin que estn centrados exclusivamente en proporcionar seguridad entre las plataformas de una organizacin.

    Auditores de seguridad y de TI que son responsables de garantizar que las organizaciones han adoptado las precauciones adecuadas para proteger sus activos de negocios importantes.

    Ejecutivos, analistas de negocio y responsables de la toma de decisiones con objetivos y requisitos de negocios cruciales que necesitan el apoyo de TI.

    Consultores y socios que necesiten herramientas de transferencia de conocimientos para clientes y socios empresariales.

    Principio de la pgina mbito de la gua El enfoque de esta gua est en el modo de planear, establecer y mantener un proceso de administracin de riesgos de seguridad satisfactorio en las organizaciones de cualquier tamao y tipo. En el material se explica cmo llevar a cabo cada fase de un proyecto de administracin de riesgos y el modo de convertir el proyecto en un proceso continuo que permite a la organizacin adoptar los controles ms tiles y asequibles para mitigar los riesgos de seguridad. Informacin general del contenido La Gua de administracin de riesgos de seguridad consta de seis captulos, que se describen a continuacin brevemente. Cada captulo se basa en una prctica completa necesaria para iniciar y poner en funcionamiento de forma eficaz un proceso de administracin de riesgos de seguridad continuo en la organizacin. A continuacin de los captulos se incluyen varios apndices y herramientas que le ayudarn a organizar sus proyectos de administracin de riesgos de seguridad. Captulo 1: Introduccin a la Gua de administracin de riesgos de seguridad En este captulo se presenta la gua y se ofrece una breve descripcin de cada captulo. Captulo 2: Estudio de prcticas de administracin de riesgos de seguridad Es importante sentar las bases del proceso de administracin de riesgos de seguridad mediante la revisin de las distintas formas en que las organizaciones han enfocado la administracin de riesgos de seguridad en el pasado. Los lectores que ya tengan experiencia en administracin de riesgos de seguridad pueden consultar el captulo rpidamente; se recomienda que los que tengan poca experiencia en la seguridad o la administracin de riesgos lo lean detenidamente. El captulo comienza con una revisin de los puntos fuertes y dbiles de los enfoques proactivo y reactivo de la administracin de riesgos. Posteriormente, se vuelve a analizar el concepto de madurez de administracin de riesgos organizativa que se presenta en el captulo 1, "Introduccin a la gua de administracin de riesgos de seguridad". Finalmente, en el captulo se evala y se comparan la administracin de riesgos cualitativa y la administracin de riesgos cuantitativa, los dos mtodos tradicionales. El proceso se presenta como un mtodo alternativo, que proporciona un equilibrio entre estas metodologas, lo que deriva en un proceso que ha demostrado su eficacia en Microsoft. Captulo 3: Informacin general acerca de la administracin de riesgos de seguridad En este captulo se proporciona un examen ms detallado del proceso de administracin de riesgos de seguridad de Microsoft y se presentan algunos de los conceptos y claves importantes para el xito.

    Tambin se ofrece orientacin acerca de cmo prepararse para el proceso mediante un planeamiento eficaz y la creacin de un equipo de administracin de riesgos de seguridad slido con funciones y responsabilidades bien definidas. Captulo 4: Evaluacin del riesgo En este captulo se explica detalladamente la fase de evaluacin de riesgos del proceso de administracin de riesgos de seguridad de Microsoft. Los pasos de esta fase incluyen el planeamiento, la recopilacin de datos facilitados y la asignacin de prioridades a los riesgos. El proceso de evaluacin de riesgos consta de varias tareas, algunas de las cuales pueden resultar muy exigentes para una organizacin grande. Por ejemplo, la identificacin y la determinacin de los valores de los activos de negocios pueden durar mucho tiempo. Otras tareas, como la identificacin de amenazas y de vulnerabilidades, requieren grandes conocimientos tcnicos. Los retos relacionados con estas tareas ilustran la importancia de un planeamiento correcto y de la creacin de un equipo de administracin de riesgos de seguridad slo, tal como se recalca en el captulo 3, "Informacin general acerca de la administracin de riesgos de seguridad". En la asignacin de prioridades a los riesgos de resumen, el equipo de administracin de riesgos de seguridad utiliza un enfoque cualitativo para clasificar la lista completa de riesgos de seguridad para poder identificar los ms importantes y someterlos a un mayor anlisis. A continuacin, los riesgos principales se someten a un anlisis detallado mediante tcnicas cuantitativas. El resultado es una lista breve de los riesgos ms importantes con mtricas detalladas que el equipo puede utilizar para tomar decisiones sensatas durante la siguiente fase del proceso. Captulo 5: Apoyo a la toma de decisiones Durante la fase de apoyo a la toma de decisiones del proceso, el equipo de administracin de riesgos de seguridad determina cmo afrontar los riesgos clave del modo ms eficaz y asequible. El equipo identifica los controles, determina los costos asociados a la adquisicin, implementacin y soporte de cada control, evala la reduccin del nivel de riesgo que logra cada control y, finalmente, trabaja con el comit directivo de seguridad para determinar los controles que se implementarn. El resultado final es un plan claro y aplicable para controlar o aceptar cada uno de los riesgos principales identificados en la fase de evaluacin de riesgos. Captulo 6: Implementacin de controles y medicin de la efectividad del programa En este captulo se tratan las dos ltimas fases del proceso de administracin de riesgos de seguridad de Microsoft: la implementacin de controles y la medicin de la efectividad del programa. La fase de implementacin de controles se explica por s misma: los responsables de mitigacin crean y ejecutan

    planes en funcin de la lista de soluciones de control surgida durante el proceso de apoyo a la toma de decisiones para mitigar los riesgos identificados en la fase de evaluacin de riesgos. En este captulo se proporcionan vnculos a indicaciones normativas que los responsables de mitigacin de su organizacin pueden considerar tiles para responder a distintos riesgos. La fase de medicin de la efectividad del programa es un proceso continuo en el que el equipo de administracin de riesgos de seguridad comprueba peridicamente que los controles implementados durante la fase anterior estn ofreciendo realmente el nivel de proteccin previsto. Otro paso de esta fase consiste en valorar el progreso global que la organizacin est efectuando en relacin con la administracin de riesgos de seguridad como un conjunto. En el captulo se introduce el concepto de un "clculo de riesgos de seguridad" que puede utilizar para realizar el seguimiento de la actuacin de su organizacin. Finalmente, en el captulo se explica la importancia de vigilar los cambios en el entorno informtico, como la adicin y eliminacin de sistemas y aplicaciones o la aparicin de nuevas amenazas y vulnerabilidades. Estos tipos de cambios pueden requerir que la organizacin adopte acciones inmediatas para protegerse de riesgos nuevos o cambiantes. Apndice A: Evaluaciones ad hoc En este apndice se compara el proceso de evaluacin de riesgos de empresa formal con el enfoque ad hoc que muchas organizaciones adoptan. Se destacan las ventajas y las desventajas de cada mtodo y se sugiere cundo resulta ms sensato utilizar uno u otro. Apndice B: Activos comunes del sistema de informacin En este apndice se enumeran los activos del sistema de informacin que se encuentran habitualmente en organizaciones de varios tipos. Esta lista no pretende ser exhaustiva y es improbable que represente todos los activos del entorno nico de su organizacin. Por lo tanto, es importante que personalice la lista durante el proceso de evaluacin de riesgos. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organizacin a empezar. Apndice C: Amenazas comunes En este apndice se enumeran las amenazas que probablemente pueden afectar a una amplia gama de organizaciones. La lista no es exhaustiva y, debido a que es esttica, no estar actualizada. Por lo tanto, es importante que quite las amenazas que no son relevantes para su organizacin y agregue las identificadas recientemente durante la fase de evaluacin de su proyecto. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organizacin a empezar. Apndice D: Vulnerabilidades

    En este apndice se enumeran las vulnerabilidades que probablemente pueden afectar a una amplia gama de organizaciones. La lista no es exhaustiva y, debido a que es esttica, no estar actualizada. Por lo tanto, es importante que quite las vulnerabilidades que no son relevantes para su organizacin y agregue las identificadas recientemente durante el proceso de evaluacin de riesgos. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organizacin a empezar. Herramientas y plantillas En esta gua se incluye una serie de herramientas y plantillas que facilitarn a su organizacin la implementacin del proceso de administracin de riesgos de seguridad de Microsoft. Estas herramientas y plantillas estn incluidas en un archivo WinZip autoextrable que est disponible en el Centro de descarga. Tenga en cuenta que la descarga tambin contiene una copia de esta gua. Al extraer los archivos del archivo de almacenamiento descargado, se crea la siguiente estructura de carpetas en la ubicacin especificada:

    \Gua de administracin de riesgos de seguridad: contiene la versin de esta gua en un archivo de formato de documento porttil (PDF).

    \Gua de administracin de riesgos de seguridad\Herramientas y plantillas: contiene los siguientes archivos:

    Plantilla de recopilacin de datos (GARSHerramienta1-Herramienta de recopilacin de datos.doc). Puede utilizar esta plantilla en la fase de evaluacin de riesgos durante los talleres que se describen en el captulo 4, "Evaluacin del riesgo".

    Hoja de trabajo Anlisis de riesgos de nivel de resumen (GARSHerramienta2-Nivel de riesgo de resumen.xls). Esta hoja de trabajo de Microsoft Excel ayudar a su organizacin a realizar el primer paso del anlisis de riesgos: el anlisis de nivel de resumen.

    Hoja de trabajo Anlisis de riesgos de nivel de detalle (GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls). Esta hoja de trabajo de Excel ayudar a su organizacin a realizar un anlisis ms exhaustivo de los riesgos principales identificados durante el anlisis de nivel de resumen.

    Programa de ejemplo (GARSHerramienta4-Programa de proyecto de ejemplo.xls). Esta hoja de trabajo de Excel muestra un programa de proyecto de alto nivel para el proceso de administracin de riesgos de seguridad. Incluye las fases, los pasos y las tareas descritos a lo largo de la gua.

    Principio de la pgina Claves para el xito Siempre que una organizacin emprende una nueva iniciativa importante, deben existir varios elementos fundamentales si se desea que el esfuerzo tenga xito. Microsoft ha identificado los componentes que deben existir antes de la implementacin de un proceso de administracin de riesgos de seguridad con xito y que deben seguir existiendo una vez se ha puesto en marcha. Se trata de:

    Patrocinio ejecutivo. Lista bien definida de los participantes en la administracin de riesgos. Madurez organizativa en administracin de riesgos. Ambiente de comunicaciones abiertas. Espritu de trabajo en equipo. Visin holstica de la organizacin. Autoridad de equipo de administracin de riesgos de seguridad.

    En las siguientes secciones se tratan estos elementos necesarios en todo el proceso de administracin de riesgos; los adicionales que resulten pertinentes para fases especficas se indican en los captulos donde se explican dichas fases. Patrocinio ejecutivo Los directivos deben apoyar de forma clara y con entusiasmo el proceso de administracin de riesgos de seguridad. Sin este patrocinio, los participantes pueden oponerse o socavar los esfuerzos para utilizar la administracin de riesgos con el fin de lograr que la organizacin sea ms segura. Asimismo, sin un patrocinio ejecutivo claro, los empleados pueden hacer caso omiso a las directivas acerca del modo de llevar a cabo su trabajo o no ayudar a proteger los activos organizativos. Existen numerosos motivos posibles por los que los empleados no colaboren. Entre otros, se puede mencionar la resistencia generalizada a los cambios, la falta de consideracin acerca de la importancia de una administracin de riesgos eficaz, la creencia no exactamente cierta de que ellos, como individuos, poseen unos conocimientos slidos acerca de cmo proteger los activos de negocios aunque su punto de vista pueda no ser tan amplio o profundo como el del equipo de administracin de riesgos de seguridad o la creencia de que su parte de la organizacin nunca ser objetivo de los posibles piratas informticos. El patrocinio implica lo siguiente:

    Delegacin de autoridad y responsabilidad al equipo de administracin de riesgos de seguridad para un alcance de proyecto articulado de forma clara.

    Apoyo a la participacin de todo el personal segn sea necesario.

    Asignacin de recursos suficientes, como personal y recursos financieros. Apoyo claro y enrgico al proceso de administracin de riesgos de seguridad. Participacin en la revisin de los resultados y las recomendaciones del proceso de administracin de riesgos de seguridad.

    Lista bien definida de los participantes en la administracin de riesgos En esta gua con frecuencia se hace referencia al trmino participantes, que en este contexto significa miembros de la organizacin que estn interesados en los resultados del proceso de administracin de riesgos de seguridad. El equipo de administracin de riesgos de seguridad tiene que saber quines son todos los participantes, incluido el propio equipo nuclear as como los patrocinadores ejecutivos. Tambin se incluyen las personas que se encargan de los activos de negocios que se evaluarn. El personal de TI responsable de disear, implementar y administrar los activos de negocios tambin son participantes clave. Los participantes se deben identificar para que se puedan incorporar al proceso de administracin de riesgos de seguridad. El equipo de administracin de riesgos de seguridad debe dedicar tiempo en ayudarles a comprender el proceso y el modo en que pueden colaborar para proteger sus activos y ahorrar dinero a largo plazo. Madurez organizativa en administracin de riesgos Si una organizacin no dispone actualmente de un proceso de administracin de riesgos de seguridad, el proceso de Microsoft puede implicar demasiados cambios para implementarlo por completo. Aunque una organizacin tenga algunos procesos informales, como esfuerzos ad hoc que se ponen en marcha como respuesta a problemas de seguridad especficos, el proceso puede parecer abrumador. No obstante, puede resultar eficaz en organizacin con ms madurez en administracin de riesgos; la madurez se hace patente en cuestiones como procesos de seguridad bien definidos y un conocimiento y aceptacin slidos de la administracin de riesgos de seguridad en muchos niveles de la organizacin. En el captulo 3, "Informacin general acerca de la administracin de riesgos de seguridad", se trata el concepto de madurez de administracin de riesgos de seguridad y cmo calcular el nivel de madurez de su organizacin. Ambiente de comunicaciones abiertas Muchas organizaciones y proyectos funcionan exclusivamente sobre la base de "quien necesite saberlo", que con frecuencia provoca equivocaciones y merma la capacidad de un equipo para ofrecer una solucin satisfactoria. El proceso de administracin de riesgos de seguridad de Microsoft requiere un enfoque abierto y honesto de las comunicaciones, tanto dentro del equipo como con los participantes

    clave. Un flujo libre de la informacin no slo reduce el riesgo de equivocaciones y esfuerzos desperdiciados, sino que tambin garantiza que todos los miembros del equipo pueden contribuir para reducir las incertidumbres que rodean al proyecto. Un debate abierto y honesto acerca de los riesgos que se han identificado y los controles que pueden mitigarlos de forma eficaz resulta crucial para el xito del proceso. Espritu de trabajo en equipo La solidez y la validez de las relaciones entre todas las personas que trabajan en el proceso de administracin de riesgos de Microsoft tendrn un efecto muy importante en el esfuerzo. Independientemente del apoyo de los directivos, las relaciones establecidas entre el personal y responsables de seguridad y el resto de la organizacin son fundamentales para el xito global del proceso. Resulta muy importante que el equipo de administracin de riesgos de seguridad fomente un espritu de trabajo en equipo con cada uno de los representantes de las unidades de negocios con los que trabajen a lo largo del proyecto. El equipo puede facilitar este hecho si demuestra de forma eficaz el valor de negocios de la administracin de riesgos de seguridad a los responsables individuales de las unidades de negocios y si muestra al personal el modo en que el proyecto, a largo plazo, puede facilitarles su trabajo. Visin holstica de la organizacin Todos los participantes implicados en el proceso de Microsoft, en concreto el equipo de administracin de riesgos de seguridad, deben tener en cuenta a toda la organizacin durante su trabajo. Lo que resulta adecuado para un empleado concreto no suele serlo para la organizacin como un conjunto. Del mismo modo, lo que es ms beneficioso para una unidad de negocios puede no corresponder a los mejores intereses de la organizacin. El personal y los responsables de una determinada unidad de negocios intentarn instintivamente que los resultados del proceso sean beneficiosos para ellos y sus partes de la organizacin. Autoridad a travs del proceso Los participantes del proceso de administracin de riesgos de seguridad de Microsoft aceptan la responsabilidad de identificar y controlar los riesgos de seguridad ms importantes para la organizacin. Con el fin de mitigar de forma eficaz estos riesgos mediante la implementacin de controles razonables, tambin necesitan autoridad suficiente para efectuar los cambios adecuados. Los miembros del equipo deben poder cumplir los compromisos asignados. Para ello, es necesario que a los miembros del equipo se les concedan los recursos necesarios para llevar a cabo su trabajo, que sean responsables de las

    decisiones que afecten a su trabajo y que comprendan los lmites de su autoridad y las rutas de traslado a niveles superiores disponibles para tratar los problemas que trasciendan dichos lmites. Principio de la pgina Trminos y definiciones En ocasiones, la terminologa relacionada con la administracin de riesgos de seguridad puede resultar difcil de entender. En otras ocasiones, un trmino de fcil identificacin puede ser interpretado de forma distinta por diferentes personas. Por estos motivos, es importante que comprenda las definiciones que los autores de esta gua han utilizado para los trminos importantes que aparecen en ella. Muchas de las definiciones indicadas a continuacin proceden de documentos publicados por dos organizaciones: International Standards Organization (ISO) e Internet Engineering Task Force (IETF). Las direcciones Web de dichas organizaciones se proporcionan en la seccin "Informacin adicional" ms adelante en este captulo. En la siguiente lista se proporciona una perspectiva unificada de los componentes clave de la administracin de riesgos de seguridad:

    Expectativa de prdida anual (ALE): importe monetario total que una organizacin perder en un ao si no se emprende ninguna accin para mitigar un riesgo.

    Frecuencia anual (ARO): nmero de veces que se prev que se produzca un riesgo durante un ao.

    Activ o : cualquier elemento de valor para una organizacin, como componentes de hardware y software, datos, personas y documentacin.

    Disponibilidad: propiedad de un sistema o un recurso del sistema que garantiza que se puede tener acceso y utilizar segn lo solicite un usuario de sistema autorizado. La disponibilidad es una de las caractersticas bsicas de un sistema seguro.

    CID: consulte confidencialidad, integridad y disponibilidad. Confidencialidad: propiedad de que la informacin no se revela ni pone a disposicin de personas, entidades o procesos no autorizados (ISO 7498-2).

    Control: medio organizativo, de procedimiento o tecnolgico para administrar el riesgo; es sinnimo de proteccin o contramedida.

    Anlisis de costo-beneficio: estimacin y comparacin del valor relativo y el costo asociado a cada control propuesto para que se implementen los ms eficaces.

    Apoyo a la toma de decisiones: asignacin de prioridades a los riesgos segn el anlisis de costo-beneficio. El costo de la solucin de seguridad para mitigar un riesgo se compara con la ventaja para el negocio de mitigar el riesgo.

    Defensa en profundidad: enfoque en el que se utilizan varios niveles de seguridad para protegerse del error de un solo componente de seguridad.

    Aprovechamiento: medio de utilizar una vulnerabilidad para poner en peligro las actividades de negocios o la seguridad de la informacin.

    Exposicin: accin de amenaza en la que los datos confidenciales se revelan a una entidad no autorizada (RFC 2828). El proceso de administracin de riesgos de seguridad de Microsoft limita esta definicin para centrarse en el alcance de los daos en un activo empresarial.

    Efecto: prdida de negocios global prevista cuando una amenaza aprovecha una vulnerabilidad en un activo.

    Integridad: propiedad de que los datos no se han modificado ni destruido de un modo no autorizado (ISO 7498-2).

    Mitigacin: solucin de un riesgo mediante la adopcin de medidas diseadas para contrarrestar la amenaza.

    Solucin de mitigacin: implementacin de un control (organizativo, de procedimiento o tecnolgico) para hacer frente a un riesgo de seguridad.

    Probabilidad: posibilidad de que se produzca un suceso. Administracin de riesgos cualitativa: enfoque de la administracin de riesgos en el que los participantes asignan valores relativos a activos, riesgos, controles y efectos.

    Administracin de riesgos cuantitativa: enfoque de la administracin de riesgos en el que los participantes intentan asignar valores numricos objetivos (por ejemplo, valores monetarios) a activos, riesgos, controles y efectos.

    Reputacin: opinin que las personas tienen de una organizacin; la reputacin de la mayora de las organizaciones tiene un valor real aunque sea intangible y difcil de calcular.

    Rendimiento de la inversin en seguridad (ROSI): importe monetario total que una organizacin prev ahorrar en un ao si implementa un control de seguridad.

    Riesgo: combinacin de la probabilidad de un suceso y sus consecuencias (gua 73 de ISO). Evaluacin de riesgos: proceso mediante el que se identifican los riesgos y se determinan sus efectos.

    Administracin de riesgos: proceso para determinar un nivel de riesgo aceptable, evaluar el nivel de riesgo actual, adoptar medidas para reducir el riesgo al nivel aceptable y mantener dicho nivel de riesgo.

    Expectativa de prdida simple (SLE): importe total de los ingresos que se perdern si se produce una vez un riesgo.

    Amenaza: causa posible de un efecto no deseado en un sistema u organizacin (ISO 13335-1). Vulnerabilidad: cualquier debilidad, proceso administrativo, acto o exposicin fsica que permita que una amenaza ataque a un activo de informacin.

    Captulo 2: Estudio de prcticas de administracin de riesgos de seguridad


    Publicado: 15/10/2004

    Este captulo comienza con una revisin de los puntos fuertes y dbiles de los enfoques proactivo y reactivo de la administracin de riesgos de seguridad. A continuacin, en el captulo se evalan y se comparan la administracin de riesgos de seguridad cualitativa y la cuantitativa, los dos mtodos tradicionales. El proceso de administracin de riesgos de seguridad de Microsoft se presenta como un mtodo alternativo, que proporciona un equilibrio entre estas metodologas, lo que deriva en un proceso que ha demostrado su eficacia en Microsoft. Nota: es importante sentar las bases del proceso de administracin de riesgos de seguridad mediante la revisin de las distintas formas en que las organizaciones han enfocado la administracin de riesgos de seguridad en el pasado. Los lectores que ya tengan experiencia en administracin de riesgos de seguridad pueden consultar el captulo rpidamente; se recomienda que los que tengan poca experiencia en la seguridad o la administracin de riesgos lo lean detenidamente. En esta pgina Comparacin Enfoques de de los enfoques de de administracin prioridades a de riesgos riesgos

    asignacin

    Proceso de administracin de riesgos de seguridad de Microsoft Comparacin de los enfoques de administracin de riesgos Muchas organizaciones se han introducido en la administracin de riesgos de seguridad debido a la necesidad de responder a una incidencia de seguridad relativamente pequea. Por ejemplo, el equipo de un empleado se infecta con un virus y un responsable de la oficina convertido en experto informtico debe averiguar cmo tiene que erradicar el virus sin destruir el equipo ni los datos que contiene. Independientemente de cul sea la incidencia inicial, a medida que aparecen cada vez ms problemas relacionados con la seguridad y comienzan a tener repercusiones en los negocios, muchas

    organizaciones sienten frustracin al tener que responder a una crisis tras otra. Desean una alternativa a este enfoque reactivo, una alternativa que reduzca la probabilidad de que las incidencias de seguridad se produzcan en primer lugar. Las organizaciones que administran el riesgo de forma eficaz evolucionan a un enfoque ms proactivo pero, como se explicar en este captulo, esto slo constituye parte de la solucin. Enfoque reactivo Actualmente, muchos profesionales de tecnologa de informacin (TI) sienten una tremenda presin para terminar sus tareas rpidamente y provocar las menos incomodidades posibles a los usuarios. Cuando se produce una incidencia de seguridad, muchos profesionales de TI piensan que lo nico para lo que tienen tiempo de hacer es contener la situacin, averiguar qu ha sucedido y reparar los sistemas lo ms rpidamente posible. Algunos pueden intentar identificar la causa principal, pero esto incluso puede parecer un lujo para los que tienen grandes restricciones de recursos. Aunque un enfoque reactivo puede constituir una respuesta tctica eficaz a los riesgos de seguridad descubiertos y se han convertido en incidencias de seguridad, la imposicin de un pequeo nivel de rigor al enfoque reactivo puede permitir que las organizaciones de cualquier tipo utilicen mejor sus recursos. Las incidencias de seguridad recientes pueden servir de ayuda para que una organizacin se prepare y prevea los problemas futuros. Esto significa que una organizacin que dedica tiempo a responder a las incidencias de seguridad de un modo calmado y racional mientras determina los motivos subyacentes que han permitido que se produjera la incidencia podr protegerse mejor de problemas similares en el futuro y responder con ms rapidez a otros problemas que puedan aparecer. Queda fuera del alcance de esta gua el examen en profundidad de la respuesta a incidencias, pero los siguientes seis pasos al responder a incidencias de seguridad pueden ayudarle a afrontarlos de un modo rpido y eficaz: 1. Proteger la vida humana y la seguridad de las personas. sta debe ser siempre la primera prioridad. Por ejemplo, si los equipos afectados incluyen equipos de mantenimiento de vida, apagarlos puede no ser una opcin; tal vez se pueden aislar lgicamente los sistemas en la red cambiando la configuracin de enrutadores y conmutadores sin interrumpir su capacidad de ayudar a los pacientes. 2. Contener el dao. Contener el dao que ha provocado el ataque ayuda a limitar daos adicionales. Proteja rpidamente los datos, el software y el hardware importantes. Minimizar la alteracin de los recursos informacin es una consideracin importante, pero mantener los sistemas conectados durante un ataque puede causar ms problemas y de mayor difusin a

    largo plazo. Por ejemplo, si descubre un gusano en su entorno, puede intentar limitar los daos desconectando los servidores de la red. No obstante, desconectar los servidores puede resultar ms perjudicial que beneficioso. Utilice su criterio y conocimientos de la red y sistemas para tomar esta decisin. Si determina que no habr efectos negativos o que estos se vern compensados por las ventajas positivas de la actividad, la contencin se debe iniciar lo ms pronto posible durante una incidencia de seguridad mediante la desconexin de la red de los sistemas que estn afectados. Si no puede contener el dao mediante el aislamiento de los servidores, supervise activamente las acciones del pirata informtico para poder reparar los daos tan pronto como sea posible. Ante cualquier incidencia, asegrese de que todos los archivos de registro se guardan antes de apagar los servidores con el fin de conservar la informacin que contienen dichos archivos como prueba si usted (o sus abogados) la necesitan posteriormente. 3. Evaluar el dao. Cree inmediatamente un duplicado de los discos duros de los servidores atacados y qutelos para realizar un examen forense posterior. A continuacin, evale los daos. Debe empezar por determinar el alcance de los daos que el ataque ha causado tan pronto como sea posible, inmediatamente despus de contener la situacin y duplicar los discos duros. Esta accin es importante para poder restaurar las operaciones de la organizacin tan pronto como sea posible, al mismo tiempo que se conserva una copia de los discos duros para su investigacin. Si no se puede evaluar el dao de forma oportuna, debe implementar un plan de contingencias para que las operaciones de negocios normales y la productividad puedan continuar. En este momento las organizaciones pueden establecer contacto con los cuerpos de seguridad en relacin con la incidencia; no obstante, debe establecer y mantener relaciones con los cuerpos de seguridad que tengan jurisdiccin sobre la actividad de su organizacin antes de que se produzca una incidencia para que, cuando aparezca un problema grave, sepa con quin debe ponerse en contacto y con quin debe colaborar. Tambin debe avisar inmediatamente al departamento jurdico de su empresa para que pueda determinar si es posible emprender una demanda civil como consecuencia de los daos. 4. Determinar la causa del dao. Para determinar el origen del asalto, es necesario conocer los recursos a los que iba dirigido el ataque y las vulnerabilidades que se han aprovechado para obtener acceso o interrumpir los servicios. Revise la configuracin del sistema, el nivel de revisin, los registros del sistema, los registros de auditora y las pistas de auditora en los sistemas afectados directamente y en los dispositivos de red que les enrutan el trfico.

    Normalmente, estas revisiones ayudan a descubrir dnde se ha originado el ataque en el sistema y los dems recursos afectados. Debe llevar a cabo esta actividad en los sistemas informticos instalados y no en las unidades de copia de seguridad creadas en el paso 3. Dichas unidades deben permanecer intactas con fines forenses de modo que los cuerpos de seguridad o sus abogados puedan utilizarlas para descubrir a los autores del ataque y llevarlos ante la justicia. Si necesita crear una copia de seguridad para efectuar pruebas con el fin de determinar la causa del dao, cree una segunda copia de seguridad del sistema original y no utilice las unidades creadas en el paso 3. 5. Reparar el dao. Es de suma importancia que se repare el dao tan pronto como sea posible para as restaurar las operaciones de negocios normales y los datos que se han perdido durante el ataque. Los planes y procedimientos de continuidad de negocio de la organizacin deben cubrir la estrategia de restauracin. El equipo de respuesta a incidencias tambin debe estar disponible para encargarse del proceso de restauracin y recuperacin, o para proporcionar orientacin acerca del proceso al equipo responsable. Durante la recuperacin, se ejecutan los procedimientos de contingencias con el fin de evitar una mayor propagacin del dao y aislarlo. Antes de devolver los sistemas reparados al servicio, tenga cuidado de que no se vuelvan a infectar inmediatamente; para ello, asegrese de que ha mitigado las vulnerabilidades que se hayan atacado durante la incidencia. 6. Revisar las directivas de respuesta y actualizacin. Despus de haber completado las fases de documentacin y recuperacin, debe revisar a fondo el proceso. Determine con su equipo cules son los pasos que se realizaron correctamente y qu errores se cometieron. En casi todos los casos, descubrir que es necesario modificar los procesos para permitirle administrar mejor las incidencias en el futuro. Inevitablemente encontrar debilidades en su plan de respuesta a incidencias. En esto estriba la cuestin de este ejercicio detallado: se buscan oportunidades de mejora. Cualquier error debe propiciar otra ronda del proceso de plan de respuesta a incidencias para poder afrontar las incidencias futuras con menos problemas. Esta metodologa se ilustra en el siguiente diagrama:

    Figura 2.1 Proceso de respuesta a incidencias Enfoque proactivo La administracin de riesgos de seguridad proactiva tiene numerosas ventajas con respecto a un enfoque reactivo. En vez de esperar a que suceda lo peor y, a continuacin, llevar a cabo la respuesta, se minimiza la posibilidad de que pase lo peor antes de que se produzca. Se trazan planes para proteger los activos importantes de la organizacin mediante la implementacin de controles que reduzcan el riesgo de que el software malintencionado, los piratas informticos o un uso incorrecto accidental aprovechen las vulnerabilidades. Esta idea se puede ilustrar con una analoga. La gripe es una enfermedad respiratoria mortal que infecta a millones de personas en Estados Unidos cada ao. De ellas, ms de 100.000 deben recibir tratamiento en hospitales y cerca de 36.000 mueren. Podra tratar la amenaza de la enfermedad esperando a infectarse y, despus, tomar la medicina para tratar los sntomas si enferma. O tambin podra optar por vacunarse antes de que comenzara la temporada de la gripe.

    Evidentemente, las organizaciones no debe abandonar por completo la respuesta a incidencias. Un enfoque proactivo puede ayudar a las organizaciones a reducir considerablemente el nmero de incidencias de seguridad que surjan en el futuro, pero no es probable que dichos problemas desaparezcan por completo. Por lo tanto, las organizaciones deben continuar mejorando sus procesos de respuesta a incidencias mientras desarrollan simultneamente enfoques proactivos a largo plazo. En las secciones posteriores de este captulo, y en el resto de los captulos de esta gua, se examinar la administracin de riesgos de seguridad proactiva en profundidad. Todas las metodologas de administracin de riesgos de seguridad comparten algunos procedimientos de alto nivel comunes: 1. Identificar los activos de negocios. 2. Determinar el dao que un ataque a un activo podra provocar a la organizacin. 3. Identificar las vulnerabilidades que aprovechar el ataque. 4. Determinar el modo de minimizar el riesgo de ataque mediante la implementacin de los controles adecuados.

    Principio de la pgina Enfoques de asignacin de prioridades a riesgos Los trminos administracin de riesgos y evaluacin de riesgos se utilizan con frecuencia en esta gua y, aunque estn relacionados, no se pueden usar indistintamente. El proceso de administracin de riesgos de seguridad de Microsoft define la administracin de riesgos como el esfuerzo global para administrar el riesgo hasta alcanzar un nivel aceptable en la empresa. La evaluacin de riesgos se define como el proceso de identificar y asignar prioridades a los riesgos para la empresa. Hay numerosas metodologas distintas para asignar prioridades a los riesgos o evaluarlos, pero la mayora estn basadas en uno de estos dos enfoques o en una combinacin de ambos: administracin de riesgos cuantitativa o administracin de riesgos cualitativa. Consulte en la lista de recursos de la seccin "Informacin adicional" al final del captulo 1, "Introduccin a la gua de administracin de riesgos de seguridad", los vnculos a otras metodologas de evaluacin de riesgos. En las siguientes secciones de este captulo se ofrecen un resumen y una comparacin de la evaluacin de riesgos cuantitativa y la cualitativa, seguidos de una breve descripcin del proceso de administracin de riesgos de seguridad de Microsoft para que pueda apreciar cmo combina aspectos de ambos enfoques. Evaluacin de riesgos cuantitativa En las evaluaciones de riesgos cuantitativas, el objeto es intentar calcular valores numricos objetos para cada uno de los componentes recopilados durante la evaluacin de riesgos y el anlisis de costo-

    beneficio. Por ejemplo, se estima el valor verdadero de cada activo de negocios en funcin de lo que costara reemplazarlo, lo que costara en prdida de productividad, lo que costara en reputacin de marca y en otros valores de negocios directos e indirectos. Intente emplear la misma objetividad al calcular la exposicin de activos, el costo de controles y el resto de los valores que identifique durante el proceso de administracin de riesgos. Nota: en esta seccin se pretende mostrar a grandes rasgos algunos de los pasos de las evaluaciones de riesgos cuantitativas; no se trata de una gua normativa para utilizar dicho enfoque en proyectos de administracin de riesgos de seguridad. Existen algunos puntos dbiles importantes que son inherentes a este enfoque y que no se pueden solventar fcilmente. En primer lugar, no existe un modo formal y riguroso de calcular de forma eficaz los valores de los activos y de los controles. Es decir, aunque pueda parecer que ofrece ms detalle, en realidad los valores financieros oscurecen el hecho de que las cifras se basan en estimaciones. Cmo es posible calcular de un modo preciso y exacto las repercusiones que una incidencia de seguridad de amplia difusin podra tener en la marca? Se pueden examinar los datos histricos, si estn disponibles, pero no suelen estarlo. En segundo lugar, las organizaciones que han intentado aplicar meticulosamente todos los aspectos de la administracin de riesgos cuantitativa han comprobado que el proceso es excesivamente costoso. Dichos proyectos suelen tardar mucho tiempo en completar su primer ciclo completo y normalmente implican a muchos miembros del personal con discusiones acerca de cmo se han calculado los valores fiscales especficos. En tercer lugar, en organizaciones con valores de alto valor, el costo de exposicin puede ser tan alto que se gastara una ingente cantidad de dinero en mitigar los riesgos a los que estuvieran expuestas. Pero esto no es realista, una organizacin no gastara todo su presupuesto en proteger un solo activo, ni siquiera los cinco principales. Detalles del enfoque cuantitativo En este punto, puede resultar til disponer de una descripcin general de las ventajas y los inconvenientes de las evaluaciones de riesgos cuantitativas. En el resto de esta seccin se examinan algunos de los factores y valores que normalmente se evalan durante una evaluacin de riesgos cuantitativa, como la valoracin de activos, el costo de los controles, la determinacin del rendimiento de la inversin en seguridad (ROSI) y el clculo de valores para la expectativa de prdida simple (SLE), la frecuencia anual (ARO) y la expectativa de prdida anual (ALE). No se trata en absoluto de un examen exhaustivo de todos los aspectos de la evaluacin de riesgos cuantitativa, sino de un breve examen de

    algunos detalles de dicho enfoque para que compruebe que las cifras que conforman la base de todos los clculos son subjetivas en s mismas. Valoracin de activos La determinacin del valor monetario de un activo es una parte importante de la administracin de riesgos de seguridad. A menudo, los directores se basan en el valor de un activo como orientacin para determinar el dinero y tiempo que deben invertir para protegerlo. Muchas organizaciones conservan una lista de valores de los activos como parte de los planes de continuidad de negocios. No obstante, las cifras calculadas en realidad son estimaciones subjetivas: no existe ninguna herramienta o mtodo para determinar el valor de un activo. Para asignar un valor a un activo, se deben calcular los tres factores principales siguientes:

    El valor global del activo en la organizacin. Calcule o estime el valor del activo en trminos financieros directos. Consideremos el ejemplo simplificado de las repercusiones de la interrupcin temporal de un sitio Web de comercio electrnico que normalmente funciona siete das a la semana, 24 horas al da, y que genera un promedio de 2.000 dlares por hora en ingresos procedentes de los pedidos de los clientes. Puede establecer con seguridad que el valor anual del sitio Web en trminos de ingresos por ventas es de 17.520.000 dlares.

    La repercusin financiera inmediata de la prdida del activo. Si simplificamos deliberadamente el ejemplo anterior y suponemos que el sitio Web genera una tasa constante por hora y el mismo sitio Web deja de estar disponible durante seis horas, la exposicin calculada es de un 0,000685% por ao. Al multiplicar este porcentaje de exposicin por el valor anual del activo, podr predecir que las prdidas directamente atribuibles en este caso seran de 12.000 dlares. En realidad, la mayora de los sitios Web de comercio electrnico generan ingresos con unas tasas muy distintas segn la hora del da, el da de la semana, la estacin, las campaas de publicidad y otros factores. Adems, algunos clientes pueden encontrar un sitio Web alternativo que prefieran al original, por lo que dicho sitio Web puede tener una prdida de usuarios permanente. En realidad, calcular la prdida de ingresos resulta bastante complejo si se quiere ser preciso y tener en cuenta todos los tipos posibles de prdida.

    La repercusin de negocios indirecta de la prdida del activo. En este ejemplo, la empresa estima que gastar 10.000 dlares en publicidad para contrarrestar la propaganda negativa de una incidencia. Asimismo, la empresa tambin estima una prdida de un 0,01% a un 1% de ventas anuales, o 17.520 dlares. Mediante la combinacin de los gastos de publicidad

    adicionales y de la prdida ingresos por ventas anuales, en este caso se puede predecir un total de 27.520 dlares en prdidas indirectas. Determinacin de la expectativa de prdida simple La expectativa de prdida simple es la cantidad total de ingresos que se pierde por una nica incidencia del riesgo. Se trata de un importe monetario que se asigna a un nico suceso que representa la cantidad de prdida potencial de la empresa, en caso de que una amenaza especfica aproveche una vulnerabilidad. (La expectativa de prdida simple es similar a la repercusin de un anlisis de riesgos cualitativo.) Calcule dicha expectativa multiplicando el valor del activo por el factor de exposicin. Dicho factor representa el porcentaje de prdida que una amenaza realizada podra suponer para un determinado activo. Si un conjunto de servidores Web tiene un valor de activo de 150.000 dlares y un incendio provoca daos estimados en el 25% de su valor, en este caso la expectativa de prdida simple ser de 37.500 dlares. No obstante se trata de un ejemplo muy simplificado, ya que es necesario tener en cuenta otros gastos. Determinacin de la frecuencia anual La frecuencia anual es la cantidad razonable de veces que se espera que ocurra el riesgo durante el ao. La elaboracin de estas estimaciones resulta muy difcil; existen muy pocos datos actuariales disponibles. Lo que se ha recopilado hasta ahora parece ser informacin privada que poseen unas pocas empresas de seguros de bienes. Para estimar la frecuencia anual, recurra a sus experiencias anteriores y consulte a expertos en administracin de riesgos, adems de consultores de negocios y de seguridad. La frecuencia anual es similar a la probabilidad de un anlisis de riesgos cualitativo y va del 0% (nunca) al 100% (siempre). Determinacin de la expectativa de prdida anual La expectativa de prdida anual es la cantidad total de dinero que la organizacin perder en un ao si no se toman medidas para mitigar el riesgo. Para calcular este valor multiplique la expectativa de prdida simple por la frecuencia anual. La expectativa de prdida anual es similar al intervalo relativo de un anlisis de riesgo cualitativo. Por ejemplo, si un incendio en el conjunto de servidores Web de la misma empresa provoca daos valorados en 37.500 dlares y la probabilidad, o frecuencia anual, de que se produzca un incendio tiene un valor 0,1 (lo que indica una vez cada diez aos), en este caso el valor de frecuencia anual sera 3.750 dlares (37.500 x 0,1 = 3.750). La expectativa de prdida anual proporciona un valor con el que la organizacin puede trabajar para presupuestar cunto costar establecer controles o protecciones para prevenir este tipo de dao (en

    este caso, 3.750 dlares o menos al ao) y brindar un nivel adecuado de proteccin. Es importante cuantificar la posibilidad real de un riesgo y el dao, en trminos monetarios, que puede causar la amenaza para determinar la cantidad que se puede destinar en la proteccin contra la posible consecuencia de la amenaza. Determinacin del costo de los controles Determinar el costo de los controles requiere estimaciones precisas de cunto costar adquirir, probar, implementar, poner en funcionamiento y mantener cada control. Dichos costos deben incluir la compra o desarrollo de la solucin de control, la implementacin y configuracin de la solucin de control, el mantenimiento de la misma, la notificacin de nuevas directivas o procedimientos relacionados con el nuevo control a los usuarios, los cursos para usuarios y personal de TI acerca de cmo utilizar y dar soporte al control, supervisarlo y combatir la prdida de comodidad o productividad que el control pueda imponer. Por ejemplo, para reducir el riesgo de que un incendio dae el conjunto de servidores Web, la organizacin ficticia puede implementar un sistema de extincin de incendios automatizado. Ser necesario contratar a un contratista para que disee e instale el sistema y, despus, se tiene que supervisar continuamente. Tambin ser necesario comprobar el sistema peridicamente y, en ocasiones, recargarlo con los retardantes qumicos que utilice. Rendimiento de la inversin en seguridad Estime el costo de los controles mediante la siguiente ecuacin: (expectativa de prdida anual antes del control) (expectativa de prdida anual despus del control) (costo anual del control) = rendimiento de la inversin en seguridad Por ejemplo, la expectativa de prdida anual de la amenaza de que un pirata informtico inutilice un servidor Web es de 12.000 dlares y despus de implementar la proteccin sugerida se valora en 3.000 dlares. El costo anual del mantenimiento de la proteccin es de 650 dlares, por lo que el rendimiento de la inversin en seguridad es de 8.350 dlares al ao, tal como se expresa en la siguiente ecuacin: 12.000 - 3.000 - 650 = 8.350. Resultados de los anlisis de riesgos cuantitativos Los elementos de entrada de los anlisis de riesgos cuantitativos proporcionan objetivos y resultados claramente definidos. Los siguientes elementos normalmente se derivan de los resultados de los pasos anteriores:

    Valores monetarios asignados de los activos Una lista completa de amenazas importantes La probabilidad de que cada amenaza ocurra

    El potencial de prdida para la empresa, por amenaza, cada 12 meses Protecciones, controles y acciones recomendados

    Ha podido comprobar que todos estos clculos se basan en estimaciones subjetivas. Las cifras clave que proporcionan los resultados no se obtienen de ecuaciones objetivas o de conjuntos de datos actuariales bien definidos sino de las opiniones de los que realizan la evaluacin. El valor del activo, la expectativa de prdida simple, la frecuencia anual y el costo de los controles son cifras que incorporan los propios participantes (normalmente despus de mucho debate y compromiso). Evaluacin de riesgos cualitativa La diferencia entre la evaluacin de riesgos cualitativa y la cuantitativa estriba en que en la primera no se intentan aplicar valores financieros puros a los activos, prdidas previstas y costo de controles. En su lugar se calculan valores relativos. El anlisis de riesgos normalmente se lleva a cabo mediante la combinacin de cuestionarios y talleres colaborativos que implican a personas de varios grupos de la organizacin, como expertos en seguridad de informacin, responsables y personal de tecnologa de la informacin, responsables y usuarios de activos de negocios y directivos. Si se utilizan, los cuestionarios normalmente se distribuyen unos das, o unas semanas, antes del primer taller. Los cuestionarios estn diseados para descubrir los activos y controles que ya estn implementados, y la informacin recopilada puede resultar muy til durante los talleres posteriores. En los talleres, los participantes identifican los activos y estiman sus valores relativos. A continuacin, intentan determinar las amenazas a las que se enfrenta cada activo y los tipos de vulnerabilidades que pueden aprovechar dichas amenazas en el futuro. Los expertos en seguridad de informacin y los administradores del sistema normalmente proponen controles con el fin de mitigar los riesgos para el grupo en consideracin y el costo aproximado de cada control. Finalmente, los resultados se presentan a los directivos para que los tengan en cuenta durante un anlisis de costo-beneficio. Como se puede comprobar, el proceso bsico de las evaluaciones cualitativas es muy similar a lo que sucede en el enfoque cuantitativo. La diferencia se encuentra en los detalles. Las comparaciones entre el valor de un activo y otro son relativas, y los participantes no dedican demasiado tiempo en intentar calcular cifras financieras exactas para la valoracin de activos. Lo mismo sucede en el clculo de las repercusiones posibles si se produce un riesgo y el costo de la implementacin de controles. Las ventajas de un enfoque cualitativo estriban en que se supera la dificultad de calcular cifras exactas para el valor de activos, costo de control, etc., y el proceso exige menos personal. Los proyectos de administracin de riesgos cualitativa normalmente empiezan a arrojar resultados importantes al cabo de pocas semanas, mientras que en las organizaciones que optan por un enfoque cuantitativo se aprecian

    pocas ventajas durante meses, y en ocasiones aos, de esfuerzos. El inconveniente de un enfoque cualitativo reside en que las cifras resultantes son vagas; algunos de los responsables de la toma de decisiones, en concreto los que disponen de experiencia en cuestiones financieras o contables, pueden no sentirse cmodos con los valores relativos determinados durante un proyecto de evaluacin de riesgos cualitativa. Comparacin de los dos enfoques Los enfoques cualitativo y cuantitativo de la administracin de riesgos de seguridad tienen sus ventajas e inconvenientes. Determinadas situaciones pueden demandar que las organizaciones adopten el enfoque cuantitativo. Por el contrario, las organizaciones de pequeo tamao o con recursos limitados normalmente encontrarn ms adecuado el enfoque cualitativo. En la siguiente tabla se resumen las ventajas y los inconvenientes de cada enfoque: Tabla 2.1: Ventajas e inconvenientes de cada enfoque de administracin de riesgos Cuantitativo Ventajas Cualitativo

    Se asignan prioridades a los riesgos segn Permite la visibilidad y la las repercusiones financieras; se asignan comprensin de la clasificacin de prioridades de los activos segn los valores riesgos. financieros. Resulta ms fcil lograr el

    Los resultados facilitan la administracin consenso. del riesgo por el rendimiento de la inversin No es necesario cuantificar la en seguridad. frecuencia de las amenazas.

    Los resultados se pueden expresar en No es necesario determinar los terminologa especfica de administracin valores financieros de los activos. (por ejemplo, los valores monetarios y la Resulta ms fcil involucrar a probabilidad expresados como un porcentaje personas que no sean expertas en especfico). La precisin tiende a ser mayor con el tiempo a medida que la organizacin crea un registro de historial de los datos mientras gana experiencia. Inconvenientes Los valores de repercusin asignados a los No hay una distincin suficiente riesgos se basan en las opiniones subjetivas entre los riesgos importantes. seguridad o en informtica.

    de los participantes.

    Resulta difcil invertir en la de controles

    El proceso para lograr resultados crebles y implementacin el consenso es muy lento.

    porque no existe una base para un

    Los clculos pueden ser complejos y lentos. anlisis de costo-beneficio. Los resultados slo se presentan en Los resultados dependen de la trminos monetarios y pueden ser difciles calidad del equipo de

    de interpretar por parte de personas sin administracin de riesgos que los conocimientos tcnicos. El proceso requiere experiencia, por lo que los participantes no pueden recibir cursos fcilmente durante el mismo. hayan creado.

    En el pasado, los enfoques cuantitativos parecan dominar la administracin de riesgos de seguridad; sin embargo, esto ha cambiado recientemente a medida que cada vez ms especialistas admiten que el seguimiento estricto de los procesos de administracin de riesgos cuantitativa da lugar a proyectos difciles y de larga duracin que muestran pocas ventajas tangibles. Como se ver en los captulos posteriores, el proceso de administracin de riesgos de seguridad de Microsoft combina los mejores aspectos de ambas metodologas en un nico proyecto hbrido. Principio de la pgina Proceso de administracin de riesgos de seguridad de Microsoft El proceso de administracin de riesgos de seguridad de Microsoft es un enfoque hbrido que combina los mejores elementos de los dos enfoques tradicionales. Como se ver en los captulos siguientes, en esta gua se presenta un enfoque nico de la administracin de riesgos de seguridad que es considerablemente ms rpido que un enfoque cuantitativo tradicional. Sin embargo, proporciona resultados que son ms detallados y fcilmente justificables a los ejecutivos que un enfoque cualitativo tpico. Mediante la combinacin de la simplicidad y la elegancia del enfoque cualitativo con parte del rigor del enfoque cuantitativo, en esta gua se ofrece un proceso nico para administrar los riesgos de seguridad que es eficaz y til. El objetivo del proceso es que los participantes puedan comprender cada paso de la evaluacin. Este enfoque, considerablemente ms simple que la administracin de riesgos cuantitativa tradicional, minimiza la oposicin a los resultados de las fases de anlisis de riesgos y de apoyo a la toma de decisiones, lo que permite que se logre el consenso ms rpidamente se mantenga en todo el proceso.

    El proceso de administracin de riesgos de seguridad de Microsoft consta de cuatro fases. La primera, la fase de evaluacin de riesgos, combina aspectos de las metodologas de evaluacin de riesgos cuantitativa y cualitativa. Se utiliza un enfoque cualitativo para clasificar rpidamente toda la lista de riesgos de seguridad. A continuacin, los riesgos ms graves identificados durante esta clasificacin se examinan ms detenidamente mediante un enfoque cuantitativo. El resultado es una lista relativamente corta de los riesgos ms importantes que se han examinado con detalle. Esta lista breve se utiliza durante la siguiente fase, Apoyo a la toma de decisiones, en la que se propone las soluciones de control posibles y se evalan las mejores, que posteriormente se presentan al comit directivo de seguridad de la organizacin como recomendaciones para mitigar los riesgos principales. Durante la tercera fase, Implementacin de controles, los responsables de mitigacin implementan realmente las soluciones de control. La cuarta fase, Medicin de la efectividad del programa, se utiliza para comprobar que los controles proporcionan el nivel de proteccin previsto y para examinar los cambios en el entorno, como nuevas aplicaciones de negocios o herramientas de ataque que puedan cambiar el perfil de riesgo de la organizacin. Debido a que el proceso de administracin de riesgos de seguridad de Microsoft es continuo, el ciclo vuelve a comenzar con cada nueva evaluacin de riesgos. La frecuencia con la que se repita el ciclo vara de una organizacin a otra; muchas consideran que una vez al ao es suficiente siempre que la organizacin supervise proactivamente las nuevas vulnerabilidades, amenazas y activos.

    Figura 2.2 Fases del proceso de administracin de riesgos de seguridad de Microsoft

    En la figura 2.2 se ilustran las cuatro fases del proceso de administracin de riesgos de seguridad de Microsoft. En el captulo 3, "Informacin general acerca de la administracin de riesgos de seguridad", se ofrece un examen exhaustivo del proceso. En los captulos posteriores se explican los pasos y las tareas asociados a cada una de las cuatro fases.

    Gua de administracin de riesgos de seguridad Introduccin [ http://technet.microsoft.com/es-ve/library/cc163143.aspx ] Captulo 1: Introduccin a la Gua de administracin de riesgos de seguridad [ http://technet.microsoft.com/es-ve/library/dd574340.aspx ]

    Captulo

    2:

    Estudio

    de

    prcticas

    de

    administracin

    de

    riesgos

    de

    seguridad

    http://technet.microsoft.com/es-ve/library/dd574341.aspx ]

    Captulo 3: Informacin general acerca de la administracin de riesgos de seguridad [ http://technet.microsoft.com/es-ve/library/dd574342.aspx ]

    Captulo 4: Evaluacin del riesgo [ http://technet.microsoft.com/es-ve/library/dd574343.aspx ] Captulo 5: Apoyo a la toma de decisiones [ http://technet.microsoft.com/es-

    ve/library/dd574344.aspx ]

    Captulo 6: Implementacin de controles y medicin de la efectividad del programa [ http://technet.microsoft.com/es-ve/library/dd574345.aspx ]

    Apndice

    A:

    Evaluaciones

    de

    riesgos

    ad

    hoc

    http://technet.microsoft.com/es-

    ve/library/dd574336.aspx ]

    Apndice B: Activos comunes del sistema de informacin [ http://technet.microsoft.com/esve/library/dd574337.aspx ]

    Apndice C: Amenazas comunes [ http://technet.microsoft.com/es-ve/library/dd574338.aspx ] Apndice D: Vulnerabilidades [ http://technet.microsoft.com/es-ve/library/dd574339.aspx ]

    Captulo 3: Informacin general acerca de la administracin de riesgos de seguridad


    Publicado: 15/10/2004

    Este captulo es el primero de la presente gua donde se ofrece un resumen completo del proceso de administracin de riesgos de seguridad de Microsoft. Despus de esta informacin general, en el

    captulo se tratan varios temas que ayudarn a los lectores a medida que implementen el proceso. Estos temas proporcionan una base slida para un programa de administracin de riesgos de seguridad con xito y son:

    Distinguir la administracin de riesgos de la evaluacin de riesgos. Notificar el riesgo de forma eficaz. Evaluar la madurez de sus prcticas de administracin de riesgos actuales. Definir funciones y responsabilidades.

    Tambin es importante tener en cuenta que la administracin de riesgos constituye slo una parte de un programa de gobernanza mayor para la directiva corporativa con el fin de supervisar la empresa y tomar decisiones fundadas. Aunque los programas de gobernanza varan mucho, todos ellos requieren un componente de administracin de riesgos de seguridad estructurado para asignar prioridades y mitigar los riesgos de seguridad. Los conceptos del proceso de administracin de riesgos de seguridad de Microsoft se pueden aplicar a cualquier programa de gobernanza para definir y administrar los riesgos con un nivel aceptable. En esta pgina Las cuatro fases del proceso de administracin de riesgos de seguridad de Microsoft Resumen Las cuatro fases del proceso de administracin de riesgos de seguridad de Microsoft En el captulo 2, "Estudio de prcticas de administracin de seguridad", se ha presentado el proceso de administracin de riesgos de seguridad de Microsoft y se ha definido la administracin de riesgos como un proceso continuo con cuatro fases principales: 1. Evaluacin del riesgo: identificar y asignar prioridades a los riesgos para la empresa. 2. Apoyo a la toma de decisiones: identificar y evaluar las soluciones de control segn un proceso definido de anlisis de costo-beneficio. 3. Implementacin de controles: implementar y poner en funcionamiento las soluciones con el fin de reducir el riesgo para la empresa. 4. Medicin de la efectividad del programa: analizar la efectividad del proceso de administracin de riesgos y comprobar que los controles proporcionan el nivel de proteccin previsto. Este ciclo de administracin de riesgos en cuatro fases resume el proceso de administracin de riesgos de seguridad de Microsoft y tambin se utiliza para organizar el contenido de esta gua. Antes de definir las prcticas especficas del proceso de administracin de riesgos de seguridad de Microsoft, es importante comprender el proceso de administracin de riesgos global y sus

    componentes. Cada fase del ciclo consta de varios pasos detallados. En la siguiente lista se describen los pasos para que comprenda la importancia de cada uno en la gua como un conjunto:

    Fase de evaluacin de riesgos

    Planear la recopilacin de datos: descripcin de las claves para el xito y orientacin de preparacin.

    Recopilar datos de riesgos: descripcin del proceso de recopilacin y anlisis de datos. Asignar prioridades a riesgos: descripcin de los pasos normativos para calificar y cuantificar los riesgos.

    Fase de apoyo a la toma de decisiones

    Definir los requisitos funcionales: definicin de los requisitos funcionales para mitigar los riesgos.

    Seleccionar las soluciones de control posibles: descripcin del enfoque para identificar las soluciones de mitigacin.

    Revisar la solucin: evaluacin de los controles propuestos segn los requisitos funcionales.

    Estimar la reduccin del riesgo: intento de comprender la exposicin o probabilidad reducida de riesgos.

    Estimar el costo de la solucin: evaluacin de los costos directos e indirectos asociados a las soluciones de mitigacin.

    Seleccionar la estrategia de mitigacin: realizacin del anlisis de costo-beneficio para identificar la solucin de mitigacin ms asequible.

    Fase de implementacin de controles

    Buscar un enfoque holstico: incorporacin de personas, procesos y tecnologa en la solucin de mitigacin.

    Organizar por defensa en profundidad: organizacin de las soluciones de mitigacin en la empresa.

    Fase de medicin de la efectividad del programa


    Desarrollar el clculo de riesgos: comprensin de la posicin de riesgo y el progreso. Medir la efectividad del programa: evaluacin del programa de administracin de riesgos para determinar los aspectos que se deben mejorar.

    En la siguiente figura se ilustra cada fase y los pasos asociados.

    Figura 3.1 Proceso de administracin de riesgos de seguridad de Microsoft

    En los captulos posteriores de esta gua se describe, por orden, cada fase del proceso de administracin de riesgos de seguridad de Microsoft. No obstante, hay una serie de cuestiones preliminares que se deben tener en cuenta antes de comenzar la ejecucin de este proceso. Nivel de esfuerzo Si su organizacin tiene poca experiencia en la administracin de riesgos, puede resultar til conocer los pasos del proceso de Microsoft que requieren ms esfuerzo por parte del equipo de administracin de riesgos de seguridad. En la siguiente figura, basada en las actividades de administracin realizadas en el departamento de TI de Microsoft, se muestran los grados relativos de esfuerzo a lo largo del proceso. Esta perspectiva puede resultar til al describir el proceso global y el compromiso de tiempo para las organizaciones que no tienen experiencia en la administracin de riesgos. Los niveles relativos de esfuerzo tambin pueden resultar tiles como orientacin para evitar dedicar demasiado tiempo a un punto del proceso global. Para resumir el nivel de esfuerzo a lo largo del proceso, en la figura se muestra un nivel moderado de esfuerzo para recopilar datos, un nivel menor para el anlisis de resumen seguido de niveles altos de esfuerzo para elaborar listas detalladas de riesgos y llevar a cabo el proceso de apoyo a la toma de decisiones. Para obtener una vista adicional de las tareas y el esfuerzo asociado, consulte el programa de proyecto de ejemplo de la carpeta de herramientas, GARSHerramienta4-Programa de proyecto de ejemplo.xls. En el resto de los captulos de esta gua se describen cada uno de los pasos mostrados a continuacin.

    Figura 3.2 Nivel relativo de esfuerzo durante el proceso de administracin de riesgos de seguridad de Microsoft Bases del proceso de administracin de riesgos de seguridad de Microsoft Antes de comenzar la administracin de riesgos de seguridad, es importante disponer de conocimientos slidos de las bases, requisitos previos y tareas del proceso de administracin de riesgos de seguridad de Microsoft, que son:

    Distincin entre la administracin de riesgos y la evaluacin de riesgos. Notificacin clara del riesgo. Determinacin de la madurez de administracin de riesgos de la organizacin. Definicin de las funciones y responsabilidades del proceso.

    Administracin de riesgos y evaluacin de riesgos Tal como se ha indicado en el captulo 2, los trminos administracin de riesgos y evaluacin de riesgos no se pueden utilizar indistintamente. El proceso de administracin de riesgos de seguridad de Microsoft define la administracin de riesgos como el proceso global para administrar el riesgo hasta alcanzar un nivel aceptable en la empresa. La evaluacin de riesgos se define como el proceso de identificar y asignar prioridades a los riesgos para la empresa. Segn se describe en el diagrama anterior, la administracin de riesgos se compone de cuatro fases principales: evaluacin de riesgos, apoyo a la toma de decisiones, implementacin de controles y medicin de la efectividad del programa. La evaluacin de riesgos, en el contexto del proceso de administracin de riesgos de seguridad de Microsoft, slo hace referencia a la fase de evaluacin de riesgos en el ciclo de administracin de riesgos global. Otra diferencia entre la administracin de riesgos y la evaluacin de riesgos la constituye la frecuencia del inicio de cada proceso. La administracin de riesgos se define como un ciclo definido, pero normalmente se vuelve a iniciar a intervalos peridicos para actualizar los datos de cada etapa del proceso de administracin. El proceso de administracin de riesgos habitualmente corresponde al ciclo

    contable fiscal de una organizacin para alinear las solicitudes presupuestarias de los controles con los procesos de negocios normales. Un intervalo anual resulta muy habitual en el proceso de administracin de riesgos para alinear las nuevas soluciones de control con los ciclos presupuestarios anuales. Aunque la evaluacin de riesgos es una fase necesaria y discreta del proceso de administracin de riesgos, el grupo de seguridad de informacin puede llevar a cabo varias evaluaciones de riesgos independientes de la fase de administracin de riesgos o ciclo presupuestario actual. El grupo de seguridad de informacin puede iniciarlas en cualquier momento si se produce un cambio posiblemente relacionado con la seguridad en la empresa, como la introduccin de nuevas prcticas de negocios, o si se han detectado nuevas vulnerabilidades o cambios en la infraestructura. Estas evaluaciones frecuentes se suelen denominar evaluaciones de riesgos ad hoc o evaluaciones de riesgos de mbito limitado y se deben considerar complementarias al proceso de administracin de riesgos formal. Las evaluaciones ad hoc normalmente se centran en un rea de riesgo en la empresa y no requieren la misma cantidad de recursos que el proceso de administracin de riesgos en su totalidad. En el apndice A, "Evaluaciones ad hoc", se describe este tipo de evaluaciones y se ofrece una plantilla de ejemplo de una evaluacin de riesgos ad hoc. Tabla 3.1: Administracin de riesgos y evaluacin de riesgos Administracin de riesgos Objetivo Evaluacin de riesgos

    Administrar los riesgos en la empresa para Identificar los riesgos y asignarles lograr un nivel aceptable prioridades Fase nica del programa de

    Ciclo

    Programa global a lo largo de las cuatro fases

    administracin de riesgos Programa Continuo Alineacin Alineado con los ciclos presupuestarios Notificacin del riesgo Las distintas personas involucradas en el proceso de administracin de riesgos suelen definir el trmino riesgo de un modo diferente. Para garantizar la coherencia en todas las etapas del ciclo de administracin de riesgos, el proceso de administracin de riesgos de seguridad de Microsoft requiere que todos los participantes comprendan y acepten una nica definicin del trmino riesgo. Tal como se ha definido en el captulo 1, "Introduccin a la Gua de administracin de riesgos de seguridad", riesgo es la probabilidad de que se produzca un ataque a la empresa. Esta definicin requiere la inclusin de Segn se necesite N/A

    una declaracin de repercusiones y una prediccin de cundo se puede producir la repercusin, es decir, la probabilidad de repercusiones. Cuando ambos elementos de riesgo (probabilidad y ataque) estn incluidos en una declaracin de riesgo, en el proceso se denomina declaracin de riesgo bien elaborada. Utilice el trmino para garantizar una comprensin coherente de la naturaleza compuesta del riesgo. En el siguiente diagrama se describe el riesgo en su nivel ms bsico.

    Figura 3.3 Declaracin de riesgo bien elaborada

    Resulta importante que todos los implicados en el proceso de administracin de riesgos comprendan la complejidad de cada elemento de la definicin de riesgo. Slo un conocimiento exhaustivo del riesgo permitir a la empresa poder emprender una accin especfica al afrontarlo. Por ejemplo, al definir las repercusiones en la empresa se necesita informacin acerca del activo afectado, el tipo de dao que se puede producir y el alcance del dao en el activo. A continuacin, para determinar la probabilidad de que se produzca el ataque, se debe comprender el modo en que se puede producir cada ataque y la manera en que el entorno de controles actual reducir la probabilidad del riesgo. Segn los trminos definidos en el captulo 1, "Introduccin a la Gua de administracin de riesgos de seguridad", la siguiente declaracin de riesgo proporciona orientacin al demostrar los elementos de repercusin y la probabilidad de repercusin: Riesgo es la probabilidad de que se aproveche una vulnerabilidad en el entorno actual, provocando un nivel de prdida de confidencialidad, integridad o disponibilidad de un activo. El proceso de administracin de riesgos de seguridad de Microsoft proporciona las herramientas para comunicar y medir de forma coherente la probabilidad y el nivel de prdida de cada riesgo. En los captulos de esta gua se recorre el proceso para establecer cada componente de la declaracin de riesgo bien elaborada para identificar y asignar prioridades a los riesgos en la empresa. El siguiente diagrama se basa en la declaracin de riesgo bsica descrita anteriormente para mostrar las relaciones de cada elemento de riesgo.

    Figura 3.4 Componentes de la declaracin de riesgo bien elaborada

    Para facilitar la notificacin del alcance del ataque y el nivel de probabilidad en la declaracin de riesgo, el proceso de administracin de riesgos de seguridad de Microsoft comienza la asignacin de prioridades mediante el uso de trminos relativos como alto, moderado y bajo. Aunque esta terminologa bsica simplifica la seleccin de los niveles de riesgo, no proporciona detalles suficientes cuando se lleva a cabo un anlisis de costo-beneficio para seleccionar la opcin de mitigacin ms eficaz. Para solventar este punto dbil del enfoque cualitativo bsico, el proceso ofrece herramientas para generar una comparacin de riesgos de nivel detallado. El proceso tambin incorpora atributos cuantitativos para contribuir al anlisis de costo-beneficio con el fin de seleccionar controles. Un error habitual de las disciplinas de administracin de riesgos consiste en que normalmente no tienen en cuenta las definiciones cualitativas como riesgos altos, moderados o bajos para la empresa. En el programa de administracin de riesgos de seguridad se identificarn numerosos riesgos. Aunque el proceso de administracin de riesgos de seguridad de Microsoft proporciona orientacin para aplicar de forma coherente las estimaciones de riesgos cualitativos y cuantificables, corresponde al equipo de administracin de riesgos de seguridad definir el significado de cada valor en trminos de negocio especficos. Por ejemplo, un riesgo alto para la empresa puede significar una vulnerabilidad que se produzca en un ao, lo que conlleva la prdida de integridad de la propiedad intelectual ms importante de la organizacin. El equipo de administracin de riesgos de seguridad debe asignar las definiciones de cada elemento de la declaracin de riesgo bien elaborada. En el siguiente captulo se ofrece orientacin normativa acerca de la definicin de los niveles de riesgo. Debe servirle de ayuda para definir los niveles de riesgo para su empresa. El proceso simplemente facilita la tarea, contribuyendo a lograr coherencia y visibilidad en todo el proceso. Determinacin de la madurez de administracin de riesgos de la organizacin

    Antes de que una organizacin intente implementar el proceso de administracin de riesgos de seguridad de Microsoft, es importante que examine su nivel de madurez en lo que se refiere a la administracin de riesgos de seguridad. Para una organizacin que no disponga de directivas o procesos formales para la administracin de riesgos ser excesivamente difcil poner en prctica todos los aspectos del proceso a la vez. Incluso para las organizaciones con directivas y directrices formales que siguen la mayora de los empleados, el proceso puede ser un poco abrumador. Por estos motivos, es importante que realice una estimacin del nivel de madurez de su organizacin. Si considera que su organizacin todava es relativamente inmadura, puede introducir el proceso en etapas incrementales durante varios meses, tal vez mediante pruebas piloto en una sola unidad de negocios hasta que el ciclo se haya realizado varias veces. Despus de demostrar la eficacia del proceso de administracin de riesgos de seguridad de Microsoft mediante este programa piloto, el equipo de administracin de riesgos de seguridad podra introducirlo lentamente en otras unidades de negocios hasta que toda la organizacin lo utilizase. Cmo determinar el nivel de madurez de su organizacin? Como parte de CobiT (Control Objectives for Information and Related Technology, Objetivos de control para la informacin y tecnologa relacionada), el instituto IT Governance Institute (ITGI) incorpora un modelo de madurez de gobernanza de TI. Puede adquirir y consultar CobiT para obtener un mtodo detallado con el fin de determinar el nivel de madurez de su organizacin. El proceso de administracin de riesgos de seguridad de Microsoft resume los elementos empleados en CobiT y presenta un enfoque simplificado que se basa en modelos desarrollados tambin por Microsoft Services. Las definiciones de nivel de madurez presentadas aqu se basan en Information technology Code of practice for information security management, tambin denominado ISO 17799, de la organizacin International Standards Organization (ISO). Puede estimar el nivel de madurez de su organizacin si lo compara con las definiciones presentadas en la siguiente tabla. Tabla 3.2: Niveles de madurez de la administracin de riesgos de seguridad Nivel Estado 0 No existe Definicin La directiva (o el proceso) no est documentada y la organizacin, anteriormente, no ha tomado conciencia del riesgo de negocios asociado a esta administracin de riesgos. Por lo tanto, no ha habido comunicados al respecto. 1 Ad hoc Es evidente que algunos miembros de la organizacin han llegado a la

    conclusin de que la administracin de riesgos tiene valor. No obstante, los esfuerzos de administracin de riesgos se han llevado a cabo de un modo ad hoc. No hay directivas o procesos documentados y el proceso no se puede repetir por completo. En general, los proyectos de administracin de riesgos parecen caticos y sin coordinacin; los resultados no se han medido ni auditado. 2 Repetible Hay una toma de conciencia de la administracin de riesgos en la organizacin. El proceso de administracin de riesgos es repetible aunque inmaduro. El proceso no est totalmente documentado; no obstante, las actividades se realizan peridicamente y la organizacin est trabajando en establecer un proceso de administracin de riesgos exhaustivo con la participacin de los directivos. No hay cursos formales ni comunicados acerca de la administracin de riesgos; la responsabilidad de la implementacin est en manos de empleados individuales. 3 Proceso definido La organizacin ha tomado una decisin formal de adoptar la administracin de riesgos incondicionalmente con el fin de llevar a cabo su programa de seguridad de informacin. Se ha desarrollado un proceso de lnea de base en el que se han definido los objetivos de forma clara con procesos documentados para lograr y medir el xito. Adems, todo el personal dispone de algunos cursos de administracin de riesgos rudimentaria. Finalmente, la organizacin est implementando de forma activa sus procesos de administracin de riesgos documentados. 4 Administrado Hay un conocimiento extendido de la administracin de riesgos en todos los niveles de la organizacin. Los procedimientos de administracin de riesgos existen, el proceso est bien definido, la comunicacin de la toma de conciencia es muy amplia, hay disponibles cursos rigurosos y se han implementado algunas formas iniciales de medicin para determinar la efectividad. Se han dedicado recursos suficientes al programa de administracin de riesgos, muchas partes de la organizacin disfrutan de sus ventajas y el equipo de administracin de riesgos de seguridad puede mejorar

    continuamente sus procesos y herramientas. Se utilizan herramientas de tecnologa como ayuda para la administracin de riesgos, pero la mayora de los procedimientos, si no todos, de evaluacin de riesgos, identificacin de controles y anlisis de costo-beneficios son manuales. 5 Optimizado La organizacin ha dedicado recursos importantes a la administracin de riesgos de seguridad y los miembros del personal miran al futuro intentando determinar los problemas y soluciones que habr en los meses y aos venideros. El proceso de administracin de riesgos se ha comprendido bien y se ha automatizado considerablemente mediante el uso de herramientas (desarrolladas internamente o adquiridas a proveedores de software independientes). La causa principal de todos los problemas de seguridad se ha identificado y se han adoptado medidas adecuadas para minimizar el riesgo de repeticin. El personal dispone de cursos en distintos niveles de experiencia. Autoevaluacin del nivel de madurez de la administracin de riesgos organizativos En la siguiente lista de preguntas se ofrece una forma ms rigurosa de medir el nivel de madurez organizativa. Las preguntas conllevan respuestas subjetivas, pero si se considera sinceramente cada una de ellas se puede determinar el nivel de preparacin de la organizacin para la implementacin del proceso de administracin de riesgos de seguridad de Microsoft. Punte su organizacin en una escala de 0 a 5, guindose por las definiciones de nivel de madurez anteriores. 1. Las directivas y procedimientos de seguridad son claros, concisos, completos y estn bien documentados. 2. Todos los cargos con responsabilidades que impliquen seguridad de informacin estn articulados de forma clara y sus funciones y responsabilidades se conocen bien. 3. Las directivas y procedimientos para proteger el acceso de terceros a los datos de negocios estn bien documentados. Por ejemplo, los proveedores remotos que llevan a cabo el desarrollo de aplicaciones para una herramienta de negocios interna disponen de suficiente acceso a los recursos de red para colaborar y realizar su trabajo de una forma eficaz, pero slo tiene el acceso mnimo que necesitan. 4. Existe un inventario preciso y actualizado de los activos de tecnologa de informacin (TI), como hardware, software y repositorios de datos.

    5. Se han implementado controles adecuados para proteger los datos de negocios frente al acceso no autorizado por parte de intrusos o de personas de la organizacin. 6. Se han implementado programas de toma de conciencia de usuario eficaces, como cursos y boletines relativos a directivas y prcticas de seguridad de informacin. 7. El acceso fsico a la red de equipos y otros activos de tecnologa de informacin est restringido mediante el uso de controles eficaces. 8. Se han incorporado nuevos sistemas informticos segn los estndares de seguridad organizativa de un modo estandarizado mediante herramientas automatizadas como imgenes de disco o secuencias de comandos de creacin. 9. Un sistema de administracin de revisiones eficaz puede ofrecer automticamente actualizaciones de software de gran parte de los proveedores a la inmensa mayora de sistemas informticos de la organizacin. 10. Se ha creado un equipo de respuesta a incidencias y se han desarrollado y documentado procesos eficaces para afrontar las incidencias de seguridad y realizar el seguimiento de las mismas. Todas las incidencias se investigan hasta que se identifica la causa principal y se resuelven los problemas. 11. La organizacin dispone de un exhaustivo programa antivirus que incluye varios niveles de defensa, cursos de toma de conciencia para los usuarios y procesos eficaces para responder a los ataques de los virus. 12. Los procesos de creacin de usuarios estn bien documentados y, como mnimo, parcialmente automatizados para que a los nuevos empleados, proveedores y socios se les pueda proporcionar un nivel de acceso adecuado a los sistemas de informacin de la organizacin de un modo oportuno. Estos procesos tambin deben admitir la deshabilitacin y eliminacin puntuales de las cuentas de usuario que ya no se necesiten. 13. El acceso a los equipos y la red se controla mediante autenticacin y autorizacin de usuarios, listas de control de acceso restrictivo a los datos y supervisin proactiva de las infracciones a las directivas. 14. Los desarrolladores de aplicaciones disponen de cursos y una toma de conciencia clara de los estndares de seguridad para la creacin de software y las pruebas de control de calidad del cdigo.

    15. La continuidad de negocios y los programas de continuidad de negocios estn definidos de forma clara, bien documentados y se han probado peridicamente mediante simulaciones y pruebas. 16. Se han iniciado programas y estn en vigor para garantizar que todo el personal desempea sus tareas conforme a los requisitos legales. 17. Se utilizan peridicamente revisiones y auditoras de terceros para garantizar el cumplimiento con las prcticas estndar para activos de negocios de seguridad. Calcule la puntuacin de su organizacin sumando los puntos de todos los elementos anteriores. En teora, las puntuaciones van de 0 a 85; no obstante, muy pocas organizaciones se aproximan a un extremo o a otro. Una puntuacin de 51 o superior sugiere que la organizacin est bien preparada para introducir y utilizar el proceso de administracin de riesgos de seguridad de Microsoft en todo su alcance. Una puntuacin de 34 a 50 indica que la organizacin ha adoptado muchas medidas importantes para controlar los riesgos de seguridad y est preparada para introducir el proceso gradualmente. Las organizaciones que se encuentren en este intervalo deben considerar la posibilidad de implementar el proceso en unas pocas unidades de negocios durante unos cuantos meses antes de exponer toda la organizacin al proceso. Las organizaciones con una puntuacin inferior a 34 deben considerar la posibilidad de iniciar muy lentamente el proceso de administracin de riesgos de seguridad de Microsoft mediante la creacin del equipo de administracin de riesgos de seguridad bsico y la aplicacin del proceso a una sola unidad de negocios durante los primeros meses. Despus de que dichas organizaciones comprueben el valor del proceso mediante su uso para reducir riesgos satisfactoriamente para dicha unidad de negocios, deben ampliarlo a dos o tres unidades adicionales segn sea posible. Aunque el avance debe ser lento, ya que los cambios que introduce el proceso pueden ser importantes. No es recomendable alterar la organizacin de un modo tal que se interfiera en su capacidad de alcanzar de forma eficaz sus objetivos. Aplique su criterio en este sentido (cada sistema que queda sin proteger es un riesgo de seguridad y responsabilidad potencial) y su conocimiento de sus sistemas es la mejor herramienta que puede utilizar en este sentido. Si considera que es urgente avanzar rpidamente y no tener en cuenta la sugerencia de hacerlo lentamente, hgalo. Debe considerar detenidamente las unidades de negocios que se utilizarn en los programas piloto. Las preguntas que debe tener en cuenta se relacionan con la importancia que representa la seguridad para dicha unidad de negocios, donde la seguridad est definida en trminos de disponibilidad, integridad y confidencialidad de informacin y servicios. Algunos ejemplos son:

    El nivel de madurez de administracin de riesgos de seguridad de dicha unidad de negocios est por encima de la media en comparacin con la organizacin?

    El responsable de la unidad de negocios ofrecer apoyo activo al programa? Dispone la unidad de negocios de un alto nivel de visibilidad dentro de la empresa? Se notificar el valor del programa piloto del proceso de administracin de riesgos de seguridad de Microsoft al resto de la organizacin si tiene xito?

    Debe tener en cuenta las mismas preguntas al seleccionar las unidades de negocios para ampliar el programa. Nota: el instituto National Institute for Standards and Technology (NIST) de EE.UU. proporciona otro ejemplo de autoevaluacin de TI que puede resultar til para determinar el nivel de madurez; consulte http://csrc.nist.gov/, publicacin especial 800-26. Definicin de funciones y responsabilidades El establecimiento de funciones y responsabilidades claras es un factor de xito fundamental para cualquier programa de administracin de riesgos debido al requisito de interaccin entre grupos y de responsabilidades separadas. En la siguiente tabla se describen las funciones y responsabilidades principales empleadas en el proceso de administracin de riesgos de seguridad de Microsoft: Tabla 3.3: Funciones y responsabilidades principales del proceso de administracin de riesgos de seguridad de Microsoft Ttulo Patrocinador ejecutivo Responsabilidad principal Patrocina todas las actividades asociadas a la administracin de riesgos para la empresa; por ejemplo, desarrollo, asignacin de fondos, autoridad y apoyo al equipo de administracin de riesgos de seguridad. Esta funcin normalmente la lleva a cabo un ejecutivo, como responsables de la seguridad o responsables de la informacin. Esta funcin tambin sirve de ltimo punto de traspaso para definir el riesgo aceptable para la empresa. Responsable negocios de Se encarga de los activos tangibles e intangibles de la empresa. Los responsables de negocios tambin se encargan de la asignacin de prioridades a los activos de negocios y de la definicin de los niveles de repercusin en los activos. Los responsables de negocios normalmente se encargan de la definicin de los niveles de riesgo; no obstante, el patrocinador ejecutivo toma la decisin final de incorporar comentarios del

    grupo de seguridad de informacin. Grupo de seguridad Se encarga del proceso de administracin de riesgos global, incluidas las de informacin fases de evaluacin de riesgos y de medicin de la efectividad del programa. Tambin define los requisitos de seguridad funcionales y mide los controles de TI y la efectividad global del programa de administracin de riesgos de seguridad. Grupo tecnologa de la informacin Equipo administracin de Es responsable de dirigir el programa de administracin de riesgos global. de Tambin es responsable de la fase de evaluacin de riesgos y de asignar prioridades a los riesgos para la empresa. Como mnimo, el equipo consta de un responsable de evaluacin y de un responsable de registro. Responsable de Como funcin principal del equipo de administracin de riesgos de de Incluye arquitectura, ingeniera y operaciones de TI.

    riesgos de seguridad

    evaluacin de riesgos seguridad, dirige los debates de recopilacin de datos. Esta funcin tambin puede dirigir todo el proceso de administracin de riesgos. Responsable registro de Registra la informacin de riesgos detallada durante los debates de de recopilacin de datos.

    evaluacin de riesgos Responsables mitigacin de Se encargan de implementar y sustentar las soluciones de control para administrar el riesgo con un nivel aceptable. Incluye al grupo de TI y, en algunos casos, a los responsables de negocios. Comit directivo de Consta seguridad del equipo de administracin de riesgos de seguridad,

    representantes del grupo de TI y responsables de negocios especficos. El patrocinador ejecutivo normalmente dirige este comit. Es responsable de seleccionar las estrategias de mitigacin y de definir el riesgo aceptable para la empresa.

    Participante

    Trmino general que hace referencia a los participantes directos e indirectos

    en un determinado proceso o programa; se utiliza en todo el proceso de administracin de riesgos de seguridad de Microsoft. Los participantes tambin pueden ser grupos ajenos a TI, por ejemplo, finanzas, relaciones pblicas y recursos humanos.

    El equipo de administracin de riesgos de seguridad encontrar participantes que intervengan por primera vez en el proceso de administracin de riesgos que no comprendan por completo sus funciones. Aproveche siempre la oportunidad para proporcionar un resumen del proceso y de sus participantes. El objetivo es lograr el consenso y destacar el hecho de que cada participante tiene su responsabilidad en la administracin de riesgos. El siguiente diagrama, donde se resumen los participantes clave y se muestran sus relaciones de alto nivel, puede resultar til para comunicar las funciones y responsabilidades definidas anteriores y debe ofrecer un resumen del proceso de administracin de riesgos. Para resumir, el patrocinador ejecutivo es el ltimo responsable de definir el riesgo aceptable y proporciona orientacin al equipo de administracin de riesgos de seguridad en cuanto a la clasificacin de riesgos para la empresa. El equipo de administracin de riesgos de seguridad es responsable de evaluar el riesgo y de definir los requisitos funcionales para mitigar el riesgo a un nivel aceptable. Posteriormente, el equipo de administracin de riesgos de seguridad colabora con los grupos de TI que se encargan de la seleccin, la implementacin y las operaciones de mitigacin. La relacin final definida a continuacin es el control del equipo de administracin de riesgos de seguridad de la medicin de la efectividad del control. Normalmente se realiza mediante informes de auditora, que tambin se notifican al patrocinador ejecutivo.

    Figura 3.5 Resumen de las funciones y responsabilidades empleadas en el proceso de administracin de riesgos de seguridad de Microsoft Creacin del equipo de administracin de riesgos de seguridad Antes de iniciar el proceso de evaluacin de riesgos, no pase por alto la necesidad de definir de forma clara las funciones en el equipo de administracin de riesgos de seguridad. Debido a que el mbito de la administracin de riesgos incluye a toda la empresa, personas que no sean del grupo de seguridad de informacin pueden solicitar formar parte del equipo. En este caso, describa funciones claras para cada miembro y alinelas con las funciones y responsabilidades definidas en el programa de administracin de riesgos global. Si se dedica tiempo en la definicin de funciones al principio, se reduce la confusin y contribuye a la toma de decisiones durante el proceso. Todos los miembros del equipo deben comprender que el grupo de seguridad de informacin se encarga del proceso global. Es importante definir la responsabilidad porque el grupo de informacin de seguridad es el nico que es un participante clave en todas las etapas del proceso, incluida la elaboracin de informes ejecutivos. Funciones y responsabilidades del equipo de administracin de riesgos de seguridad Despus de establecer el equipo de administracin de riesgos de seguridad, es importante crear funciones especficos y mantenerlas a lo largo de todo el proceso. Las funciones principales del responsable de evaluacin de riesgos y del responsable de registro de evaluacin de riesgos se describen a continuacin. El responsable de evaluacin de riesgos debe disponer de amplios conocimientos de todo el proceso de administracin de riesgos y de la empresa, as como de los riesgos de seguridad tcnicos que subyacen en las funciones de negocios. Debe poder traducir los escenarios de negocios en riesgos tcnicos mientras se llevan a cabo los debates acerca de los riesgos. Como ejemplo, el responsable de evaluacin de riesgos tiene que conocer las amenazas tcnicas y las vulnerabilidades de los empleados mviles, as como el valor de negocio de dichos empleados. Por ejemplo, los pagos de cliente no se procesarn si un empleado mvil no puede tener acceso a la red corporativa. El responsable de evaluacin de riesgos debe comprender escenarios de este tipo y poder identificar los riesgos tcnicos y los posibles requisitos de control, como los de configuracin y autenticacin de dispositivos mviles. Si es posible, seleccione a un responsable de evaluacin de riesgos que haya llevado a cabo evaluaciones de riesgos con anterioridad y que comprenda las prioridades globales de la empresa. Si no se puede disponer de un responsable con experiencia en evaluacin de riesgos, solicite la ayuda de un socio o consultor cualificado. No obstante, asegrese de incluir un miembro del grupo de seguridad de informacin que conozca la empresa y a los participantes implicados.

    Nota: la subcontratacin de la funcin de responsable de evaluacin de riesgos puede ser atractiva, pero tenga en cuenta que se perdern los conocimientos de las relaciones de los participantes, de la empresa y de la seguridad cuando se marchen los consultores. No infravalore el valor que un proceso de administracin de riesgos aporta a los participantes as como al grupo de seguridad de informacin. El responsable de registro de evaluacin de riesgos es el encargado de tomar notas y documentar las actividades de planeamiento y recopilacin de datos. Esta responsabilidad puede parecer demasiado informal para la definicin de funciones en esta etapa; no obstante, la habilidad para tomar notas repercute en los procesos de asignacin de prioridades y de apoyo a la toma de decisiones ms adelante en el proceso. Uno de los aspectos ms importantes de la administracin de riesgos es comunicarlos de modo que los participantes los entiendan y puedan aplicarlos a sus actividades de negocios. Un responsable de registro eficaz facilita este proceso ya que proporciona documentacin por escrito cuando es necesario. Principio de la pgina Resumen En los captulos 1 a 3 se proporciona informacin general acerca de la administracin de riesgos y se definen los objetivos y el enfoque para comenzar a sentar las bases para una implementacin satisfactoria del proceso de administracin de riesgos de seguridad de Microsoft. En el siguiente captulo se trata en detalle la primera fase, la evaluacin del riesgo. En los captulos posteriores se trata cada una de las fases del proceso de administracin de riesgos: apoyo a la toma de decisiones, implementacin de controles y medicin de la efectividad del programa.

    Gua de administracin de riesgos de seguridad Introduccin [ http://technet.microsoft.com/es-ve/library/cc163143.aspx ] Captulo 1: Introduccin a la Gua de administracin de riesgos de seguridad [ http://technet.microsoft.com/es-ve/library/dd574340.aspx ]

    Captulo

    2:

    Estudio

    de

    prcticas

    de

    administracin

    de

    riesgos

    de

    seguridad

    http://technet.microsoft.com/es-ve/library/dd574341.aspx ]

    Captulo 3: Informacin general acerca de la administracin de riesgos de seguridad [ http://technet.microsoft.com/es-ve/library/dd574342.aspx ]

    Captulo 4: Evaluacin del riesgo [ http://technet.microsoft.com/es-ve/library/dd574343.aspx ] Captulo 5: Apoyo a la toma de decisiones [ http://technet.microsoft.com/es-

    ve/library/dd574344.aspx ]

    Captulo 6: Implementacin de controles y medicin de la efectividad del programa [ http://technet.microsoft.com/es-ve/library/dd574345.aspx ]

    Apndice

    A:

    Evaluaciones

    de

    riesgos

    ad

    hoc

    http://technet.microsoft.com/es-

    ve/library/dd574336.aspx ]

    Apndice B: Activos comunes del sistema de informacin [ http://technet.microsoft.com/esve/library/dd574337.aspx ]

    Apndice C: Amenazas comunes [ http://technet.microsoft.com/es-ve/library/dd574338.aspx ] Apndice D: Vulnerabilidades [ http://technet.microsoft.com/es-ve/library/dd574339.aspx ]

    Captulo 4: Evaluacin del riesgo Publicado: 15/10/2004 En esta pgina Descripcin Planeamiento Recopilacin Asignacin Resumen Descripcin general El proceso de administracin de riesgos global consta de cuatro fases principales: evaluacin de riesgos, apoyo a la toma de decisiones, implementacin de controles y medicin de la efectividad del programa. El proceso de administracin de riesgos ilustra el modo en que un programa formal proporciona un mtodo coherente de organizacin de recursos limitados para afrontar los riesgos en una organizacin. Las ventajas se aprecian mediante el desarrollo de un entorno de control asequible que afronte y mida el riesgo a un nivel aceptable. La fase de evaluacin de riesgos representa un proceso formal para identificar y asignar prioridades a los riesgos en la organizacin. El proceso de administracin de riesgos de seguridad de Microsoft proporciona indicaciones detalladas acerca de cmo realizar las evaluaciones de riesgos y divide el proceso de la fase de evaluacin de riesgos en los tres pasos siguientes: 1. Planeamiento: establecer las bases para una evaluacin de riesgos correcta. 2. Recopilacin de datos facilitados: recopilar informacin de riesgos mediante los debates sobre riesgos facilitados. 3. Asignacin de prioridades a riesgos: clasificar los riesgos identificados en un proceso coherente y repetible. de de prioridades datos a los facilitados riesgos general

    El resultado de la fase de evaluacin de riesgos es una lista de prioridades de los riesgos que proporciona la informacin para la fase de apoyo a la toma de decisiones, que se trata en detalle en el captulo 5, "Apoyo a la toma de decisiones". En el siguiente diagrama se proporciona un resumen del proceso de administracin de riesgos global y se muestra la funcin de la evaluacin de riesgos en el conjunto del programa. Tambin se destacan los tres pasos de la fase de evaluacin de riesgos.

    Figura 4.1 Proceso de administracin de riesgos de seguridad de Microsoft: fase de evaluacin de riesgos

    En esta seccin se proporciona un breve resumen de los tres pasos de la fase de evaluacin de riesgos, la recopilacin de datos facilitados y asignacin de prioridades de riesgos. A continuacin, se incluyen secciones con tareas especficas para llevar a cabo una evaluacin de riesgos real en su entorno. Planeamiento El planeamiento correcto de la evaluacin de riesgos es fundamental para el xito de todo el programa de administracin de riesgos. Si no se llevan a cabo adecuadamente las tareas de alineacin, definicin de mbito y obtencin de aceptacin de la fase de evaluacin de riesgos, se reduce la eficacia de las dems fases del programa global. La elaboracin de las evaluaciones de riesgos puede ser un proceso complicado que requiere una inversin importante para llevarlo a cabo. En la siguiente seccin de este captulo se tratan las tareas y las indicaciones fundamentales para el paso de planeamiento. Recopilacin de datos facilitados Despus del planeamiento, el siguiente paso consiste en recopilar la informacin relacionada con riesgos de los participantes de toda la organizacin; esta informacin tambin se utilizar en la fase de apoyo a

    la toma de decisiones. Los elementos de datos principales recopilados durante el paso de recopilacin de datos facilitados son:

    Activos organizativos: cualquier elemento que represente un valor para la empresa. Descripcin de los activos: breve explicacin de cada activo, su valor y responsabilidad para facilitar la comprensin comn en la fase de evaluacin de riesgos.

    Amenazas de seguridad: causas o sucesos que pueden afectar negativamente a un activo, representados por su prdida de confidencialidad, integridad o disponibilidad.

    Vulnerabilidades: puntos dbiles o ausencia de controles que se pueden aprovechar para atacar un activo.

    Entorno de controles actual: descripcin de los controles actuales y su eficacia en la organizacin.

    Controles propuestos: ideas iniciales para reducir el riesgo.

    El paso de recopilacin de datos facilitados representa el grueso de la colaboracin e interaccin entre grupos durante la fase de evaluacin de riesgos. En la tercera seccin de este captulo se tratan las tareas y las indicaciones de recopilacin de datos en detalle. Asignacin de prioridades a riesgos Durante el paso de recopilacin de datos facilitados, el equipo de administracin de riesgos de seguridad comienza por la clasificacin de grandes cantidades de informacin recopiladas para asignar prioridades a los riesgos. El paso de asignacin de prioridades a riesgos es el primero de la fase que implica un elemento de subjetividad. La asignacin de prioridades es subjetiva porque, despus de todo, el proceso implica esencialmente la prediccin del futuro. Debido a que el resultado de la evaluacin de riesgos conduce a las inversiones en tecnologa de la informacin (TI), el establecimiento de un proceso transparente con funciones y responsabilidades definidas resulta crucial para obtener la aceptacin de los resultados y motivar que se emprendan acciones para mitigar los riesgos. El proceso de administracin de riesgos de seguridad de Microsoft proporciona orientacin para identificar y asignar prioridades a los riesgos de un modo coherente y repetitivo. Un enfoque abierto y repetitivo ayuda al equipo de administracin de riesgos de seguridad a lograr el consenso rpidamente, lo que reduce los posibles retardos provocados por la naturaleza subjetiva de la asignacin de prioridades a los riesgos. En la cuarta seccin de este captulo se tratan las tareas y las indicaciones de asignacin de prioridades en detalle. Informacin necesaria para la fase de evaluacin de riesgos

    Cada paso de la fase de evaluacin de riesgos contiene una lista especfica de tareas normativas y la informacin asociada. La fase en s misma requiere una base slida a diferencia de informaciones especficas. Tal como se ha descrito en el captulo 1, la fase de evaluacin de riesgos requiere liderazgo de seguridad materializado en apoyo ejecutivo, aceptacin de los participantes y funciones y responsabilidades definidas. En las siguientes secciones se tratan estas reas en detalle. Participantes en la fase de evaluacin de riesgos La evaluacin de riesgos requiere interaccin entre los grupos y que los distintos participantes sean responsables de tareas a lo largo de proceso. Una prctica recomendada para reducir la confusin de funciones en el proceso consiste en notificar las comprobaciones y los balances incorporados en las funciones y responsabilidades de administracin. Mientras se est efectuando la evaluacin, comunique las funciones que desempean los participantes y asegreles que el equipo de administracin de riesgos de seguridad respeta dichos lmites. En la siguiente tabla se resumen las funciones y las responsabilidades principales de los participantes en esta fase del proceso de administracin de riesgos. Tabla 4.1: Funciones y responsabilidades en el programa de administracin de riesgos Funcin Responsable de negocios Grupo de seguridad Responsabilidad Determina el valor de los activos de negocios. de Determina la probabilidad de repercusin en los activos de negocio.

    informacin

    Tecnologa de la informacin: Disea las soluciones tcnicas y estima los costos de ingeniera. ingeniera Tecnologa de la informacin: Disea los componentes operativos de la solucin y estima los operaciones costos operativos.

    Las comprobaciones tcticas y los balances incorporados surgirn durante las siguientes secciones donde se examinan detenidamente los pasos de planeamiento, recopilacin de datos facilitados y asignacin de prioridades a los riesgos de la fase de evaluacin de riesgos. Herramientas proporcionadas para la fase de evaluacin de riesgos Durante este proceso de evaluacin de riesgos se recopilarn datos acerca de los riesgos y, posteriormente, se utilizarn para asignar prioridades a los riesgos. Como ayuda para esta fase se

    incluyen tres herramientas. Las encontrar en la carpeta Herramientas y plantillas creada al desempaquetar el archivo de almacenamiento que contiene esta gua y sus archivos relacionados.

    Plantilla de recopilacin de datos (GARSHerramienta1-Herramienta de recopilacin de datos.doc). Plantilla para facilitar los debates con el fin de recopilar datos de riesgos.

    Lista de valores de activos (SRAPPB.doc). Lista de algunos activos que normalmente se encuentran en las organizaciones.

    Plantillas de asignacin de prioridades a los riesgos (GARSHerramienta2-Nivel de riesgo de resumen.xls y GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls). Plantillas de Microsoft Excel para facilitar la asignacin de prioridades a los riesgos.

    Programa de ejemplo (GARSHerramienta4-Programa de proyecto de ejemplo.xls). Este programa puede ayudarle a planear las actividades de esta fase.

    Resultado necesario para la fase de evaluacin de riesgos El resultado de la fase de evaluacin de riesgos es una lista con prioridades de los riesgos, incluida la clasificacin cualitativa y las estimaciones cuantitativas empleadas en la fase de apoyo a la toma de decisiones que se describe en el siguiente captulo. Principio de la pgina Planeamiento El paso de planeamiento es, indiscutiblemente, el ms importante para garantizar la aceptacin y el apoyo de los participantes a lo largo del proceso de evaluacin de riesgos. La aceptacin de los participantes es crucial porque el equipo de administracin de riesgos de seguridad requiere una intervencin activa del resto de los participantes. El apoyo tambin es fundamental porque los resultados de la evaluacin pueden influir en las actividades de creacin de presupuestos de los participantes si se precisan nuevos controles para reducir el riesgo. Las tareas principales del paso de planeamiento estn enfocadas a alinear correctamente la fase de evaluacin con los procesos de negocios, definir el mbito de la evaluacin de forma precisa y obtener la aceptacin de los participantes. En la siguiente seccin se examinan estas tres tareas ms detalladamente y trata los factores de xito relacionados con dichas tareas. Alineacin Resulta idneo comenzar la fase de evaluacin de riesgos antes del proceso de creacin de presupuestos de la organizacin. La alineacin facilita el apoyo ejecutivo y aumenta la visibilidad en la organizacin y los grupos de TI mientras desarrollan presupuestos para el siguiente ejercicio fiscal. Unos plazos correctos tambin ayudan a generar consenso durante la evaluacin porque permite que los

    participantes desempeen funciones activas en el proceso de planeamiento. El grupo de seguridad de informacin normalmente se considera como un equipo reactivo que interrumpa la actividad de la organizacin y sorprenda a las unidades de negocio con nuevos errores de control o interrupciones de trabajo. Unos plazos razonables de la evaluacin resultan cruciales para generar apoyo y ayudar a la organizacin a comprender que la seguridad es responsabilidad de todos y que es inherente a la organizacin. Otra ventaja de efectuar una evaluacin de riesgos radica en demostrar que el grupo de seguridad de informacin se puede considerar un socio proactivo en vez de un mero ejecutor de directivas durante las emergencias. En esta gua se proporciona un calendario de proyecto de ejemplo como ayuda para alinear el proceso de evaluacin de riesgos para su organizacin. Evidentemente, el equipo de administracin de riesgos de seguridad no debe retener la informacin de riesgo mientras se espera el ciclo de creacin de presupuestos. La alineacin del calendario de la evaluacin simplemente es una prctica recomendada aprendida de las evaluaciones efectuadas en el departamento de TI de Microsoft. Nota: la correcta alineacin del proceso de administracin de riesgos con el ciclo de planeamiento presupuestario tambin puede beneficiar a las actividades de auditora interna o externa; no obstante, la coordinacin y la definicin del mbito de las actividades de auditora quedan fuera del mbito de esta gua. Definicin del mbito Durante las actividades de planeamiento, articule de forma clara el mbito de la evaluacin de riesgos. Para administrar el riesgo de forma eficaz en la organizacin, el mbito de la evaluacin de riesgos debe documentar todas las funciones de la organizacin incluidas en la evaluacin de riesgos. Si el tamao de su organizacin no permite una evaluacin de riesgos en toda la empresa, articule de forma clara las partes de la organizacin que estn dentro del mbito y defina los participantes asociados. Tal como se ha descrito en el captulo 2, si su organizacin no tiene experiencia en los programas de administracin de riesgos, puede comenzar a practicar el proceso de evaluacin de riesgos con unidades de negocios de las que se tenga un buen conocimiento. Por ejemplo, seleccionar una aplicacin de recursos humanos especfica o un servicio de TI, como el acceso remoto, puede contribuir a demostrar el valor del proceso y facilitar la creacin del impulso para una evaluacin de riesgos en toda la organizacin. Nota: las organizaciones normalmente no definen de forma precisa el mbito de una evaluacin de riesgos. Defina de forma clara las reas de la organizacin que se evaluarn y obtenga la aprobacin ejecutiva antes de continuar. El mbito se debe tratar con frecuencia y comprenderse en todas las reuniones de los participantes a lo largo del proceso.

    En el paso de planeamiento tambin debe definir el mbito de la evaluacin de riesgos. En el sector de la seguridad de la informacin se utiliza el trmino evaluacin de tantas formas que puede confundir a los participantes sin conocimientos tcnicos. Por ejemplo, las evaluaciones de vulnerabilidades se llevan a cabo para identificar la configuracin especfica de tecnologa o puntos dbiles operativos. El trmino evaluacin de cumplimiento se puede utilizar para comunicar una auditora o una medicin de los controles actuales segn la directiva formal. El proceso de administracin de riesgos de seguridad de Microsoft define la evaluacin de riesgos como el proceso para identificar y asignar prioridades a los riesgos de seguridad de TI para la organizacin. Puede ajustar esta definicin segn resulte adecuado para su organizacin. Por ejemplo, algunos equipos de administracin de riesgos de seguridad tambin pueden incluir la seguridad del personal en el mbito de sus evaluaciones de riesgos. Aceptacin de los participantes La evaluacin de riesgos requiere una participacin activa de los participantes. Como prctica recomendada, trabaje con los participantes de modo informal y al principio del proceso para garantizar que comprenden la importancia de la evaluacin, sus funciones y el compromiso de tiempo que se les ha solicitado. Cualquier responsable de evaluacin de riesgos puede indicarle que hay diferencias entre la aprobacin del proyecto por parte de los participantes y la aceptacin de los participantes del tiempo y la prioridad del proyecto. Una prctica recomendada para solicitar el apoyo de los participantes es vender previamente el concepto y las actividades de la evaluacin de riesgos. Esta venta previa puede incluir una reunin informal con los participantes antes de que solicitar un compromiso formal. Haga hincapi en los motivos por los que una evaluacin proactiva ayuda al participante a largo plazo mediante la identificacin de los controles que pueden evitar las interrupciones derivadas de las incidencias de seguridad en el futuro. La inclusin de incidencias de seguridad anteriores como ejemplos en el debate es un modo eficaz de recordar a los participantes los posibles ataques a la organizacin. Nota: para facilitar a los participantes la comprensin del proceso, prepare un breve resumen en el que se indique la justificacin y el valor de la evaluacin. Comparta el resumen todo lo que pueda. Sabr que ha sido eficaz cuando vea que los participantes se describen la evaluacin entre s. Este resumen ejecutivo de la gua ofrece un buen punto de partida para comunicar el valor del proceso de evaluacin de riesgos. Preparacin para el xito: definicin de expectativas En una definicin de expectativas correcta no se puede exagerar. La definicin de expectativas razonables es fundamental si se desea que la evaluacin de riesgos tenga xito, ya que el proceso requiere aportaciones importantes de los distintos grupos que posiblemente representen toda la

    organizacin. Adems, los participantes tienen que estar de acuerdo y comprender los factores de xito de su funcin y del proceso en su conjunto. Si alguno de estos grupos no comprende o participa activamente, la eficacia de todo el programa puede estar en peligro. Mientras logra el consenso durante el paso de planeamiento, defina las expectativas de las funciones, las responsabilidades y los niveles de participacin solicitados de los dems participantes. Tambin debe compartir los retos que entraa la evaluacin. Por ejemplo, describa de forma clara los procesos de la identificacin y asignacin de prioridades a los riesgos para evitar posibles malentendidos. Aceptacin de la subjetividad Los responsables de negocios a veces se ponen nerviosos cuando un grupo externo (en este caso, el grupo de seguridad de informacin) predice posibles riesgos de seguridad que puedan afectar a las prioridades fiscales. Puede reducir esta tensin natural si define expectativas para los objetivos del proceso de evaluacin de riesgos y para garantizar a los participantes que las funciones y responsabilidades se respetarn a lo largo del proceso. En concreto, el grupo de seguridad de informacin debe aceptar que los responsables de negocios definan el valor de los activos de negocios. Esto tambin significa que los participantes deben confiar en la experiencia del grupo de seguridad de informacin para estimar el riesgo de las amenazas que afectan a la organizacin. La prediccin del futuro es subjetiva por naturaleza. Los responsables de negocios deben reconocer y apoyar el hecho de que el grupo de seguridad de informacin utilizar su experiencia para estimar las probabilidades de los riesgos. Destaque estas relaciones y exponga las credenciales, experiencia y objetivos compartidos del grupo de seguridad de informacin y los responsables de negocios. Despus de llevar a cabo el paso de planeamiento, articular las funciones y las responsabilidades y definir correctamente las expectativas, estar preparado para comenzar las acciones de trabajo del proceso de evaluacin de riesgos: recopilacin de datos facilitados y asignacin de prioridades a los riesgos. En las dos secciones siguientes se explican detalladamente estos pasos antes de pasar al captulo 5 para describir la fase de apoyo a la toma de decisiones. Principio de la pgina Recopilacin de datos facilitados En la seccin de informacin general de este captulo se proporciona una introduccin al proceso de evaluacin de riesgos, donde se tratan los tres pasos principales: planeamiento, recopilacin de datos facilitados y asignacin de prioridades a los riesgos. Tras terminar las actividades de planeamiento, se recopilan los datos de riesgo de los participantes de la organizacin. Esta informacin se utiliza para identificar y, finalmente, asignar prioridades a los riesgos.

    Esta seccin est organizada en tres partes. En la primera se describe detalladamente el proceso de recopilacin de datos y se centra en los factores de xito al recopilar la informacin de riesgos. En la segunda parte se explican los pasos detallados de la recopilacin de datos de riesgos mediante las reuniones facilitadas con los participantes con conocimientos tcnicos y sin dichos conocimientos. En la tercera parte se describen los pasos para consolidar esta compilacin de datos en un conjunto de declaraciones de repercusiones, segn lo descrito en el captulo 3. Para concluir el proceso de evaluacin de riesgos, esta lista de declaraciones de repercusiones proporciona la informacin para el proceso de asignacin de prioridades que se explica detalladamente en la siguiente seccin. Claves para el xito de la recopilacin de datos Puede cuestionar la ventaja de realizar preguntas detalladas de seguridad acerca de los riesgos relacionados con la tecnologa de la informacin a personas sin experiencia profesional. La experiencia obtenida en las evaluaciones de riesgos que se han efectuado en el departamento de TI de Microsoft demuestra que hay un increble valor en preguntar a los participantes con conocimientos tcnicos y sin dichos conocimientos lo que piensan acerca de los riesgos para los activos organizativos que administran. Los profesionales de seguridad de informacin tambin deben conocer en detalle las preocupaciones de los participantes para traducir la informacin acerca de sus entornos en riesgos con prioridades. Las reuniones colaborativas con los participantes les ayudan a entender el riesgo en trminos que puedan comprender y valorar. Adems, los participantes controlan o influyen en el gasto de TI. Si no comprenden las posibles repercusiones en la organizacin, el proceso de asignacin de recursos es ms difcil. Los responsables de negocios tambin dirigen la cultura de la empresa e influyen en el comportamiento de los usuarios. Esto solo puede constituir una herramienta eficaz al administrar el riesgo. Cuando se descubren los riesgos, el grupo de seguridad de informacin requiere el apoyo de los participantes en cuanto a asignacin de recursos y el consenso en la definicin y asignacin de prioridades a los riesgos. Algunos grupos de seguridad de informacin sin un programa de administracin de riesgos proactivo pueden fundamentarse en el miedo para motivar a la organizacin. En el mejor de los casos, es una estrategia a corto plazo. El grupo de seguridad de informacin debe aprender a buscar el apoyo de la organizacin si se desea que el programa de administracin de riesgos contine a lo largo del tiempo. El primer paso para generar este apoyo son las reuniones cara a cara con los participantes. Generacin de apoyo

    Los responsables de negocios tienen funciones explcitas en el proceso de evaluacin de riesgos. Son los responsables de identificar sus activos organizativos y de estimar los costos de las posibles repercusiones en dichos activos. Si se formaliza esta responsabilidad, el grupo de seguridad de informacin y los responsables de negocios comparten por igual el xito de la administracin de riesgos. La mayora de los profesionales de seguridad de informacin y los participantes sin conocimientos tcnicos no aprecian esta conexin automticamente. Como expertos en la administracin de riesgos, los profesionales de seguridad de informacin deben tomar la iniciativa para suplir los vacos de conocimientos durante los debates acerca de los riesgos. Tal como se ha mencionado en el captulo anterior, la incorporacin de un patrocinador ejecutivo que comprenda la organizacin facilita mucho el establecimiento de esta relacin. Debate e interrogatorio En muchos mtodos de administracin de riesgos de seguridad se requiere que el grupo de seguridad de informacin haga preguntas explcitas a los participantes y catalogue sus respuestas. Algunos ejemplos de estas preguntas son "puede describir sus directivas para garantizar una segmentacin correcta de las responsabilidades?" y "cul es su proceso para revisar las directivas y los procedimientos?". Tenga en cuenta el tono y el curso de la reunin. Es recomendable centrarse en preguntas abiertas que faciliten los debates en los dos sentidos. Esto tambin permite que los participantes comuniquen el verdadero espritu de las respuestas en vez de indicar simplemente al responsable de evaluacin de riesgos lo que creen que desea or. El objetivo del debate acerca de los riesgos es comprender la organizacin y sus riesgos de seguridad, no el llevar a cabo una auditora de la directiva documentada. Aunque la aportacin de los participantes sin conocimientos tcnicos es valiosa, normalmente no es exhaustiva. El equipo de administracin de riesgos de seguridad, independientemente del responsable de negocios, necesita analizar, investigar y tener en cuenta todos los riesgos para cada activo. Generacin de buena voluntad La seguridad de informacin es una funcin de negocios difcil ya que la reduccin de riesgos se suele considerar como una reduccin de la capacidad de uso o de la productividad de los empleados. Utilice los debates facilitados como herramienta para establecer una alianza con los participantes. La legislacin, las preocupaciones de privacidad, la presin de la competencia y una mayor toma de conciencia por parte de los consumidores han provocado que los ejecutivos y los responsables de la toma de decisiones reconozcan que la seguridad es un componente de negocios muy importante. Ayude a los participantes a comprender la importancia de administrar el riesgo y sus funciones en el programa global. En ocasiones resulta ms productivo establecer relaciones entre el grupo de seguridad de

    informacin y los participantes que los datos reales recopilados durante la reunin. Es una pequea pero importante victoria en el esfuerzo global de la administracin de riesgos. Preparacin del debate acerca de los riesgos Antes de que comiencen los debates acerca de los riesgos, el equipo de administracin de riesgos de seguridad debe dedicar tiempo en investigar y comprender de forma clara cada elemento que se tratar. La siguiente informacin cubre las prcticas recomendadas y precisa la definicin de cada elemento de la declaracin de riesgo bien elaborada como preparacin para facilitar los debates con los participantes. Identificacin de la informacin de la evaluacin de riesgos El equipo de evaluacin de riesgos debe prepararse exhaustivamente antes de reunirse con los participantes. El equipo resulta ms eficaz y los debates son ms productivos cuando el equipo dispone de conocimientos claros de la organizacin, su entorno tcnico y la actividad de evaluacin del pasado. Utilice la siguiente lista como ayuda para recopilar el material que se utilizar como informacin del proceso de evaluacin de riesgos:

    Nuevas motivaciones de negocios: actualice sus conocimientos acerca de las prioridades de la organizacin o los cambios que se hayan producido desde la ltima evaluacin. Preste una atencin especial a las fusiones y adquisiciones.

    Evaluaciones de riesgos anteriores: revise las evaluaciones anteriores, las cuales ofrecen perspectiva. Puede que el equipo de evaluacin de riesgos tenga que reconciliar la nueva evaluacin con el trabajo anterior.

    Auditoras: recopile los informes de auditora pertinentes al mbito de la evaluacin de riesgos. Los resultados de auditora se deben tener en cuenta en la evaluacin y al seleccionar las nuevas soluciones de control.

    Incidencias de seguridad: utilice las incidencias anteriores para identificar los activos clave, comprender el valor de los activos, identificar las vulnerabilidades predominantes y resaltar las definiciones de control.

    Sucesos del sector: identifique las nuevas tendencias en la organizacin y las influencias externas. La normativa gubernamental, las leyes y la actividad internacional pueden afectar considerablemente a la posicin de riesgo. La identificacin de nuevas tendencias puede requerir investigacin y evaluacin considerables por parte de la organizacin. Puede resultar til dedicar personal a la revisin durante el ao.

    Boletines: revise los problemas de seguridad conocidos que se hayan identificado en el Web, en grupos de noticias y directamente por parte de los proveedores.

    Gua de informacin de seguridad: lleve a cabo investigaciones para determinar si hay disponibles nuevas tendencias, herramientas o enfoques en la administracin de riesgos. Los estndares del sector se pueden aprovechar para mejorar o justificar el proceso de evaluacin de riesgos o bien para identificar las nuevas estrategias de control. Los estndares internacionales tambin constituyen otra informacin clave.

    En esta gua se incorporan conceptos de numerosos estndares, como el 17799 de la organizacin International Standards Organization (ISO). La evaluacin y aplicacin meticulosas de los estndares permiten utilizar el trabajo de otros profesionales y ofrecer credibilidad a los participantes de la organizacin. Puede resultar til hacer referencia especfica a estndares durante los debates acerca de los riesgos para garantizar que la evaluacin cubre todas las reas de seguridad de informacin correspondientes. Identificacin y clasificacin de activos El mbito de la evaluacin de riesgos define las reas de la organizacin que se revisarn en los debates de recopilacin de datos. Se deben identificar los activos de negocios que estn en este mbito para llevar a cabo los debates acerca de los riesgos. Los activos se definen como cualquier elemento que represente un valor para la organizacin. Esto incluye activos intangibles como la reputacin de la empresa e informacin digital y activos tangibles como la infraestructura fsica. El enfoque ms eficaz tiene que ser lo ms especfico posible al definir los activos de negocios, por ejemplo, la informacin de cuentas en una aplicacin de administracin de clientes. No se deben tratar las declaraciones de repercusiones cuando se estn definiendo los activos. Las declaraciones de repercusiones definen la prdida o los daos posibles para la organizacin. Un ejemplo de una declaracin de repercusiones puede ser la disponibilidad de los datos de cuentas en la aplicacin de administracin de clientes. Las declaraciones de repercusiones se amplan posteriormente en el debate acerca de los riesgos. Tenga en cuenta que cada activo puede tener definidas varias repercusiones durante el debate. Mientras identifica los activos, tambin identifique o confirme el responsable del activo. Normalmente es ms difcil identificar a la persona o el grupo responsable de un activo de lo que pueda parecer. Documente los responsables de activos especficos durante los debates de riesgos facilitados. Esta informacin puede resultar til durante el proceso de asignacin de prioridades para confirmar la informacin y comunicar los riesgos directamente a los responsables de activos.

    Como ayuda para clasificar los activos, puede resultar til agruparlos en escenarios de negocios, por ejemplo, transacciones bancarias en lnea o desarrollo de cdigo fuente. Al trabajar con participantes sin conocimientos tcnicos, comience el debate acerca de los activos con escenarios de negocios. A continuacin, documente activos especficos en cada escenario. Una vez identificados los activos, la segunda responsabilidad del responsable de negocios consiste en clasificar cada activo en lo que se refiere al efecto posible en la organizacin. La clasificacin de activos es un componente crucial en la ecuacin de riesgo global. La siguiente seccin facilita este proceso. Activos Los activos de negocios pueden ser tangibles o intangibles. Debe definir cada tipo de activo de forma suficiente para que los responsables de negocios puedan estipular el valor del activo para la organizacin. Ambas categoras de activos requieren que el participante proporcione estimaciones en forma de prdida monetaria directa o repercusiones financieras indirectas. Los activos tangibles incluyen la infraestructura, como centros de datos, servidores y propiedad. Los activos intangibles incluyen datos u otra informacin digital que resulte valiosa para la organizacin, por ejemplo, transacciones bancarias, clculos de intereses y planes y especificaciones de desarrollo de productos. Segn resulte adecuado para su organizacin, una tercera definicin de activo de servicio de TI puede ser til. El servicio de TI es una combinacin de activos tangibles e intangibles. Por ejemplo, un servicio de correo electrnico de TI corporativo contiene servidores fsicos y utiliza la red fsica; sin embargo, el servicio puede contener datos digitales confidenciales. Tambin debe incluir el servicio de TI como un activo ya que, por lo general, tiene distintos responsables de datos y activos fsicos. Por ejemplo, el responsable del servicio de correo electrnico es el encargado de la disponibilidad para tener acceso y enviar correo electrnico. No obstante, el servicio de correo electrnico puede no ser responsable de la confidencialidad de los datos financieros del correo electrnico o los controles fsicos que rodean a los servidores de correo electrnico. Otros ejemplos de servicios de TI son: uso compartido de archivos, almacenamiento, redes, acceso remoto y telefona. Clases de activos Los activos que se encuentren en el mbito de la evaluacin de riesgos se deben a una clase o grupo cualitativo. Las clases facilitan la definicin de las repercusiones globales de los riesgos de seguridad. Tambin ayudan a la organizacin a centrarse en primer lugar en los activos ms cruciales. Los distintos modelos de evaluacin de riesgos definen una serie de clases de activos. El proceso de administracin de riesgos de seguridad de Microsoft utiliza tres clases de activos que facilitan la cuantificacin del valor

    del activo para la organizacin. Por qu slo tres clases? Estas tres agrupaciones permiten una diferenciacin suficiente y reducir el tiempo de debate y seleccin de la denominacin de clase adecuada. El proceso de administracin de riesgos de seguridad de Microsoft define las tres clases de activos cualitativos siguientes: alta repercusin en la empresa, repercusin moderada en la empresa y repercusin baja en la empresa. Durante el paso de asignacin de prioridades a los riesgos, el proceso tambin proporciona orientacin para cuantificar los activos. Segn resulte adecuado para la organizacin, puede optar por cuantificar los activos durante los debates de riesgos facilitados. Si lo hace, tenga en cuenta el tiempo necesario para lograr el consenso en la cuantificacin de los valores monetarios durante el debate acerca de los riesgos. El proceso recomienda esperar hasta que se hayan identificado todos los riesgos y posteriormente se les haya asignado prioridades para reducir el nmero de riesgos que necesitan ms anlisis. Nota: para obtener informacin adicional acerca de la definicin y clasificacin de la informacin y los sistemas de informacin consulte los talleres de la publicacin especial 800-60 de National Institute of Standards and Technology (NIST), "Mapping Types of Information and Information Systems to Security Categories" y la publicacin 199 de Federal Information Processing Standards (FIPS), "Security Categorization of Federal Information and Information Systems". Repercusin alta en la empresa Las repercusiones en la confidencialidad, la integridad o la disponibilidad de estos activos provocan prdidas graves o catastrficas para la organizacin. Las repercusiones se pueden expresar en trminos financieros puros o pueden reflejar prdida indirecta o robo de instrumentos financieros, productividad de la organizacin, daos a la reputacin o responsabilidad legal o normativa importante. En la siguiente lista se ofrecen unos cuantos ejemplos de la clase de repercusin alta en la empresa:

    Credenciales de autenticacin: contraseas, claves de cifrado privadas y testigos (tokens) de hardware.

    Material de negocios muy confidencial: datos financieros y propiedad intelectual. Activos sometidos a requisitos normativos especficos: GLBA, HIPAA, CA SB1386 y directiva de proteccin de datos de UE.

    Informacin de identificacin personal: informacin que permita a un pirata informtico identificar a sus clientes o empleados, o bien conocer alguna caracterstica personal.

    Datos de autorizacin de transacciones financieras: nmeros de tarjeta de crdito y fechas de caducidad.

    Perfiles financieros: informes de crdito de clientes o extractos de ingresos personales. Perfiles mdicos: nmeros de registro mdico o identificadores biomtricos.

    Para proteger la confidencialidad de los activos de esta clase, el acceso est restringido al uso organizativo limitado sobre la base de "quien necesite saberlo". El nmero de personas con acceso a estos datos lo debe administrar explcitamente el responsable del activo. Se debe prestar la misma atencin a la integridad y la disponibilidad de los activos de esta clase. Repercusin moderada en la empresa Las repercusiones en la confidencialidad, la integridad o la disponibilidad de estos activos provocan prdidas moderadas para la organizacin. La prdida moderada no constituye una repercusin grave o catastrfica, pero altera las funciones organizativas normales hasta el punto de que son necesarios controles proactivos para minimizar las repercusiones en esta clase de activos. La prdida moderada se puede expresar en trminos financieros puros o puede incluir prdida indirecta o robo de instrumentos financieros, productividad de la empresa, daos a la reputacin o responsabilidad legal o normativa importante. Estos activos estn pensados para que los utilicen determinados grupos de empleados o personas ajenas a la empresa con una necesidad de negocios legtima. A continuacin se ofrecen ejemplos de la clase de repercusin moderada en la empresa:

    Informacin de negocios interna: directorio de empleados, datos de pedidos, diseos de infraestructura de red, informacin acerca de sitios Web internos y datos en recursos compartidos de archivos internos nicamente para uso de negocios interno.

    Repercusin baja en la empresa Los activos que no son de repercusin alta o de repercusin moderada tienen la clasificacin de repercusin baja en la empresa y no tienen requisitos de proteccin formales ni controles adicionales aparte de las prcticas recomendadas estndar para proteger la infraestructura. Estos activos normalmente son informacin de amplia difusin pblica en los que una revelacin no autorizada no dara lugar a una prdida financiera importante, problemas legales o normativos, interrupciones operativas o desventaja competitiva de negocios. La siguiente es una lista no exhaustiva de algunos ejemplos de activos de repercusin baja en la empresa:

    Estructura de alto nivel de la organizacin. Informacin bsica acerca de la plataforma operativa de TI. Acceso de lectura a pginas Web de acceso pblico. Claves de cifrado privadas.

    Notas de prensa publicadas, folletos de producto, notas del producto y documentos incluidos en los productos publicados.

    Informacin de negocios o activos tangibles obsoletos.

    Organizacin de la informacin de riesgos El riesgo implica muchos componentes en activos, amenazas, vulnerabilidades y controles. El responsable de evaluacin de riesgos debe poder determinar el componente de riesgo del que se trata sin interferir en el flujo de la conversacin. Para organizacin el debate, utilice la plantilla de discusin de riesgos (GARSHerramienta1-Herramienta de recopilacin de datos.doc) incluida en la seccin Herramientas para facilitar a los asistentes la comprensin de los componentes en riesgo. La plantilla tambin facilita al responsable de registro de evaluacin de riesgos la obtencin de informacin de riesgos de forma coherente en las reuniones. Los datos de la plantilla se pueden rellenar en cualquier secuencia. Sin embargo, la experiencia demuestra que si se sigue la secuencia segn las siguientes preguntas, se facilita a los participantes del debate la comprensin de los componentes de riesgo y revela ms informacin:

    Qu activo se va a proteger? Cul es el valor del activo para la organizacin? Qu se intenta evitar que le suceda al activo (amenazas conocidas y posibles)? Cmo se pueden producir la prdida o las exposiciones? Cul es el alcance de la exposicin potencial para el activo? Qu se est haciendo actualmente para reducir la probabilidad o el alcance del dao en el activo?

    Cules son las acciones que se pueden adoptar para reducir la probabilidad en el futuro?

    Para el profesional de seguridad de informacin, las preguntas anteriores se traducen en terminologa y categoras de evaluacin de riesgos especficas que se emplean para asignar prioridades a los riesgos. No obstante, es posible que el participante no est familiarizado con dichos trminos y no est encargado de asignar prioridades a los riesgos. La experiencia demuestra que si se evita terminologa de seguridad de informacin, como amenazas, vulnerabilidades y contramedidas, se mejora la calidad del debate y permite que los participantes sin conocimientos tcnicos no se sientan intimidados. Otra ventaja de utilizar trminos funcionales para debatir el riesgo radica en que se reduce la posibilidad de que otros tcnicos discutan sutilezas de trminos especficos. En este punto del proceso es mucho ms importante comprender las reas de mayor riesgo que debatir definiciones opuestas de amenaza y vulnerabilidad. El

    responsable de evaluacin de riesgos debe esperar hasta el final del debate para resolver dudas acerca de las definiciones y terminologa de los riesgos. Organizacin por niveles de defensa en profundidad El responsable de registro y el responsable de evaluacin de riesgos recopilarn grandes cantidades de informacin. Utilice el modelo de defensa en profundidad para facilitar la organizacin de los debates correspondientes a todos los elementos de riesgo. Esta organizacin proporciona una estructura y ayuda al equipo de administracin de riesgos de seguridad a recopilar informacin de riesgos en la organizacin. En la plantilla de debate de riesgos se incluye un ejemplo de niveles de defensa en profundidad y se ilustra en la figura 4.2. En la seccin titulada "Organizacin de las soluciones de control" del captulo 6, "Implementacin de controles y medicin de la efectividad del programa", se incluye una descripcin ms detallada del modelo de defensa en profundidad.

    Figura 4.2 Modelo de defensa en profundidad

    Otra herramienta til para complementar el modelo de defensa en profundidad es hacer referencia al estndar ISO 17799 para organizar las preguntas y respuestas relativas a los riesgos. Hacer referencia a un estndar exhaustivo como ISO 17799 tambin facilita los debates acerca de los riesgos en relacin con reas adicionales, por ejemplo, jurdica, directiva, proceso, personal y desarrollo de aplicaciones. Definicin de amenazas y vulnerabilidades La informacin acerca de las amenazas y vulnerabilidades proporciona la prueba tcnica que se emplea para asignar prioridades a los riesgos en una empresa. Debido a que muchos participantes sin conocimientos tcnicos pueden no estar familiarizados con las exposiciones detalladas que afectan a su

    empresa, es posible que el responsable de evaluacin de riesgos tenga que ofrecer ejemplos que contribuyan a iniciar el debate. sta es un rea en la que resulta muy valiosa una investigacin previa para ayudar a los responsables de negocios a detectar y comprender el riesgo en sus propios entornos. Como referencia, en ISO 17799 se definen las amenazas como una causa de repercusiones posibles en la organizacin. NIST define una amenaza como un suceso o entidad con posibilidad de daar el sistema. Las repercusiones derivadas de una amenaza normalmente se definen con conceptos como confidencialidad, integridad y disponibilidad. Hacer referencia a estndares del sector resulta muy til al investigar amenazas y vulnerabilidades. Para el debate de riesgos facilitado puede resultar til traducir las amenazas y vulnerabilidades en trminos conocidos para los participantes sin conocimientos tcnicos. Por ejemplo, qu se intenta evitar? o qu se teme que le suceda al activo? La mayora de las repercusiones en la empresa se pueden clasificar en confidencialidad del activo, integridad o disponibilidad del activo para la realizacin de las actividades. Intente utilizar este enfoque si los participantes tienen dificultades para entender el significado de las amenazas para los activos organizativos. Un ejemplo habitual de una amenaza para la organizacin es un ataque a la integridad de los datos financieros. Despus de haber articulado lo que intenta evitar, la siguiente tarea consiste en determinar el modo en que las amenazas se producen en la organizacin. Una vulnerabilidad es un punto dbil de un activo o grupo de activos que una amenaza puede atacar. De un modo simplificado, las vulnerabilidades proporcionan el mecanismo o el modo en que se pueden producir las amenazas. Como referencia adicional, NIST define la vulnerabilidad como una situacin o punto dbil en (o la ausencia de) los procedimientos de seguridad, controles tcnicos, controles fsicos u otros controles que puede aprovechar una amenaza. Como ejemplo, una vulnerabilidad habitual de los osas es la ausencia de actualizaciones de seguridad. La incorporacin de los ejemplos de amenaza y vulnerabilidad indicados anteriormente genera la siguiente declaracin: "los osas sin revisiones pueden provocar un ataque a la integridad de la informacin financiera que se encuentra en ellos". Un error habitual al llevar a cabo una evaluacin de riesgos es centrarse en vulnerabilidades tcnicas. La experiencia demuestra que las vulnerabilidades ms importantes se suelen producir debido a la ausencia de un proceso definido o un control no adecuado de la seguridad de informacin. No pase por alto los aspectos organizativos y de liderazgo de la seguridad durante el proceso de recopilacin de datos. Por ejemplo, retomando la vulnerabilidad de actualizaciones de seguridad anterior, la imposibilidad de aplicar actualizaciones en sistemas administrados puede conllevar un ataque a la integridad de la informacin financiera que se encuentra en dichos sistemas. El control claro y la

    aplicacin de directivas de seguridad de informacin suelen ser un problema organizativo en muchas empresas. Nota: durante el proceso de recopilacin de datos puede reconocer grupos comunes de amenazas y vulnerabilidades. Realice un seguimiento de estos grupos para determinar si con controles similares se puede reducir la probabilidad de varios riesgos. Estimacin de exposicin de los activos Despus de que el responsable de evaluacin de riesgos dirija el debate por la identificacin de activos, amenazas y vulnerabilidades, la siguiente tarea consiste en recopilar las estimaciones de los participantes acerca del alcance de los daos posibles al activo, independientemente de su definicin de clase. El alcance de daos posibles se define como exposicin del activo. Tal como se ha descrito anteriormente, el responsable de negocios es el encargado de identificar los activos y estimar la prdida posible para el activo o la organizacin. A modo de revisin, la clase de activos, la exposicin y la combinacin de amenaza y vulnerabilidad definen las repercusiones globales en la organizacin. A continuacin, las repercusiones se combinan con la probabilidad para realizar la declaracin de riesgo bien elaborada, tal como se ha definido en el captulo 3. El responsable de evaluacin de riesgos inicia el debate con los siguientes ejemplos de categoras cualitativas de exposicin posible para cada combinacin de amenaza y vulnerabilidad asociada a un activo:

    Ventaja competitiva Legal/normativo Disponibilidad operativa Reputacin en el mercado

    Por cada categora, ayude a los participantes a situar las estimaciones en los tres grupos siguientes:

    Exposicin alta: prdida grave o completa del activo. Exposicin moderada: prdida limitada o moderada. Exposicin baja: prdida menor o no hay prdida.

    En la seccin de asignacin de prioridades de este captulo se ofrecen indicaciones para incorporar detalles a las categoras de exposicin anteriores. Al igual que en la tarea de cuantificar los activos, el proceso de administracin de riesgos de seguridad de Microsoft recomienda esperar hasta el paso de asignacin de prioridades para precisar los niveles de exposicin. Nota: si los participantes tienen dificultades para seleccionar los niveles de exposicin durante los debates facilitados, retome los detalles de amenaza y vulnerabilidad para facilitar la indicacin del nivel

    posible de daos o prdida del activo. Los ejemplos pblicos de ataques de seguridad tambin constituyen otra herramienta til. Si se necesita ayuda adicional, introduzca el mximo de niveles detallados de exposicin segn lo definido en la seccin de asignacin de prioridades detalladas ms adelante en este captulo. Estimacin de la probabilidad de las amenazas Despus de que los participantes hayan proporcionado las estimaciones de las posibles repercusiones en los activos organizativos, el responsable de evaluacin de riesgos recopila sus opiniones acerca de la probabilidad de que las repercusiones se produzcan. De este modo se cierra el debate acerca de los riesgos y se permite que el participante comprenda el proceso de identificar los riesgos de seguridad. Recuerde que el grupo de seguridad de informacin se encarga de la decisin final acerca de la estimacin de probabilidad de que se produzcan repercusiones en la organizacin. Este debate se puede considerar de cortesa y un modo de generar buena voluntad en los participantes. Utilice las siguientes indicaciones para estimar la probabilidad de cada amenaza y vulnerabilidad identificada en el debate:

    Alta: muy probable, previsin de uno o varios ataques en un ao. Media: probable, previsin de ataque en dos a tres aos. Baja: no probable, no se prev ningn ataque en tres aos.

    Normalmente se incluye la revisin de las incidencias que se han producido recientemente. Segn resulte adecuado, debata estas indicaciones en orden para que los participantes comprendan la importancia de la seguridad y el proceso de administracin de riesgos global. El proceso de administracin de riesgos de seguridad de Microsoft asocia un intervalo de un ao a la categora de probabilidad alta porque los controles de seguridad de informacin normalmente tardan perodos largos en implementarse. Seleccionar la probabilidad de un ao llama la atencin del riesgo y anima a tomar una decisin de mitigacin en el siguiente ciclo presupuestario. Una probabilidad alta, combinada con una repercusin alta, exige un debate acerca de los riesgos entre los participantes y el equipo de administracin de riesgos de seguridad. El grupo de seguridad de informacin debe tomar conciencia de esta responsabilidad al estimar la probabilidad de las repercusiones. La siguiente tarea es recopilar las opiniones de los participantes acerca de los posibles controles que puedan reducir la probabilidad de las repercusiones identificadas. Trate este debate como una sesin de lluvia de ideas y no critique ni rechace ninguna idea. De nuevo, el objetivo principal de este debate es demostrar todos los componentes de riesgo para facilitar la comprensin. La seleccin de mitigacin real se produce en la fase de apoyo a la toma de decisiones. Por cada posible control identificado, revise

    el debate de probabilidad para estimar el nivel de aparicin reducida mediante las mismas categoras cualitativas descritas anteriormente. Indique a los participantes que el concepto de reduccin de probabilidad del riesgo es la variable principal para administrar el riesgo a un nivel aceptable. Facilitar los debates acerca de los riesgos En esta seccin se describe la preparacin de las reuniones de debate acerca de los riesgos y se definen las cinco tareas del debate de recopilacin de datos (determinar los activos y escenarios organizativos, identificar las amenazas, identificar las vulnerabilidades, estimar la exposicin de activos, identificar los controles existentes y la probabilidad de un ataque). Preparacin de las reuniones Un factor sutil, pero importante, de xito es el orden en que se llevan a cabo los debates acerca de los riesgos. La experiencia en Microsoft demuestra que cuanta ms informacin aporta el equipo de administracin de riesgos de seguridad a cada reunin, ms productivo es su resultado. Una estrategia consiste en crear una base de conocimientos de los riesgos en la organizacin para aprovechar la experiencia de los equipos de seguridad de informacin y de TI. Celebre una reunin con el grupo de seguridad de informacin en primer lugar y, a continuacin, con los equipos de TI para actualizar los conocimientos acerca del entorno. De este modo, el equipo de administracin de riesgos de seguridad puede disponer de una mayor comprensin del rea de la organizacin de cada participante. Tambin permite que dicho equipo comparta los avances de la evaluacin de riesgos con los participantes segn resulte adecuado. Segn esta prctica recomendada, lleve a cabo los debates acerca de los riesgos con la direccin ejecutiva hacia el final del proceso de recopilacin de datos. Los ejecutivos normalmente desean obtener un avance de la direccin que toma la evaluacin de riesgos. No lo confunda con el patrocinio y el apoyo ejecutivo. La participacin de los ejecutivos es necesaria al principio y durante el proceso de evaluacin de riesgos. Dedique tiempo a crear la lista de invitados a cada debate acerca de los riesgos. Se recomienda llevar a cabo reuniones con grupos de participantes que dispongan de responsabilidades y conocimientos tcnicos similares. El objetivo es que los asistentes se sientan cmodos con el nivel tcnico del debate. Aunque un conjunto variado de participantes puede suponer una ventaja al ofrecer otros puntos de vista acerca del riesgo de la organizacin, el proceso de evaluacin de riesgos debe permanecer centrado en recopilar todos los datos pertinentes en el tiempo asignado. Despus de programar los debates acerca de los riesgos, investigue el rea de organizacin de cada participante para familiarizarse con los activos, las amenazas, las vulnerabilidades y los controles. Tal

    como se ha indicado anteriormente, esta informacin permite al responsable de evaluacin de riesgos mantener el debate encauzado y a un ritmo productivo. Facilitar los debates El debate dirigido debe tener un tono informal; no obstante, el responsable de evaluacin de riesgos debe mantener el debate en orden para tratar todo el material pertinente. La experiencia demuestra que el debate normalmente no se ajusta a la agenda. Los errores probables se producen cuando los participantes inician discusiones tcnicas acerca de las nuevas vulnerabilidades o tienen soluciones de control preconcebidas. El responsable de evaluacin de riesgos debe utilizar la investigacin previa a la reunin y su experiencia para elaborar un resumen de la discusin tcnica y hacer que la reunin avance. Con la suficiente preparacin, una reunin con cuatro a seis participantes debe durar aproximadamente 60 minutos. Dedique unos minutos al principio para tratar la agenda y hacer hincapi en las funciones y responsabilidades en el programa de administracin de riesgos. Los participantes deben comprender de forma clara sus funciones y las aportaciones que se esperan de ellos. Otra prctica recomendada es proporcionar a todos los participantes una hoja de trabajo de debate de riesgos de ejemplo para que tomen notas personales. De este modo tambin se ofrece una referencia a medida que el responsable de evaluacin de riesgos dirige el debate de riesgos. Otra prctica recomendada es llegar antes y anotar la plantilla de riesgos en una pizarra para registrar datos durante la reunin. Para una reunin de 60 minutos, la distribucin del tiempo debe ser parecida a la siguiente:

    Presentaciones e informacin general acerca de la administracin de riesgos: 5 minutos Funciones y responsabilidades: 5 minutos Debate acerca de los riesgos: 50 minutos

    El debate acerca de los riesgos se divide en las siguientes secciones:


    Determinar los activos organizativos y los escenarios Identificar las amenazas Identificar las vulnerabilidades Estimar la exposicin de los activos Estimar la probabilidad de las amenazas Debates de los controles propuestos Resumen de la reunin y pasos siguientes

    El flujo real de la reunin vara segn el grupo de participantes, el nmero de riesgos debatidos y la experiencia del responsable de evaluacin de riesgos. Utilice ste como gua en cuanto a la dedicacin

    de tiempo relativo a cada tarea de la evaluacin. Asimismo, considere la posibilidad de enviar la plantilla de recopilacin de datos antes de la reunin si los participantes tienen experiencia en el proceso de evaluacin de riesgos. Nota: en las secciones restantes de este captulo se incluye informacin de ejemplo para demostrar el uso de las herramientas a las que se ha hecho referencia en la fase de evaluacin de riesgos. La empresa de ejemplo es ficticia y el contenido relacionado con el riesgo slo representa una parte de los datos necesarios para una evaluacin de riesgos completa. El ejemplo se centra en mostrar nicamente el modo en que se puede recopilar y analizar la informacin mediante las herramientas proporcionadas con esta gua. Una demostracin completa de todos los aspectos del proceso de administracin de riesgos de seguridad de Microsoft genera una cantidad considerable de datos y queda fuera del mbito de esta gua. La empresa ficticia es un banco que ofrece servicios a particulares denominado Woodgrove Bank. El contenido relacionado con el ejemplo se puede identificar mediante el encabezado "Ejemplo de Woodgrove" que antecede a cada tema de ejemplo. Tarea 1: Determinar los activos organizativos y los escenarios La primera tarea consiste en recopilar las definiciones de los participantes de los activos organizativos en el mbito de la evaluacin de riesgos. Utilice la plantilla de recopilacin de datos, mostrada a continuacin, para asignar los activos tangibles, intangibles o de servicio de TI segn resulte adecuado (GARSHerramienta1-Herramienta de recopilacin de datos.doc tambin se incluye como herramienta con esta gua). Por cada activo, ayude a los participantes a seleccionar una clase de activos y a registrarla en la plantilla. Segn resulte adecuado, registre tambin el responsable del activo. Si los participantes tienen dificultades para seleccionar una clase de activos, compruebe que el activo est definido en un nivel detallado para facilitar el debate. Si los participantes siguen teniendo dificultades, omita esta tarea y espere hasta los debates acerca de las amenazas y las vulnerabilidades. La experiencia demuestra que los participantes pueden clasificar los activos ms fcilmente cuando aprecian las amenazas posibles para el activo y toda la empresa. El debate en relacin con los activos organizativos se puede limitar a unas preguntas simples. Por ejemplo, el activo es crucial para el xito de la empresa? y el activo puede tener repercusiones materiales en los resultados? Si las respuestas son afirmativas, el activo puede tener repercusiones altas en la organizacin.

    Figura 4.3 Instantnea de la plantilla de recopilacin de datos (GARSHerramienta1)

    Ejemplo de Woodgrove: Woodgrove Bank dispone de numerosos activos de alto valor que van desde sistemas de clculo de intereses e informacin personal de clientes hasta datos financieros de consumidor y reputacin como institucin de confianza. Este ejemplo slo se centra en uno de estos activos, datos financieros de consumidor, para demostrar el uso de las herramientas incluidas en esta gua. Despus de tratar la responsabilidad del activo en la reunin de debate acerca de los riesgos, el equipo de administracin de riesgos de seguridad ha identificado al vicepresidente de servicios al consumidor como el responsable del activo. Si se identifica un riesgo controvertido o una estrategia de mitigacin cara, este responsable de negocios ser un participante clave al decidir el riesgo aceptable para Woodgrove Bank. Al hablar con los representantes de los servicios al consumidor, el equipo de administracin de riesgos de seguridad ha confirmado que los datos financieros de consumidor son un activo de alto valor para la empresa. Tarea 2: Identificar las amenazas Utilice terminologa comn para facilitar el debate acerca de las amenazas, por ejemplo, qu desean evitar los participantes que les suceda a los distintos activos? Centre los debates en qu puede suceder en vez de cmo puede suceder. Plantee las preguntas en trminos de confidencialidad, integridad o disponibilidad del activo y registre la informacin en la plantilla de recopilacin de datos. Ejemplo de Woodgrove: segn los activos tratados anteriormente, se pueden identificar numerosas amenazas. Para abreviar, este ejemplo slo se centra en la amenaza de una prdida de integridad de los datos financieros de consumidor. Tambin puede haber amenazas adicionales en cuanto a la disponibilidad y la confidencialidad de los datos de consumidor; no obstante, quedan fuera del mbito de este ejemplo bsico. Tarea 3: Identificar las vulnerabilidades Por cada amenaza identificada, ofrezca ideas acerca de las vulnerabilidades, por ejemplo, cmo se podra producir la amenaza. Anime a los participantes a ofrecer ejemplos tcnicos especficos al documentar las vulnerabilidades. Cada amenaza puede tener varias vulnerabilidades. Esto es normal y

    sirve de ayuda en las etapas posteriores de identificacin de controles en la fase de apoyo a la toma de decisiones del proceso de administracin de riesgos. Ejemplo de Woodgrove: teniendo en cuenta la amenaza de prdida de integridad en los datos financieros de consumidor, el equipo de administracin de riesgos de seguridad ha condensado la informacin recopilada durante los debates acerca de los riesgos en las tres vulnerabilidades siguientes: 1. Robo de credenciales de asesor financiero por parte de empleados de confianza mediante ataques no tcnicos, por ejemplo, ingeniera social o escuchas. 2. Robo de credenciales de asesor financiero a travs de hosts de la red de rea local (LAN) mediante el uso de configuraciones de seguridad obsoletas. 3. Robo de credenciales de asesor financiero a travs de hosts remotos, o mviles, como resultado de configuraciones de seguridad obsoletas. Tenga en cuenta que puede haber muchas ms vulnerabilidades en este escenario. El objetivo es demostrar el modo en que las vulnerabilidades se asignan a amenazas especficas. Tenga tambin en cuenta que es posible que los participantes no designen las vulnerabilidades en trminos tcnicos. El equipo de administracin de riesgos de seguridad debe precisar las declaraciones de amenazas y vulnerabilidades segn sea necesario. Tarea 4: Estimar la exposicin de los activos El responsable de evaluacin de riesgos dirige el debate para estimar la exposicin de cada combinacin de amenaza y vulnerabilidad. Pida a los participantes que seleccionen un nivel de exposicin alta, moderada o baja y lo registren en la plantilla. En el caso de activos y sistemas digitales, una directriz til consiste en clasificar la exposicin como alta si la vulnerabilidad permite un control de nivel administrativo, o raz, del activo. Ejemplo de Woodgrove: despus de identificar las amenazas y las vulnerabilidades, el responsable de evaluacin de riesgos dirige el debate para recopilar informacin acerca del nivel posible de daos que las combinaciones de amenaza y vulnerabilidad tratadas anteriormente pueden producir a la empresa. Tras debatirlo, el grupo determina lo siguiente:

    Un ataque de integridad por parte de un empleado de confianza puede provocar daos a la empresa, pero probablemente no sean demasiado graves. En este escenario, el alcance del dao es limitado porque cada asesor financiero slo puede tener acceso a los datos de cliente que administra. Por lo tanto, el grupo de debate reconoce que un nmero menor de credenciales robadas provoca menos daos que un nmero mayor.

    Un ataque de integridad mediante el robo de credenciales en los hosts de la LAN puede provocar un nivel grave, o alto, de daos. Esto es as, especialmente, en el caso de un ataque automatizado que pueda recopilar varias credenciales de asesor financiero en un breve perodo de tiempo.

    Un ataque de integridad mediante el robo de credenciales en los hosts mviles tambin puede tener un nivel grave, o alto, de daos. El grupo de debate anota que las configuraciones de seguridad en los hosts remotos normalmente van por detrs de los sistemas LAN.

    Tarea 5: Identificar los controles existentes y la probabilidad de un ataque Utilice el debate acerca de los riesgos para comprender mejor los puntos de vista de los participantes del entorno de controles actual, sus opiniones acerca de la probabilidad de un ataque y sus sugerencias de controles propuestos. Los puntos de vista de los participantes pueden diferir de la implementacin real, pero proporcionan una referencia valiosa al grupo de seguridad de informacin. Utilice este punto del debate para recordar a los participantes sus funciones y responsabilidades en el programa de administracin de riesgos. Documente los resultados en la plantilla. Ejemplo de Woodgrove: despus del debate acerca de la exposicin posible para la empresa con las amenazas y vulnerabilidades identificadas, los participantes sin conocimientos tcnicos no disponen de suficiente experiencia para comentar la probabilidad de que un host est en peligro en relacin a otro. Sin embargo, estn de acuerdo en que los hosts remotos, o los hosts mviles, no reciben el mismo nivel de administracin que los de la LAN. Se debate la necesidad de que los asesores financieros revisen peridicamente los informes de actividad para detectar comportamientos no autorizados. Estos comentarios se recopilan y los tendr en cuenta el equipo de administracin de riesgos de seguridad durante la fase de apoyo a la toma de decisiones. Resumen del debate acerca de los riesgos Al final del debate acerca de los riesgos, resuma brevemente los riesgos identificados para facilitar el cierre de la reunin. Asimismo, recuerde a los participantes el proceso de administracin de riesgos global y calendario. La informacin recopilada en el debate acerca de los riesgos otorga a los participantes una funcin activa en el proceso de administracin de riesgos y ofrece informacin valiosa al equipo de administracin de riesgos de seguridad. Ejemplo de Woodgrove: el responsable de evaluacin de riesgos resume el debate y destaca los activos, amenazas y vulnerabilidades que se han tratado. Tambin describe el proceso de administracin de riesgos global e informa al grupo de debate el hecho de que el equipo de administracin de riesgos de

    seguridad har uso de su informacin, y la de otros, al estimar la probabilidad de cada amenaza o vulnerabilidad. Definicin de las declaraciones de consecuencias La ltima tarea del paso de recopilacin de datos facilitados consiste en analizar la cantidad posiblemente grande de informacin recopilada durante los debates acerca de los riesgos. El resultado de este anlisis es una lista de declaraciones que describen el activo y la exposicin posible debido a una amenaza y vulnerabilidad. Tal como se ha definido en el captulo 3, estas declaraciones se denominan declaraciones de repercusiones. Las repercusiones se determinan mediante la combinacin de la clase de activos con el nivel de exposicin posible para el activo. Recuerde que las repercusiones son la mitad de la declaracin de riesgo; las repercusiones se combinan con la probabilidad de que suceda para completar la declaracin de riesgo. El equipo de administracin de riesgos de seguridad crea las declaraciones de repercusiones mediante la consolidacin de la informacin recopilada en los debates acerca de los riesgos, la incorporacin de las repercusiones identificadas anteriormente y, tambin, la inclusin de datos de repercusiones de sus propias observaciones. El equipo de administracin de riesgos de seguridad es responsable de esta tarea, pero debe solicitar informacin adicional a los participantes segn sea necesario. La declaracin de repercusiones contiene el activo, la clase de activos, el nivel de defensa en profundidad, la descripcin de la amenaza, la descripcin de la vulnerabilidad y la clasificacin de exposicin. Utilice la informacin registrada en la plantilla de recopilacin de datos para definir las declaraciones de repercusiones para todos los debates facilitados. En la figura 4.4 se muestran los encabezados de columna correspondientes de la plantilla de riesgo de nivel de resumen para recopilar los datos especficos de repercusiones.

    Figura 4.4 Hoja de trabajo de nivel de riesgo de resumen: columnas Activo y Exposicin (GARSHerramienta2)

    Ejemplo de Woodgrove: la informacin de ejemplo recopilada durante los debates acerca de los riesgos se puede organizar mediante el desarrollo de declaraciones de repercusiones. El equipo de administracin de riesgos de seguridad puede documentar las declaraciones de repercusiones mediante frases; por ejemplo, "La integridad de los datos de cliente de alto valor puede estar amenazada por el

    robo de credenciales de hosts administrados de forma remota". Aunque este enfoque es preciso, la elaboracin de frases no sirve para una gran cantidad de riesgos debido a las incoherencias en la redaccin, la comprensin y la ausencia de datos de organizacin (clasificacin o consulta de riesgos). Un enfoque ms eficaz consiste en asignar los datos de repercusiones a la tabla de nivel de resumen tal como se muestra a continuacin.

    Figura 4.5 Ejemplo de Woodgrove: Informacin obtenida durante el proceso de recopilacin de datos (GARSHerramienta2)

    Nota: en la siguiente seccin, titulada "Asignacin de prioridades a los riesgos", se proporcionan indicaciones adicionales acerca de la seleccin y documentacin de la clasificacin de efecto empleadas en el proceso de riesgos de nivel de resumen. Resumen de recopilacin de datos Mediante la consolidacin de la informacin obtenida durante los debates de recopilacin de datos en declaraciones de repercusiones individuales, el equipo de administracin de riesgos de seguridad ha concluido las tareas del paso de recopilacin de datos facilitados de la fase de evaluacin de riesgos. En la siguiente seccin, "Asignacin de prioridades a los riesgos", se detallan las tareas de la asignacin de prioridades a los riesgos. Durante la asignacin de prioridades, el equipo de administracin de riesgos de seguridad se encarga de estimar la probabilidad de cada declaracin de repercusiones. A continuacin, dicho equipo combina las declaraciones de repercusiones con sus estimaciones de probabilidad de que suceda. El resultado es una lista exhaustiva de riesgos con prioridades, lo que concluye la fase de evaluacin de riesgos.

    Al analizar los riesgos se pueden identificar riesgos que dependen de que otros se produzcan. Por ejemplo, si se produce un incremento de privilegio en un activo de repercusin baja en la empresa, se puede quedar expuesto un activo de repercusin alta en la empresa. Este ejercicio es vlido; no obstante, las dependencias de los riesgos pueden llegar a generar una cantidad ingente de datos que se tienen que recopilar, administrar y hacer un seguimiento de ellos. El proceso de administracin de riesgos de seguridad de Microsoft recomienda destacar las dependencias segn sea factible, pero normalmente no es rentable administrar todas las dependencias de los riesgos. El objetivo global es identificar y administrar los riesgos de mxima prioridad para la empresa. Principio de la pgina Asignacin de prioridades a los riesgos Tal como se ha tratado en la seccin anterior, el paso de recopilacin de datos facilitados define las tareas para elaborar una lista de declaraciones de repercusiones para identificar los activos organizativos y sus posibles repercusiones. En esta seccin se describe el siguiente paso de la fase de evaluacin de riesgos: la asignacin de prioridades a los riesgos. El proceso de asignacin de riesgos incorpora el elemento de probabilidad a la declaracin de repercusiones. Recuerde que una declaracin de riesgo bien elaborada requiere tanto las repercusiones para la organizacin como la probabilidad de que se produzcan. El proceso de asignacin de prioridades se puede considerar como el ltimo paso en la "definicin de los riesgos ms importantes para la organizacin". Su resultado final es una lista de prioridades de riesgos que se utilizar como la informacin para el proceso de apoyo a la toma de decisiones que se describe en el captulo 5, "Apoyo a la toma de decisiones". El grupo de seguridad de informacin es el nico responsable del proceso de asignacin de prioridades. El equipo puede consultar a participantes con conocimientos tcnicos y sin dichos conocimientos, pero es su responsabilidad determinar la probabilidad de las repercusiones posibles para la organizacin. Mediante la aplicacin del proceso de administracin de riesgos de seguridad de Microsoft, el nivel de probabilidad tiene la capacidad de incrementar la toma de conciencia de un riesgo a los mximos niveles de la organizacin o puede reducirla tanto que el riesgo se pueda aceptar sin ms debate. La estimacin de la probabilidad de riesgo requiere que el equipo de administracin de riesgos de seguridad dedique mucho tiempo a evaluar exhaustivamente cada combinacin de amenaza y vulnerabilidad de prioridad. Cada combinacin se evala segn los controles actuales para tener en cuenta la eficacia de dichos controles que pueda influir en la probabilidad de repercusiones para la organizacin. Este proceso puede resultar abrumador para organizaciones grandes y puede comprometer la decisin inicial de invertir en un programa de administracin de riesgos formal. Para reducir el tiempo dedicado a la

    asignacin de prioridades a los riesgos, el proceso se puede dividir en dos tareas: un proceso de nivel de resumen y otro de nivel detallado. En el proceso de nivel de resumen se genera una lista de riesgos con prioridades muy rpidamente, similar a los procedimientos de seleccin que se utilizan en las habitaciones de urgencias hospitalarias para garantizar que se ofrece ayuda a los pacientes que ms la necesitan en primer lugar. No obstante, el inconveniente es que se produce una lista que slo contiene comparaciones de alto nivel entre los riesgos. Una larga lista de nivel de resumen de los riesgos en que cada uno se considere alto no proporciona suficientes indicaciones al equipo de administracin de riesgos de seguridad ni le permite asignar prioridades a las estrategias de mitigacin. En todo caso, los equipos pueden clasificar rpidamente los riesgos para identificar los riesgos altos y moderados, lo que permite que el equipo de administracin de riesgos de seguridad centre sus esfuerzos slo en los riesgos que parecen ms importantes. En el proceso de nivel detallado se elabora una lista con ms detalle que permite diferenciar fcilmente los riesgos entre s. La vista de riesgos detallada permite la clasificacin apilada de los riesgos y tambin incluye una vista ms detallada del posible efecto financiero derivado del riesgo. Este elemento cuantitativo facilita el clculo de costos de los debates de controles en el proceso de apoyo a la toma de decisiones, que se describe en el siguiente captulo. Algunas organizaciones pueden optar por no elaborar una lista de riesgos de nivel de resumen. Si no se analiza, puede parecer que esta estrategia ahorra tiempo, pero no es as. Minimizar el nmero de riesgos en la lista de nivel detallado, en ltima instancia, hace que el proceso de evaluacin de riesgos sea ms eficaz. Un objetivo principal del proceso de administracin de riesgos de seguridad de Microsoft es simplificar el proceso de evaluacin de riesgos mediante el equilibrio entre la granularidad agregada al anlisis de riesgos y el esfuerzo necesario para calcular el riesgo. Simultneamente, intenta promover y conservar la claridad en relacin con la lgica inherente para que los participantes dispongan de una comprensin clara de los riesgos para la organizacin. Algunos riesgos pueden tener la misma clasificacin en la lista de resumen y en la detallada; no obstante, las clasificaciones ofrecen suficiente informacin para determinar si el riesgo es importante para la organizacin y si debe pasar al proceso de apoyo a la toma de decisiones. Nota: el objetivo final de la fase de evaluacin de riesgos es definir los ms importantes para la organizacin. El objetivo de la fase de apoyo a la toma de decisiones es determinar lo que se debe hacer para solucionarlos.

    Los equipos normalmente se estancan en esta etapa mientras los participantes debaten la importancia de varios riesgos. Para reducir los posibles retardos, aplique las siguientes tareas segn resulte adecuado para su organizacin: 1. Sin emplear trminos tcnicos, defina los riesgos de nivel alto y medio para la organizacin antes de iniciar el proceso de asignacin de prioridades. 2. Centre la atencin en los riesgos que estn en el lmite entre los niveles alto y medio. 3. Evite debatir el modo de afrontar los riesgos antes de decidir si es importante. Preste atencin a los participantes que tengan soluciones preconcebidas en mente y busquen resultados para proporcionar justificacin al proyecto. En el resto de esta seccin se tratan los factores de xito y las tareas para crear las clasificaciones de riesgos de nivel de resumen y detallado. En las siguientes tareas y en la figura 4.6 se ofrece informacin general de la seccin y los componentes clave del proceso de asignacin de prioridades a los riesgos. Tareas y componentes principales

    Tarea 1: elaborar la lista de nivel de resumen mediante clasificaciones amplias para estimar la probabilidad de repercusiones para la organizacin.

    Resultado: lista de nivel de resumen para identificar rpidamente la prioridad de los riesgos para la organizacin.

    Tarea 2: revisar la lista de nivel de resumen con los participantes para empezar a alcanzar consenso en la prioridad de los riesgos y seleccionar los riesgos para la lista de nivel detallado.

    Tarea 3: elaborar la lista de nivel detallado mediante el examen de los atributos detallados del riesgo en el entorno de negocios actual. Esto incluye indicaciones para determinar la estimacin cuantitativa de cada riesgo.

    Resultado: lista de nivel detallado que proporciona informacin exhaustiva de los riesgos principales para la organizacin.

    Figura 4.6 Tareas de asignacin de prioridades a los riesgos

    Nota: el resultado de riesgos de nivel detallado se revisar con los participantes en el proceso de apoyo a la toma de decisiones descrito en el captulo 5. Preparacin para el xito La asignacin de prioridades a los riesgos para la organizacin no es una mera propuesta. El equipo de administracin de riesgos de seguridad debe intentar predecir el futuro mediante la estimacin de cundo y cmo las posibles repercusiones pueden afectar a la organizacin y, a continuacin, debe justificar estas predicciones ante los participantes. Un error habitual que cometen muchos equipos es "ocultar" las tareas empleadas para determinar la probabilidad y utilizar clculos para representar la probabilidad en porcentajes u otras cifras de resultados a las que suponen que los responsables de negocios respondern ms rpidamente. Pero la experiencia al desarrollar el proceso de administracin de riesgos de seguridad de Microsoft ha demostrado que los participantes son ms propensos a aceptar los anlisis del equipo de administracin de riesgos de seguridad si la lgica es clara durante el proceso de asignacin de prioridades. El proceso se centra en la comprensin por parte de los participantes a lo largo del mismo. La lgica de asignacin de prioridades debe ser lo ms simple posible para lograr el consenso rpidamente y reducir los malentendidos. La experiencia en elaboracin de evaluaciones de riesgos en el departamento de TI de Microsoft y otras empresas ha demostrado que las siguientes prcticas recomendadas resultan tiles para el equipo de administracin de riesgos de seguridad durante el proceso de asignacin de prioridades:

    Analizar los riesgos durante el proceso de recopilacin de datos. Debido a que la asignacin de prioridades a los riesgos puede ocupar mucho tiempo, intente anticiparse a los riesgos controvertidos e inicie el proceso de asignacin de prioridades lo ms pronto posible. Este mtodo abreviado es posible debido a que el equipo de administracin de riesgos de seguridad es el nico responsable del proceso de asignacin de prioridades.

    Lleve a cabo la investigacin para generar credibilidad para estimar la probabilidad. Utilice los informes de auditora anteriores y tenga en cuenta las tendencias del sector as como las incidencias de seguridad internas segn resulte adecuado. Vuelva a consultar a los participantes segn sea necesario para obtener informacin acerca de los controles actuales y la toma de conciencia de los riesgos especficos en sus entornos.

    Programe tiempo suficiente en el proyecto para llevar a cabo investigaciones y realizar anlisis de la efectividad y las capacidades del entorno de controles actual.

    Recuerde a los participantes que el equipo de administracin de riesgos de seguridad tiene la responsabilidad de determinar la probabilidad. El patrocinador ejecutivo tambin debe

    reconocer esta funcin y apoyar el anlisis del equipo de administracin de riesgos de seguridad.

    Comunicar el riesgo en trminos de negocios. Evite utilizar expresiones relacionadas con el miedo o jerga tcnica en el anlisis de asignacin de prioridades. El equipo de administracin de riesgos de seguridad debe comunicar el riesgo en unos trminos que la organizacin comprenda y evitar la tentacin de exagerar el nivel de peligro.

    Reconciliar los nuevos riesgos con los anteriores. Al crear la lista de nivel de resumen, incorpore los riesgos de las evaluaciones anteriores. Esto permite que el equipo de administracin de riesgos de seguridad realice un seguimiento de los riesgos en varias evaluaciones y proporcione la ocasin de actualizar los elementos de riesgo anteriores segn sea necesario. Por ejemplo, si un riesgo anterior no se ha mitigado debido a los altos costos de mitigacin, revise la probabilidad de que el riesgo se produzca y vuelva a tener en cuenta los cambios en la solucin o costos de mitigacin.

    Asignacin de prioridades a los riesgos de seguridad En la siguiente seccin se explica el proceso de elaboracin de las listas de riesgos de nivel de resumen y detallado. Puede resultar til imprimir las plantillas de apoyo para cada proceso que se encuentran en la seccin de herramientas. Asignacin de prioridades a riesgos de nivel de resumen La lista de nivel de resumen utiliza la declaracin de repercusiones generada durante el proceso de proceso de recopilacin de datos. La lista de declaracin de repercusiones es el primero de los dos elementos de informacin de la vista de resumen. El segundo elemento de informacin es la estimacin de probabilidades que ha determinado el equipo de administracin de riesgos de seguridad. En las siguientes tres tareas se proporciona informacin general acerca del proceso de asignacin de prioridades de nivel de resumen:

    Tarea 1: determinar el valor de las repercusiones a partir de las declaraciones de repercusiones elaboradas en el proceso de recopilacin de datos.

    Tarea 2: estimar la probabilidad de las repercusiones para la lista de nivel de resumen. Tarea 3: completar la lista de nivel de resumen mediante la combinacin de los valores de repercusiones y de probabilidad por cada declaracin de riesgo.

    Tarea 1: Determinar el nivel de las repercusiones La informacin de clase de activos y de exposicin de activo obtenida en el proceso de recopilacin de datos se debe resumir en un solo dato para determinar las repercusiones. Recuerde que las

    repercusiones son la combinacin de la clase de activos y el alcance de exposicin al activo. Utilice la siguiente figura para seleccionar el nivel por cada declaracin de repercusiones.

    Hoja de trabajo de anlisis de riesgos: clase de activos y nivel de exposicin (GARSHerramienta2)

    Ejemplo de Woodgrove: recuerde que el ejemplo de Woodgrove tena tres declaraciones de repercusiones. En la siguiente lista se resumen estas declaraciones mediante la combinacin de la clase de activos y el nivel de exposicin: 1. Repercusin de robo por parte de empleados de confianza: clase de activos de repercusin alta en la empresa y exposicin baja. Segn la figura anterior, esto implica una repercusin moderada. 2. Repercusin de peligro de los hosts de la LAN: clase de activos de repercusin alta en la empresa y exposicin alta causan una repercusin alta. 3. Repercusin de peligro de los hosts remotos: clase de activos de repercusin alta en la empresa y exposicin alta causan una repercusin alta. Tarea 2: Estimar la probabilidad de nivel de resumen Utilice las mismas categoras de probabilidad descritas en el proceso de recopilacin de datos. Las categoras de probabilidad se incluyen a continuacin como referencia:

    Alta: muy probable, previsin de uno o varios ataques en un ao. Media: probable, previsin de ataque una vez al menos en dos a tres aos. Baja: no probable, no se prev ningn ataque en tres aos.

    Ejemplo de Woodgrove: la asignacin de prioridades a riesgos de nivel de resumen es el primer documento formal de la estimacin del equipo de administracin de riesgos de seguridad acerca de la probabilidad de riesgo. El equipo de administracin de riesgos de seguridad debe estar preparado para proporcionar pruebas o casos que justifiquen sus estimaciones; por ejemplo, referencias a incidencias anteriores o a la efectividad de los controles actuales. En la siguiente lista se resumen los niveles de probabilidad para el ejemplo de Woodgrove:

    1. Probabilidad de robo por parte de empleados de confianza: baja. Woodgrove National Bank se enorgullece de contratar a empleados de confianza. El equipo directivo comprueba esta confianza mediante comprobaciones de antecedentes y efecta auditoras aleatorias de la actividad de los asesores financieros. En el pasado no se han identificado incidencias relacionadas con el abuso por parte los empleados. 2. Probabilidad de peligro de los hosts de la LAN: media. El departamento de TI ha formalizado recientemente su proceso de revisiones y configuracin en la LAN debido a incoherencias en aos anteriores. Debido a la naturaleza descentralizada del banco, en ocasiones los sistemas se han identificados como no conformes; no obstante, no se ha informado de incidencias en los ltimos meses. 3. Probabilidad de peligro de los hosts remotos: alta. Los hosts remotos normalmente no son compatibles durante largos perodos de tiempo. Tambin se han identificado incidencias recientes relacionadas con infecciones de virus y gusanos en los hosts remotos. Tarea 3: Completar la lista de nivel de resumen Despus de que el equipo de administracin de riesgos de seguridad estime la probabilidad, utilice la siguiente figura para seleccionar la clasificacin de riesgo de nivel de resumen.

    Figura 4.8 Hoja de trabajo de anlisis de riesgos: repercusiones y probabilidad (GARSHerramienta2)

    Nota: segn resulte adecuado para su organizacin, el nivel de riesgo de una repercusin media combinada con una probabilidad media se puede definir como riesgo alto. Definir los niveles de riesgo independientemente del proceso de evaluacin de riesgos proporciona las indicaciones necesarias para tomar esta decisin. Recuerde que la gua de administracin de riesgos de seguridad es una herramienta para facilitar el desarrollo de un programa de administracin de riesgos exhaustivo y coherente. Cada organizacin debe definir lo que significa riesgo alto para su propia empresa. Ejemplo de Woodgrove: la combinacin de las clasificaciones de repercusiones y de probabilidad da como resultado las siguientes clasificaciones de riesgos: 1. Riesgo de robo por parte de empleados de confianza: bajo (repercusin media, probabilidad baja) 2. Riesgo de peligro de los hosts de la LAN: alto (repercusin alta, probabilidad media)

    3. Riesgo de peligro de los hosts remotos: alto (repercusin alta, probabilidad alta) Como revisin, en la siguiente figura se representan todas las columnas de la lista de nivel de resumen, que tambin est incluida en GARSHerramienta2-Nivel de riesgo de resumen.xls

    Figura 4.9 Hoja de trabajo de anlisis de riesgos: lista de nivel de resumen (GARSHerramienta2)

    Segn resulte adecuado para su organizacin, agregue columnas para incluir informacin de apoyo, por ejemplo, la columna "Fecha de identificacin" para diferenciar los riesgos identificados en evaluaciones anteriores. Tambin puede agregar columnas para actualizar las descripciones de riesgo o destacar cambios en el riesgo que se hayan producido desde la evaluacin anterior. Debe adaptar el proceso de administracin de riesgos de seguridad de Microsoft, incluidas las herramientas, para ajustarlo a sus necesidades especficas. Ejemplo de Woodgrove: la siguiente figura completa el ejemplo de la lista de riesgos de nivel de resumen para Woodgrove Bank. Tenga en cuenta que las columnas "Probabilidad" y "Nivel de riesgo de resumen" se han agregado a la informacin de declaracin de repercusiones para completar los elementos de una declaracin de riesgo bien elaborada.

    Figura 4.10 Ejemplo de lista de riesgos de nivel de resumen de Woodgrove Bank (GARSHerramienta2) Revisin con los participantes La siguiente tarea del proceso de asignacin de prioridades es la revisin de los resultados de resumen con los participantes. Los objetivos son mantener informados a los participantes acerca del proceso de evaluacin de riesgos y solicitar su colaboracin para seleccionar los riesgos de los que se realizar un

    anlisis ms detallado. Utilice los siguientes criterios al seleccionar los riesgos que se incluir en el proceso de asignacin de prioridades de nivel detallado:

    Riesgos de nivel alto: los riesgos clasificados como altos se deben incluir en la lista detallada. Cada riesgo alto debe tener una resolucin despus del proceso de apoyo a la toma de decisiones; por ejemplo, aceptar el riesgo o desarrollar una solucin de mitigacin.

    Riesgos dudosos: cree el anlisis de asignacin de prioridades detallado para riesgos moderados que requieren una resolucin. En algunas organizaciones se pueden llegar a incluir todos los riesgos moderados en la lista detallada.

    Riesgos controvertidos: si un riesgo es nuevo, no se ha comprendido bien o los participantes tienen distintos puntos de vista, cree el anlisis detallado para que los participantes tenga un conocimiento ms preciso del riesgo.

    Ejemplo de Woodgrove: tenga en cuenta que el riesgo "Robo por parte de empleados de confianza" se ha clasificado como Bajo en la lista de riesgos de nivel de resumen. En este punto del proceso de asignacin de prioridades, todos los participantes comprenden perfectamente este riesgo. En el caso de Woodgrove, sirve de ejemplo de un riesgo que no es necesario graduar en el paso de asignacin de prioridades a riesgos de nivel detallado. Para el resto del ejemplo de Woodgrove, slo se asignan prioridades a los riesgos de peligro de hosts de la LAN y remotos. Asignacin de prioridades a riesgos de nivel detallado La elaboracin de la lista de riesgos de nivel detallado es la ltima tarea del proceso de evaluacin de riesgos. La lista detallada tambin constituye una de las tareas ms importantes porque permite que la organizacin comprenda la lgica subyacente en los riesgos ms importantes para la empresa. Despus de completar el proceso de evaluacin de riesgos, en ocasiones la simple notificacin de un riesgo bien documentado a los participantes basta para desencadenar la accin. En el caso de las organizaciones sin un programa de administracin de riesgos formal, el proceso de administracin de riesgos de seguridad de Microsoft puede suponer una experiencia reveladora. Nota: si todos los participantes comprenden bien un riesgo, el detalle del nivel de resumen puede ser suficiente para determinar la solucin de mitigacin adecuada. La lista de riesgos detallada aprovecha muchos de los elementos de informacin de la lista de nivel de resumen; no obstante, la vista detallada requiere que el equipo de administracin de riesgos de seguridad sea ms especfico en sus descripciones de repercusiones y de probabilidad. Por cada riesgo de nivel de resumen, compruebe que cada combinacin de amenaza y vulnerabilidad no se repite en los riesgos. Normalmente es posible que los riesgos de nivel de resumen no se describan lo suficiente como

    para que se asocien a controles especficos del entorno; en este caso, no podr estimar la probabilidad de que suceda de forma precisa. Por ejemplo, puede mejorar la descripcin de amenaza de la siguiente declaracin de riesgo de nivel de resumen para describir dos riesgos distintos: Declaracin de riesgo de nivel de resumen: En el plazo de un ao, los servidores de alto valor se pueden ver afectados moderadamente por un gusano debido a configuraciones a las que no se han aplicado revisiones. Declaracin de nivel detallado 1: En el plazo de un ao, los servidores de alto valor pueden no estar disponibles durante tres das debido a una propagacin de gusano provocada por configuraciones a las que no se han aplicado revisiones. Declaracin de nivel detallado 2: En el plazo de un ao, los servidores de alto valor pueden estar en peligro, lo que afectara a la integridad de los datos, debido a una propagacin de gusano provocada por configuraciones a las que no se han aplicado revisiones. Nota: se recomienda familiarizarse con los anlisis de riesgos detallados antes del proceso de recopilacin de datos. Esto facilita al equipo de administracin de riesgos de seguridad el plantear preguntas especficas durante los debates iniciales de recopilacin de datos con los participantes y reduce la necesidad de reuniones de seguimiento. La lista de riesgos de nivel detallado tambin requiere declaraciones especficas acerca de la efectividad del entorno de controles actual. Despus de que el equipo de administracin de riesgos de seguridad haya adquirido un conocimiento detallado de las amenazas y vulnerabilidades que afectan a la organizacin, se puede iniciar el trabajo de conocer los detalles de los controles actuales. El entorno de controles actual determina la probabilidad de riesgos para la organizacin. Si el entorno de controles es suficiente, la probabilidad de un riesgo para la organizacin es baja. Si no lo es, se debe definir una estrategia de riesgos; por ejemplo, aceptar el riesgo o desarrollar una solucin de mitigacin. Como prctica recomendada, se debe realizar un seguimiento de los riesgos independientemente de su nivel de riesgo final. Por ejemplo, si el riesgo se considerable aceptable, guarde esta informacin para evaluaciones futuras. El ltimo elemento de la lista de riesgos de nivel detallado es una estimacin de cada riesgo en trminos cuantificables y monetarios. La seleccin de un valor monetario para el riesgo no se produce hasta que se ha empezado a trabajar en la lista de nivel detallado debido al tiempo necesario para lograr el consenso entre los participantes. Es posible que el equipo de administracin de riesgos de seguridad tenga que volver a consultar a los participantes para obtener datos adicionales.

    Las cuatro tareas siguientes describen el proceso para elaborar una lista de nivel detallado de los riesgos. Puede ser til imprimir la plantilla de la seccin Herramientas denominada "GARSHerramienta3Asignacin de prioridades a los riesgos de nivel detallado.xls". El resultado es una lista detallada de riesgos que afectan a la organizacin. La estimacin cuantitativa se determina despus del valor de riesgo detallado y se describe en la siguiente seccin.

    Tarea 1: determinar las repercusiones y la exposicin. Tarea 2: identificar los controles actuales. Tarea 3: determinar la probabilidad de repercusiones. Tarea 4: determinar el nivel de riesgo detallado.

    Tarea 1: determinar las repercusiones y la exposicin En primer lugar incorpore la clase de activos de la tabla de resumen en la plantilla detallada. A continuacin, seleccione la exposicin del activo. Tenga en cuenta que la clasificacin de exposicin de la plantilla detallada contiene granularidad adicional en comparacin con el nivel de resumen. La clasificacin de exposicin de la plantilla detallada es un valor de 1 a 5. Recuerde que la clasificacin de exposicin define el alcance de los daos en el activo. Utilice las siguientes plantillas como gua para determinar la clasificacin de exposicin adecuada para su organizacin. Debido a que cada valor de las cifras de exposicin puede afectar al nivel de repercusiones en el activo, inserte el mayor de los valores despus de haber asignado las cifras. La primera cifra de exposicin ayuda a cuantificar el alcance de las repercusiones de un ataque a la confidencialidad o integridad de los activos de negocios. La segunda cifra ayuda a cuantificar las repercusiones en la disponibilidad de los activos.

    Figura 4.11 Hoja de trabajo de anlisis de riesgos: clasificaciones de exposicin de confidencialidad o integridad (GARSHerramienta3)

    Despus de tener en cuenta el alcance de los daos producidos por posibles ataques a la confidencialidad y la integridad, utilice la siguiente figura para determinar el nivel de repercusiones debido a la ausencia de disponibilidad del activo. Seleccione el valor ms alto como el nivel de exposicin de ambas tablas.

    Figura 4.12 Hoja de trabajo de anlisis de riesgos: clasificaciones de exposicin de disponibilidad (GARSHerramienta3)

    Utilice la figura como orientacin recopilar clasificaciones de exposicin por cada ataque posible. Si los debates de recopilacin de datos no han proporcionado suficientes detalles acerca de los posibles niveles de exposicin, es posible que tenga revisarlos con el responsable del activo especfico. Tal como se ha mencionado en la seccin de recopilacin de datos, haga referencia a las descripciones de exposicin anteriores durante los debates acerca de los riesgos segn sea necesario. Ejemplo de Woodgrove: en la siguiente lista se resumen las clasificaciones de exposicin para los dos riesgos restantes: 1. Clasificacin de exposicin de peligro de los hosts de la LAN: 4. Las repercusiones de negocios pueden ser graves y visibles externamente, pero no deben daar por completo todos los datos financieros de consumidor. Por lo tanto, se ha seleccionado una clasificacin de 4. 2. Clasificacin de exposicin de peligro de los hosts remotos: 4 (igual que en el caso anterior). Despus de identificar la clasificacin de exposicin, estar preparado para determinar el valor de las repercusiones si rellena las columnas correspondientes de GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls y calcula el valor. En el proceso de riesgos de nivel detallado, las repercusiones son el producto del valor de clase de repercusin y el factor de exposicin. A cada clasificacin de exposicin se le asigna un porcentaje que refleja el alcance de los daos en el activo. Este porcentaje se denomina factor de exposicin. El proceso de administracin de riesgos de seguridad de Microsoft recomienda una escala lineal del 100% de exposicin al 20%; realice los ajustes pertinentes segn su organizacin. Cada valor de repercusin tambin se asocia a un valor cualitativo de alto, medio o bajo. Esta clasificacin resulta til para comunicar el nivel de repercusin y realizar el seguimiento de los elementos de riesgo en los clculos de riesgos detallados. Como ayuda, en la siguiente figura tambin se muestran los posibles valores de repercusin para cada clase de repercusin.

    Figura 4.13 Hoja de trabajo de anlisis de riesgos: determinacin de los valores de repercusin (GARSHerramienta3)

    Ejemplo de Woodgrove: en la siguiente figura se muestra el modo de determinar los valores de clase de repercusin, clasificacin de exposicin y clasificacin de efecto global mediante el ejemplo de Woodgrove.

    Figura 4.14 Ejemplo de Woodgrove con valores detallados de clase de repercusin, clasificacin de exposicin y valor de repercusin (GARSHerramienta3) Tarea 2: identificar los controles actuales En GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls se describen los controles actuales de la organizacin que en este momento reducen la probabilidad de la amenaza y la vulnerabilidad definida en la declaracin de repercusiones. En los clculos de probabilidad detallada tambin se evala una clasificacin de efectividad de los controles; no obstante, la documentacin de los controles aplicables facilita la comunicacin de los elementos de riesgo. Puede resultar til organizar las descripciones de los controles en categoras conocidas de grupos de controles de administracin, operaciones o tcnicos. Esta informacin tambin es til en el proceso de apoyo a la toma de decisiones descrito en el captulo 5. Ejemplo de Woodgrove: la siguiente representa una lista de ejemplo de los controles principales para el "riesgo de peligro de los hosts de la LAN". Consulte GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls para obtener descripciones de controles adicionales. Tenga en cuenta que

    las descripciones de los controles tambin se pueden emplear para justificar las clasificaciones de exposicin:

    Los asesores fiscales slo pueden tener acceso a las cuentas de las que son responsables; por lo tanto, la exposicin es inferior al 100%.

    A todos los usuarios se les envan proactivamente avisos por correo electrnico para que se apliquen revisiones a los hosts o se actualicen.

    El estado de las actualizaciones de antivirus y de seguridad se mide y aplica en la LAN cada pocas horas. Este control reduce el intervalo de tiempo en el que los hosts de la LAN son vulnerables a los ataques.

    Tarea 3: determinar la probabilidad de repercusiones La clasificacin de probabilidad consta de dos valores. El primer valor determina la probabilidad de la vulnerabilidad existente en el entorno segn los atributos de la misma y al ataque posible. El segundo valor determina la probabilidad de la vulnerabilidad existente en funcin de la efectividad de los controles actuales. Cada valor se representa mediante un intervalo de 1 a 5. Utilice las siguientes figuras como orientacin para determinar la probabilidad de cada repercusin en la organizacin. A continuacin, la clasificacin de probabilidad se multiplicar por la clasificacin de efecto para determinar la clasificacin de riesgo relativo. Nota: las figuras 4.15 y 4.17 han servido de ayuda al departamento de TI de Microsoft a comprender las probabilidades de que los riesgos se produzcan en sus entornos. Ajuste el contenido segn resulte adecuado para su organizacin. El grupo de seguridad de informacin se encarga del proceso de asignacin de prioridades y debe adaptar los atributos de las prioridades segn sea necesario. Por ejemplo, puede modificar las cifras para centrarse en vulnerabilidades especficas de aplicacin en vez de en vulnerabilidad de infraestructura empresarial si el mbito de evaluacin est centrado en el desarrollo de aplicaciones. El objetivo es disponer de un conjunto coherente de criterios para evaluar el riesgo en el entorno. En la siguiente figura se incluyen estos atributos de vulnerabilidad:

    Poblacin de piratas informticos: la probabilidad de ataque normalmente aumenta a medida que se incrementa el tamao y el nivel de conocimientos tcnicos de la poblacin de piratas informticos.

    Acceso remoto y local: la probabilidad normalmente aumenta si una vulnerabilidad se puede aprovechar de forma remota.

    Visibilidad de vulnerabilidad: la probabilidad normalmente aumenta si una vulnerabilidad es conocida y est disponible de forma pblica.

    Automatizacin de ataque: la probabilidad normalmente aumenta si un ataque se puede programar para buscar automticamente vulnerabilidades en entornos grandes.

    Recuerde que la estimacin de probabilidad de un ataque es subjetiva por naturaleza. Utilice los atributos anteriores como orientacin para determinar y justificar las estimaciones de probabilidad. El equipo de administracin de riesgos de seguridad debe basarse y promover su experiencia para seleccionar y justificar sus predicciones.

    Figura 4.15 Hoja de trabajo de anlisis de riesgos: evaluacin de la vulnerabilidad (GARSHerramienta3)

    Seleccione la clasificacin adecuada en la siguiente figura.

    Figura 4.16 Hoja de trabajo de anlisis de riesgos: evaluacin del valor de probabilidad (GARSHerramienta3)

    Ejemplo de Woodgrove: para los hosts de la LAN y remotos, es probable que todos los atributos de vulnerabilidad de la categora Alta se aprecien dentro y fuera del entorno LAN de Woodgrove en el futuro prximo. Por lo tanto, el valor de vulnerabilidad es de 5 para ambos riesgos.

    En la siguiente figura se evala la efectividad de los controles actuales. Este valor es subjetivo por naturaleza y se basa en la experiencia del equipo de administracin de riesgos de seguridad para comprender su entorno de controles. Responda cada pregunta y, despus, sume los valores para determinar la clasificacin final de los controles. Un valor menor significa que los controles son eficaces y pueden reducir la probabilidad de que se produzca un ataque.

    Figura 4.17 Hoja de trabajo de anlisis de riesgos: evaluacin de la efectividad de los controles actuales (GARSHerramienta3)

    Ejemplo de Woodgrove: para mostrar el modo en que se pueden utilizar los valores de efectividad de los controles, en la siguiente tabla se resumen los valores slo para el riesgo de peligro de los hosts de la LAN; consulte en GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls el ejemplo completo: Tabla 4.2. Ejemplo de Woodgrove: valores de efectividad de los controles Pregunta de efectividad de los controles Valor Descripcin La creacin de directivas y el control de cumplimiento de los hosts estn bien definidos. Se envan notificaciones peridicas a los usuarios y se llevan a cabo campaas de toma de conciencia generales. Los procesos se han definido y puesto en 0 prctica de forma eficaz? (s) Se han documentado y seguido la medicin y la aplicacin de conformidad. Los controles actuales seguirn permitiendo un

    El control se ha definido y exigido de 0 forma eficaz? (s)

    La toma de conciencia se comunica y 0 sigue de forma eficaz? (s)

    La tecnologa o los controles existentes 1 reducen la amenaza de forma eficaz?

    (no) perodo de tiempo entre la vulnerabilidad y la aplicacin de revisiones.

    Son suficientes las prcticas de auditora 0 actuales para detectar el abuso o las (s) deficiencias de control? Suma de todos los atributos de control: 1

    La medicin y la auditora de conformidad son eficaces segn las herramientas actuales.

    A continuacin, sume la cifra Vulnerabilidad (figura 4.16) al valor de la cifra Control actual (figura 4.17) e incorprelo a la plantilla de nivel detallado. La plantilla se muestra en la siguiente figura como referencia:

    Figura 4.18 Hoja de trabajo de anlisis de riesgos: clasificacin de probabilidad con control (GARSHerramienta3)

    Ejemplo de Woodgrove: la clasificacin de probabilidad total para el ejemplo de los hosts de la LAN es de 6 (valor de 5 para la vulnerabilidad ms 1 para la efectividad del control). Tarea 4: determinar el nivel de riesgo detallado En la siguiente figura se muestra el resumen de nivel detallado para identificar el nivel de cada riesgo identificado. Aunque la evaluacin de riesgos en un nivel detallado pueda parecer complicada, se puede hacer referencia a la lgica subyacente en cada tarea de la clasificacin de riesgos mediante las figuras anteriores. Esta posibilidad de realizar el seguimiento de cada tarea en la declaracin de riesgo proporciona un valor significativo cuando se ayuda a los participantes a comprender los detalles subyacentes del proceso de evaluacin de riesgos.

    Figura 4.19 Hoja de trabajo de anlisis de riesgos: determinacin del nivel de riesgo detallado (GARSHerramienta3)

    Ejemplo de Woodgrove: en la siguiente figura se muestra el ejemplo de la lista de riesgos detallada de Woodgrove Bank. Estos datos tambin se presentan en GARSHerramienta3.

    Figura 4.20 Ejemplo de Woodgrove Bank para la lista de riesgos detallada (GARSHerramienta3)

    En la figura anterior se muestra el contenido de la clasificacin de riesgos y sus elementos de datos. Tal como se ha indicado anteriormente, la clasificacin de riesgo es el producto de la clasificacin de efecto (con valores de 1 a 10) y la clasificacin de probabilidad (con valores de 0 a 10). De este modo se genera un intervalo de valores de 0 a 100. Al aplicar la misma lgica empleada en la lista de riesgos de nivel de resumen, el nivel de riesgo detallado tambin se puede comunicar en trminos cualitativos de alto, medio o bajo. Por ejemplo, una repercusin media y una probabilidad alta generan una clasificacin de riesgo alta. No obstante, la lista de nivel detallado ofrece especificidad agregada para cada nivel de riesgo, tal como se muestra en la siguiente figura.

    Figura 4.21 Hoja de trabajo de anlisis de riesgos: determinacin de la clasificacin cualitativa de resumen (GARSHerramienta3)

    Utilice los niveles de riesgo detallados slo como referencia. Tal como se ha descrito en el captulo 3, el equipo de administracin de riesgos de seguridad debe poder comunicar a la organizacin, por escrito, el significado de los riesgos altos, medios y bajos. El proceso de administracin de riesgos de seguridad

    de Microsoft slo constituye una herramienta para identificar y administrar los riesgos en la organizacin de un modo coherente y repetible. Cuantificacin del riesgo Tal como se ha descrito en el captulo 2, el proceso de administracin de riesgos de seguridad de Microsoft primero aplica un enfoque cualitativo para identificar y asignar prioridades a los riesgos de un modo oportuno y eficaz. Sin embargo, cuando se selecciona la estrategia de mitigacin de riesgos ptima, la estimacin del posible costo monetario de un riesgo tambin resulta una cuestin importante. As, para los riesgos de prioridad alta o controvertidos, el proceso tambin proporciona indicaciones para determinar las estimaciones cuantitativas. Las tareas de cuantificacin de los riesgos se llevan a cabo despus del proceso de riesgos de nivel detallado debido al tiempo y esfuerzos considerables que se necesitan para alcanzar un acuerdo en las estimaciones monetarios. Puede dedicar mucho tiempo en cuantificar los riesgos bajos si ha cuantificado los riesgos al principio del proceso. Como es evidente, una estimacin monetaria resulta til al comparar los distintos costos de las estrategias de mitigacin de riesgos; no obstante, debido a la naturaleza subjetiva de la valoracin de activos intangibles, no existe un algoritmo exacto para cuantificar el riesgo. El ejercicio de estimar una prdida monetaria exacta en realidad puede retrasar la evaluacin de riesgos debido a los desacuerdos entre los participantes. El equipo de administracin de riesgos de seguridad debe estipular las expectativas de que la estimacin cuantitativa slo es uno de los muchos valores para determinar la prioridad o el costo posible de un riesgo. Una ventaja de utilizar el modelo cualitativo para asignar prioridades a los riesgos radica en la posibilidad de aprovechar las descripciones cualitativas para aplicar un algoritmo cuantitativo de forma coherente. Por ejemplo, el enfoque cuantitativo descrito a continuacin emplea la clase de activos y las clasificaciones de exposicin identificados en las discusiones de riesgos facilitadas documentadas con los participantes en la seccin de recopilacin de datos de este captulo. De forma similar al enfoque cualitativo, la primera tarea del mtodo cuantitativo consiste en determinar el valor total del activo. En la segunda tarea se determina el alcance de daos en el activo, seguido de la estimacin de la probabilidad de que suceda. Para contribuir a reducir el grado de subjetividad en la estimacin cuantitativa, el proceso de administracin de riesgos de seguridad de Microsoft recomienda utilizar las clases de activos para determinar el valor total del activo y el factor de exposicin para determinar el porcentaje de daos en el activo. Este enfoque limita el resultado cuantitativo a tres clases de activos y cinco factores de exposicin, o 15 posibles valores de activo cuantitativos. Sin embargo, el valor que estima la probabilidad no est limitado. Segn resulte adecuado para su organizacin, puede

    optar por comunicar la probabilidad en trminos de intervalo de tiempo o puede intentar en distribuir anualmente el costo del riesgo. El objetivo es encontrar un equilibrio entre la facilidad de seleccionar una clasificacin relativa en el enfoque cualitativo y la dificultad de la valoracin monetaria y estimar la probabilidad en el enfoque cuantitativo. Utilice las cinco tareas siguientes para determinar el valor cuantitativo:

    Tarea 1: asignar un valor monetario a cada clase de activos de la organizacin. Tarea 2: introducir el valor de activo de cada riesgo. Tarea 3: generar el valor de expectativa de prdida simple. Tarea 4: determinar la frecuencia anual. Tarea 5: determinar la expectativa de prdida anual.

    Nota: las tareas asociadas a la cuantificacin de riesgos de seguridad son similares a los pasos utilizados en el sector de seguros para estimar el valor de activo, el riesgo y la cobertura adecuada. En el momento de redactar esta gua, estn empezando a surgir plizas de seguro para riesgos de seguridad de informacin. A medida que el sector de seguros adquiera experiencia en la evaluacin de los riesgos de seguridad de informacin, herramientas como tablas actuariales se convertirn en referencias valiosas para cuantificar los riesgos. Tarea 1: asignar valores monetarios a las clases de activos Mediante las definiciones de las clases de activos descritas en la seccin de recopilacin de datos facilitados, inicie la cuantificacin de los activos que se ajusten a la descripcin de la clase de repercusin alta en la empresa. Esto permite que el equipo de administracin de riesgos de seguridad se centre primero en los activos ms importantes para la organizacin. Por cada activo, asigne valores monetarios para la valoracin tangible e intangible para la organizacin. Utilice las siguientes categoras como referencia para estimar el costo total de repercusiones para cada activo:

    Costo de reemplazo Costos de sustentacin/mantenimiento Costos de redundancia/disponibilidad Reputacin de la organizacin/mercado Productividad de la organizacin Ingresos anuales Ventaja competitiva Rendimiento operativo interno Responsabilidad jurdica/normativa

    Nota: la hoja de clculo GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado contiene una hoja de trabajo que puede facilitar este proceso. Despus de disponer de las estimaciones monetarias de cada categora, sume los valores para determinar la estimacin del activo. Repita este proceso para todos los activos representados en la clase de repercusin alta en la empresa. El resultado debe ser una lista de activos con prioridades y una estimacin aproximada de su valor monetario asociado para la organizacin. Repita este proceso para los activos de las clases de repercusin moderada y baja en la empresa. Con cada clase de activos, seleccione un valor monetario para representar la valoracin de la clase de activos. Un enfoque conservador consiste en seleccionar el valor de activo mnimo en cada clase. Se utilizar para representar el valor de un activo segn la clase de activos seleccionada por los participantes durante los debates de recopilacin de datos facilitados. Este enfoque simplifica la tarea de asignar valores monetarios a cada activo ya que se emplean las clases de activos seleccionadas en los debates de recopilacin de datos. Nota: otro enfoque para valorar los activos consiste en trabajar con el equipo de administracin de riesgos financieros que puede disponer de una tasacin de seguros y datos de cobertura para activos especficos. Uso de la importancia relativa como orientacin Si tiene dificultades para seleccionar los valores de clase de activos con el mtodo anterior, otro enfoque consiste en emplear las directrices asociadas a la definicin de importancia relativa en los estados financieros elaborados por las empresas de EE.UU. con participacin en el mercado de valores. La comprensin de las directrices de importancia relativa por parte de su organizacin puede resultar til en la seleccin del valor de activo alto para la estimacin cuantitativa. El organismo Financial Accounting Standards Board (FASB) documenta lo siguiente en relacin con los estados financieros de las empresas con participacin en el mercado de valores: "las disposiciones de este estado no se tienen que aplicar a los elementos inmateriales". Para obtener ms informacin, consulte www.sec.gov/interps/account/sab99.htm [ http://www.sec.gov/interps/account/sab99.htm ] . Es importante tener en cuenta este pasaje porque la FASB no dispone de un algoritmo para determinar lo que es material o inmaterial y advierte en contra del uso de mtodos cuantitativos estrictos. En su lugar, recomienda especficamente tener en cuenta todas las consideraciones pertinentes: "la FASB rechaza un enfoque formulista como alivio de 'la pesada tarea de tomar decisiones acerca de la importancia relativa' en favor de un enfoque que tenga en cuenta todas las consideraciones pertinentes".

    Aunque no existe una frmula, el organismo Security Exchange Commission de EE.UU, en el nmero 99 de Staff Accounting Bulletin, reconoce el uso de una regla general de referencia en la contabilidad pblica que puede servir de ayuda para determinar las declaraciones errneas de activos materiales. Para obtener ms informacin, consulte www.sec.gov/interps/account/sab99.htm [

    http://www.sec.gov/interps/account/sab99.htm ] . La regla general de referencia mencionada es el cinco por ciento de los valores del estado financiero. Por ejemplo, una forma de estimar la importancia relativa de un ingreso neto de ocho mil millones de dlares sera analizar las posibles declaraciones errneas de 400 millones de dlares o el conjunto de declaraciones errneas que puedan sumar 400 millones de dlares. Las directrices de importancia material varan considerablemente segn la organizacin. Utilice las directrices de definicin de importancia relativa slo como referencia. El proceso de administracin de riesgos de seguridad de Microsoft en modo alguno pretende representar la posicin financiera de una organizacin. El uso de las directrices de importancia relativa puede resultar til para estimar el valor de los activos de repercusin alta en la empresa. No obstante, dichas directrices pueden no resultar adecuadas al seleccionar estimaciones moderadas y bajas. Se ha de reconocer que la elaboracin de la estimacin de repercusiones es subjetiva por naturaleza. El objetivo es seleccionar valores que sean significativos para la organizacin. Para determinar los valores moderados y bajos, es aconsejable seleccionar un valor monetario que sea significativo en relacin con el importe dedicado a la tecnologa de la informacin en la organizacin. Tambin puede optar por hacer referencia a los costos actuales de los controles especficos de seguridad que se aplicarn a cada clase de activos. Por ejemplo, en el caso de los activos de clase de repercusin moderada, se puede comparar el valor con el gasto monetario actual en controles bsicos de infraestructura de red. Por ejemplo, cul es el costo total estimado para software, hardware y recursos operativos para proporcionar servicios antivirus a la organizacin? Esto proporciona una referencia para comparar los activos con un importe monetario conocido en la organizacin; otro ejemplo: un valor de clase de repercusin moderada puede valorarse tanto como el gasto actual en servidores de seguridad para proteger los activos. Ejemplo de Woodgrove: el equipo de administracin de riesgos de seguridad de Woodgrove ha trabajado con los participantes clave para asignar valores monetarios a las clases de activos. Debido a que en Woodgrove no tenan experiencia en administracin de riesgos, la empresa decidi utilizar las directrices de importancia relativa con el fin de elaborar una lnea de base para valorar activos. Piensa revisar las estimaciones a medida que adquiera experiencia. Woodgrove genera un ingreso neto

    aproximado de 200 millones de dlares al ao. Al aplicar el 5% de las directrices de importancia relativa, a la clase de activos de repercusin alta en la empresa se le asigna un valor de 10 millones de dlares. Segn los gastos en TI anteriores que se han producido en Woodgrove, los participantes han seleccionado un valor de 5 millones de dlares para los activos de repercusin media y 1 milln de dlares para los de repercusin baja. Se han seleccionado estos valores porque los grandes proyectos de TI emprendidos para dar apoyo y proteger los activos digitales en Woodgrove histricamente han estado en estos intervalos. Dichos valores tambin se volvern a revisar durante el siguiente ciclo de administracin de riesgos anual. Tarea 2: identificar el valor del activo Despus de determinar los valores de las clases de activos de la organizacin, identifique y seleccione el valor adecuado para cada riesgo. El valor de clase de activos debe estar alineado con el grupo de clase de activos seleccionado por los participantes en los debates de recopilacin de datos. Se trata de la misma clase que se utiliza en las listas de riesgos de nivel de resumen y detallado. Este enfoque reduce el debate acerca del valor de un activo especfico porque el valor de clase de activos ya se ha determinado. Recuerde que el proceso de administracin de riesgos de seguridad de Microsoft intenta alcanzar un equilibrio entre precisin y eficacia. Ejemplo de Woodgrove: los datos financieros de consumidor se han identificado como de repercusin alta en la empresa durante los debates de recopilacin de datos; por lo tanto, el valor de activo es de 10 millones de dlares segn el valor de repercusin alta definido anteriormente. Tarea 3: generar el valor de expectativa de prdida simple A continuacin, determinar el alcance de los daos en el activo. Utilice la misma clasificacin de exposicin identificada en los debates de recopilacin de datos para determinar el porcentaje de daos en el activo. Este porcentaje se denomina factor de exposicin. Se utiliza la misma clasificacin en las listas de riesgos de nivel de resumen y detallado. En enfoque conservador consiste en aplicar una escala mvil lineal para cada valor de clasificacin de exposicin. El proceso de administracin de riesgos de seguridad de Microsoft recomienda una escala mvil de 20% para cada valor de clasificacin de exposicin. Puede modificarla segn resulte adecuado para su organizacin. La ltima tarea consiste en multiplicar el valor de activo por el factor de exposicin para generar la estimacin cuantitativa de las repercusiones. En los modelos cuantitativos clsicos este valor se denomina expectativa de prdida simple, por ejemplo, el valor de activo multiplicado por el factor de exposicin.

    En la siguiente figura se proporciona como referencia un ejemplo de un enfoque cuantitativo simple. Tenga en cuenta que en el ejemplo siguiente simplemente se divide la clase de repercusin alta en la empresa por la mitad para determinar los valores moderados y bajos. Es posible que tenga que ajustar estos valores a medida que adquiera experiencia en el proceso de evaluacin de riesgos.

    Figura 4.22 Hoja de trabajo de anlisis de riesgos: cuantificacin de la expectativa de prdida simple (GARSHerramienta3)

    Ejemplo de Woodgrove: en la siguiente figura se representan los valores para determinar la expectativa de prdida simple de los dos riesgos de ejemplo.

    Figura 4.23 Ejemplo de expectativa de prdida simple de Woodgrove Bank; nota: el valor en dlares se expresa en millones (GARSHerramienta3) Tarea 4: determinar la frecuencia anual Despus de calcular la expectativa de prdida simple, se tiene que incorporar la probabilidad para concluir la estimacin de riesgo monetario. Un enfoque comn consiste en estimar la frecuencia con que se puede producir el riesgo en el futuro. Esta estimacin despus se convierte en una estimacin anual. Por ejemplo, si el grupo de seguridad de informacin piensa que un riesgo se puede producir dos veces al ao, la frecuencia anual es dos. Si un riesgo se puede producir una vez cada tres aos, la frecuencia anual es un tercio, 33% o 0,33. Como ayuda para estimar la probabilidad, utilice el anlisis cuantitativo anterior en el clculo de riesgo detallado. Utilice lo siguiente como orientacin para identificar y comunicar el valor cuantitativo con el fin de determinar la frecuencia anual.

    Figura 4.24 Cuantificacin de la frecuencia anual (GARSHerramienta3)

    Utilice la figura anterior slo como orientacin. El grupo de seguridad de informacin debe seleccionar un valor para representar la frecuencia anual. Ejemplo de Woodgrove: el equipo de administracin de riesgos de seguridad determina las siguientes frecuencias anuales para los riesgos de ejemplo: 1. Frecuencia anual de hosts de LAN: segn la evaluacin cualitativa de probabilidad media, el equipo de administracin de riesgos de seguridad estima que el riesgo se presentar al menos una vez cada dos aos; por lo tanto, la frecuencia anual estimada es 0,5. 2. Frecuencia anual de hosts remotos: de nuevo, segn la evaluacin cualitativa de probabilidad alta, el equipo de administracin de riesgos de seguridad estima que el riesgo se presentar al menos una vez al ao; por lo tanto, la frecuencia anual estimada es 1. Tarea 5: determinar la expectativa de prdida anual Para concluir la ecuacin cuantitativa, multiplique la frecuencia anual por la expectativa de prdida simple. El producto se representa como la expectativa de prdida anual. Expectativa de prdida anual = expectativa de prdida simple * frecuencia anual Con la expectativa de prdida anual se intenta representar el costo posible del riesgo en trminos anuales. Aunque puede servir de ayuda a los participantes con mentalidad financiera para estimar los costos, el equipo de administracin de riesgos de seguridad tiene que volver a incidir en el hecho de que las repercusiones en la organizacin no se ajustan exactamente a los gastos anuales. Si se produce un riesgo, las repercusiones en la organizacin se pueden producir por completo. Despus de determinar la estimacin cuantitativa del riesgo, consulte la hoja de trabajo de riesgos detallados, que contiene una columna adicional para documentar referencias o explicaciones que desee incluir con la estimacin cuantitativa. Utilice esta columna para facilitar la justificacin de la estimacin cuantitativa y aportar pruebas segn resulte adecuado. Ejemplo de Woodgrove: en la siguiente tabla se muestran los clculos bsicos con el fin de determinar la expectativa de prdida anual para cada riesgo de ejemplo. Tenga en cuenta que cambiar un valor puede modificar considerablemente el valor de expectativa de prdida anual. Utilice los datos cualitativos para facilitar la justificacin y la determinacin de la estimacin cuantitativa.

    Figura 4.25 Ejemplo de expectativa de prdida anual de Woodgrove Bank; nota: los valores en dlares se expresan en millones (GARSHerramienta3)

    Principio de la pgina Resumen La fase de evaluacin de riesgos del ciclo de administracin de riesgos es necesaria para administrar los riesgos en la organizacin. Al llevar a cabo los pasos de planeamiento, recopilacin de datos facilitados y asignacin de prioridades, recuerde que el propsito de la fase de evaluacin de riesgos no es slo identificar y asignar prioridades a los riesgos, sino hacerlo de un modo eficaz y oportuno. El proceso de administracin de riesgos de seguridad de Microsoft utiliza un enfoque hbrido de anlisis cualitativo para identificar y clasificar rpidamente los riesgos; a continuacin, emplea los atributos financieros del anlisis cuantificado para ofrecer una definicin ms precisa de los riesgos. Facilitar el xito en la fase de apoyo a la toma de decisiones Despus de que el equipo de administracin de riesgos de seguridad asigne prioridades a los riesgos para la organizacin, debe comenzar el proceso para identificar las estrategias de mitigacin de riesgos adecuadas. Con el fin de facilitar a los participantes la identificacin de las posibles soluciones de mitigacin de riesgos, el equipo debe crear requisitos funcionales que contribuyan a definir el mbito de la estrategia de mitigacin para el responsable de mitigacin adecuado. La tarea de definicin de requisitos funcionales se describe en el proceso de apoyo a la toma de decisiones global en el captulo 5, "Apoyo a la toma de decisiones".

    Gua de administracin de riesgos de seguridad Introduccin [ http://technet.microsoft.com/es-ve/library/cc163143.aspx ] Captulo 1: Introduccin a la Gua de administracin de riesgos de seguridad [ http://technet.microsoft.com/es-ve/library/dd574340.aspx ]

    Captulo

    2:

    Estudio

    de

    prcticas

    de

    administracin

    de

    riesgos

    de

    seguridad

    http://technet.microsoft.com/es-ve/library/dd574341.aspx ]

    Captulo 3: Informacin general acerca de la administracin de riesgos de seguridad [ http://technet.microsoft.com/es-ve/library/dd574342.aspx ]

    Captulo 4: Evaluacin del riesgo [ http://technet.microsoft.com/es-ve/library/dd574343.aspx ] Captulo 5: Apoyo a la toma de decisiones [ http://technet.microsoft.com/es-

    ve/library/dd574344.aspx ]

    Captulo 6: Implementacin de controles y medicin de la efectividad del programa [ http://technet.microsoft.com/es-ve/library/dd574345.aspx ]

    Apndice

    A:

    Evaluaciones

    de

    riesgos

    ad

    hoc

    http://technet.microsoft.com/es-

    ve/library/dd574336.aspx ]

    Apndice B: Activos comunes del sistema de informacin [ http://technet.microsoft.com/esve/library/dd574337.aspx ]

    Apndice C: Amenazas comunes [ http://technet.microsoft.com/es-ve/library/dd574338.aspx ] Apndice D: Vulnerabilidades [ http://technet.microsoft.com/es-ve/library/dd574339.aspx ]

    Captulo 5: Apoyo a la toma de decisiones


    En esta pgina Informacin Identificacin Resumen Informacin general Su organizacin ya debe haber terminado la fase de evaluacin de riesgos y haber desarrollado una lista de prioridades de los riesgos para los activos ms valiosos. Ahora debe afrontar los riesgos ms importantes mediante la determinacin de las acciones adecuadas para mitigarlos. Esta fase se denomina apoyo a la toma de decisiones. Durante la fase anterior, el equipo de administracin de riesgos de seguridad ha identificado los activos, las amenazas a dichos activos, las vulnerabilidades que tales amenazas pueden aprovechar para efectuar posibles ataques en los activos y los controles ya establecidos para proteger los activos. A continuacin, el equipo de administracin de riesgos de seguridad ha elaborado una lista de prioridades de riesgos. El proceso de apoyo a la toma de decisiones incluye un anlisis de costo-beneficio formal con funciones y responsabilidades definidas en los lmites organizativos. El anlisis de costo-beneficio proporciona una estructura coherente y exhaustiva para identificar, determinar el alcance y seleccionar la solucin ms eficaz y asequible para reducir el riesgo a un nivel aceptable. De forma similar al proceso de evaluacin de riesgos, el anlisis de costo-beneficio requiere definiciones de funcin estrictas para que funcione de forma eficaz. Asimismo, antes de efectuar el anlisis de costo-beneficio, el equipo de administracin de riesgos de seguridad debe garantizar que todos los participantes, incluido el patrocinador ejecutivo, han reconocido y aceptado el proceso. Durante la fase de apoyo a la toma de decisiones, el equipo de administracin de riesgos de seguridad debe determinar cmo afrontar los riesgos clave del modo ms eficaz y asequible. El resultado final y comparacin de general controles

    sern planes claros para controlar, aceptar, transferir o evitar cada uno de los riesgos principales identificados en el proceso de evaluacin de riesgos. Los seis pasos de la fase de apoyo a la toma de decisiones son: 1. Definir los requisitos funcionales. 2. Seleccionar las soluciones de control. 3. Revisar las soluciones segn los requisitos. 4. Estimar la reduccin del nivel de riesgo que cada control proporciona. 5. Estimar los costos de cada solucin. 6. Seleccionar la estrategia de mitigacin de riesgos. En la figura 5.1, a continuacin, se ilustran estos seis pasos y el modo en que la fase de apoyo a la toma de decisiones se relaciona con el proceso de administracin de riesgos de seguridad global de Microsoft.

    Figura 5.1 Proceso de administracin de riesgos de seguridad de Microsoft: Fase de apoyo a la toma de decisiones

    A la hora comparar el valor de un determinado control con otro, no hay frmulas simples. El proceso puede ser complejo por varios motivos. Por ejemplo, algunos controles afectan a varios activos. El equipo de administracin de riesgos de seguridad debe ponerse de acuerdo en el modo de comparar los valores de los controles que afectan a distintas combinaciones de activos. Adems, existen costos asociados a controles que abarcan ms que la implementacin de dichos controles. Entre las preguntas relacionadas que se deben plantear se incluyen:

    Cunto tiempo estar efectivo el control? Cuntas horas de mano de obra por ao se necesitarn para supervisar y mantener el control?

    Cmo resultar de incmodo el control para los usuarios? Cuntos cursos se necesitarn para los responsables de implementar, supervisar y mantener el control?

    El costo del control es razonable, en relacin con el valor del activo?

    En el resto de este captulo se tratarn las respuestas a estas preguntas. Obtendr xito durante el proceso de apoyo a la toma de decisiones si sigue un camino definido y si los participantes comprenden sus funciones correspondientes en cada paso. En el siguiente diagrama se ilustra el modo en que el equipo de administracin de riesgos de seguridad lleva a cabo el proceso de apoyo a la toma de decisiones. Los responsables de mitigacin son los encargados de proponer controles que reducirn el riesgo y, a continuacin, de determinar el costo de cada control. Por cada control propuesto, el equipo de administracin de riesgos de seguridad estima la reduccin del nivel de riesgo que se espera que el control proporcione. Con estos elementos de informacin, el equipo puede llevar a cabo un anlisis de costo-beneficio eficaz del control para determinar si recomienda su implementacin. Posteriormente, el comit de direccin de seguridad decide los controles que se implementarn.

    Figura 5.2 Informacin general acerca de la fase de apoyo a la toma de decisiones

    La definicin clara de las funciones reduce las demoras parcialmente porque slo un grupo es el responsable de la decisin. No obstante, la experiencia demuestra que la efectividad global del programa de administracin de riesgos aumenta si cada responsable colabora con el resto de los participantes. Nota: la administracin de riesgos es un ciclo perpetuo, por lo que mantener un espritu cooperativo aumenta la moral de los participantes y puede reducir realmente el riesgo de la empresa si se les permite que reconozcan las ventajas de sus aportaciones y actan de forma oportuna para reducir el

    riesgo. Como resulta evidente, debe procurar mantener y promover esta actitud a lo largo de los procesos de administracin de riesgos y de apoyo a la toma de decisiones. Informacin necesaria para la fase de apoyo a la toma de decisiones Slo hay un elemento de informacin de la fase de evaluacin de riesgos que se necesita para la fase de apoyo a la toma de decisiones: la lista de prioridades de los riesgos que se tienen que mitigar. Si ha seguido los procedimientos descritos en el captulo 4, "Evaluacin del riesgo", habr registrado esta informacin en la hoja de trabajo Riesgo detallado de la hoja de clculo GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls de Microsoft Excel, que se encuentra en la carpeta Herramientas y plantillas creada al desempaquetar el archivo que contiene esta gua y los archivos relacionados. Seguir utilizando la misma hoja de trabajo durante esta fase del proceso. Participantes de la fase de apoyo a la toma de decisiones Los participantes de la fase de apoyo a la toma de decisiones son similares a los de la fase de evaluacin de riesgos; de hecho, la mayora, si no todos, de los miembros de equipo habrn participado en la fase anterior. El informe de costo-beneficio informa de la mayora de las tareas del proceso de apoyo a la toma de decisiones. No obstante, antes de iniciar el anlisis de costo-beneficio, asegrese de que todos los participantes comprenden sus funciones correspondientes. En la tabla siguiente se resumen las funciones y las responsabilidades principales de cada grupo en el proceso de apoyo a la toma de decisiones. Tabla 5.1: Funciones y responsabilidades en el programa de administracin de riesgos Funcin Responsabilidad

    Operaciones de negocios Identifica los controles de procedimiento disponibles para administrar el riesgo Responsable de negocios Se encarga del anlisis de costo-beneficio de los activos Finanzas Ayuda en el anlisis de costo-beneficio, puede ayudar en el desarrollo y control presupuestario Recursos humanos Identifica los requisitos de cursos de personal y los controles segn sea necesario Tecnologa informacin de la Identifica y evala las posibles soluciones de control (TI):

    arquitectura Tecnologa de la Determina el costo de las soluciones de control y cmo implementarlas

    informacin: ingeniera Tecnologa de la Implementa las soluciones de control tcnico

    informacin: operaciones Auditora interna Identifica los requisitos de cumplimiento y revisa la efectividad de los controles Departamento jurdico Identifica los controles jurdicos, de directiva y contractuales, y valida las estimaciones de valor creadas para las repercusiones en la marca, la responsabilidad jurdica y otros asuntos de negocios Relaciones pblicas Valida las estimaciones de valor creadas para las repercusiones en la marca, la responsabilidad jurdica y otros asuntos de negocios Comit seguridad directivo de Selecciona las soluciones de control en funcin de las recomendaciones del equipo de proyecto de administracin de riesgos de seguridad

    Equipo de administracin Define los requisitos funcionales de los controles para cada riesgo, de riesgos de seguridad notifica el estado de proyecto a los participantes y usuarios afectados segn sea necesario

    El equipo de administracin de riesgos de seguridad debe asignar un tcnico de seguridad para cada riesgo identificado. Un nico punto de contacto reduce el riesgo de que el equipo de administracin de riesgos de seguridad genere mensajes incoherentes y ofrezca un modelo de compromiso ntido a lo largo del anlisis de costo-beneficio. Herramientas proporcionadas en la fase de apoyo a la toma de decisiones La informacin recopilada en esta fase del proceso se debe registrar en la hoja de trabajo Riesgo detallado de la hoja de trabajo GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls de Excel, que se encuentra en la carpeta Herramientas y plantillas creada al desempaquetar el archivo que contiene esta gua y los archivos relacionados. Resultados necesarios para la fase de apoyo a la toma de decisiones

    Durante esta fase del proceso de administracin de riesgos de seguridad de Microsoft, definir y seleccionar varios elementos clave de informacin acerca de cada uno de los riesgos principales que se han identificado durante la fase de evaluacin de riesgos. En la siguiente tabla se resumen estos elementos clave y en las secciones posteriores de este captulo se describen en detalle. Tabla 5.2: Resultados necesarios para la fase de apoyo a la toma de decisiones Informacin recopilar que se Descripcin

    Decisin acerca de cmo se Si se controlar, aceptar, transferir o evitar cada uno de los riesgos afrontar cada riesgo Requisitos funcionales principales Declaraciones que describen la funcionalidad necesaria para mitigar el riesgo Posibles control soluciones de Lista de controles identificados por los responsables de mitigacin y el equipo de administracin de riesgos de seguridad que pueden resultar eficaces para mitigar cada riesgo Reduccin de riesgo de Evaluacin de cada solucin de control propuestas para determinar en cada solucin de control qu medida se reducir el nivel de riesgo para el activo

    Costo estimado de cada Todos los costos asociados a la adquisicin, implementacin, solucin de control Lista control de soluciones que asistencia y medicin de cada control propuesto de Seleccin efectuada mediante un anlisis de costo-beneficio se

    implementarn Consideraciones acerca de las opciones de apoyo a la toma de decisiones Las organizaciones disponen de dos tcticas bsicas en lo que se refiere al modo en que afrontan el riesgo: pueden aceptar un riesgo o pueden implementar controles para reducir el riesgo. Si optan por aceptar un riesgo, pueden decidir transferirlo por completo, o una parte de l, a un tercero, como una empresa de seguros o una empresa de servicios administrados. En las dos siguientes secciones se examinarn estos dos enfoques del riesgo: aceptacin o implementacin de controles que faciliten la reduccin del riesgo.

    Nota: muchos especialistas de administracin de riesgos de seguridad creen que existe otra forma de afrontar cada riesgo: evitarlo. Pero es importante tener presente que cuando se opta por evitar un riesgo, se est decidiendo detener cualquier actividad que presente el riesgo. En relacin con la administracin de riesgos de seguridad, para evitar un riesgo las organizaciones deben dejar de utilizar el sistema de informacin que incluye el riesgo. Por ejemplo, si el riesgo es que "en un ao, los servidores a los que no se hayan aplicado revisiones pueden estar en peligro por el software malintencionado, lo que puede poner en peligro la integridad de los datos financieros", la nica forma de evitar un riesgo es dejar de utilizar los servidores, lo que, con toda probabilidad, no es una opcin realista. En el proceso de administracin de riesgos de seguridad de Microsoft se supone que las organizaciones slo estn interesadas en examinar activos que proporcionen valor de negocio y permanezcan en servicio. Por lo tanto, en esta gua no se tratar la evitacin del riesgo como una opcin. Aceptacin del riesgo actual El comit directivo de seguridad debe optar por aceptar un riesgo actual si determina que no hay controles asequibles para reducir productivamente el riesgo. Esto no significa que la organizacin no puede afrontar de forma eficaz el riesgo mediante la implementacin de uno o varios controles, sino que significa que el costo de implementar el control o los controles, o el efecto de dichos controles en la capacidad de desarrollar el negocio de la empresa, es demasiado alto para el valor del activo que necesita proteccin. Por ejemplo, tenga en cuenta el siguiente escenario: Un equipo de administracin de riesgos de seguridad determina que uno de los riesgos ms importantes para los activos clave de la organizacin es la dependencia de las contraseas para la autenticacin de los usuarios cuando inician sesin en la red corporativa. El equipo identifica que la implementacin de tecnologa de autenticacin de dos factores, como las tarjetas inteligentes, sera la forma ms eficaz de reducir y, en ltima instancia, eliminar el uso de contraseas para la autenticacin. A continuacin, el responsable de mitigacin calcula el costo de la implementacin de tarjetas inteligentes en toda la organizacin y su efecto en los sistemas operativos y aplicaciones existentes de la organizacin. El costo de la implementacin es bastante alto, pero puede estar justificado; sin embargo, el equipo averigua que muchas de las aplicaciones de negocios desarrolladas internamente de la organizacin se basan en la autenticacin basada en contrasea y que la reescritura o reemplazo de dichas aplicaciones resultara excesivamente caro y se tardaran varios aos. Finalmente, el equipo decide no recomendar, en un futuro inmediato, el uso de tarjetas inteligentes para todos los empleados al comit directivo de seguridad. Pero, de hecho, se puede llegar a un compromiso: se puede requerir que los usuarios de

    cuentas de altos privilegios o confidenciales, como administradores de dominio y ejecutivos, se autentiquen con tarjetas inteligentes. El comit directivo de seguridad toma la decisin final de seguir la recomendacin del equipo de administracin de riesgos de seguridad: no se requieren tarjetas inteligentes para todos los empleados. Una variacin de la aceptacin del riesgo es la transferencia del mismo a un tercero. Las plizas de seguro para los activos de TI estn empezando a estar disponibles. Como alternativa, las organizaciones pueden contratar a otras empresas especializadas en los servicios de seguridad administrada; el subcontratista puede asumir toda o parte de la responsabilidad de proteger los activos de TI de la organizacin. Implementacin de controles para reducir el riesgo Los controles, que en ocasiones se denominan contramedidas o protecciones, son medios organizativos, de procedimiento o tcnicos de administrar los riesgos. Los responsables de mitigacin, con el apoyo del equipo de administracin de riesgos de seguridad, identifican todos los posibles controles, calculan el costo de la implementacin de cada control, determinan el resto de los costos relacionados con el control (como las molestias a los usuarios o el costo del mantenimiento continuo del control) y evalan la reduccin del nivel de riesgo posible con cada control. Toda esta informacin permite que el equipo lleve a cabo un anlisis de costo-beneficio para cada control propuesto. Los controles que reduzcan con ms eficacia el riesgo para los activos clave a un costo razonable para la organizacin son los controles cuya implementacin el equipo recomendar con ms entusiasmo. Claves para el xito De forma similar a la fase de evaluacin de riesgos, la definicin de unas expectativas razonables es fundamental si se desea que la fase de apoyo a la toma de decisiones tenga xito. El apoyo a la toma de decisiones requiere aportaciones importantes de distintos grupos que representan a toda la empresa. Si alguno de estos grupos no comprende o participa activamente en el proceso, la eficacia de todo el programa puede estar en peligro. Asegrese de explicar de forma clara lo que se espera de cada participante durante la fase de apoyo a la toma de decisiones, incluidas las funciones, las responsabilidades y el grado de participacin. Creacin de consenso Es importante que todo el equipo de administracin de riesgos de seguridad tome decisiones por consenso en la medida de lo posible; sin l, los comentarios de los miembros en contra pueden socavar las recomendaciones despus de que el equipo las presente al comit directivo de seguridad. Aunque el comit apruebe los controles recomendados, la oposicin subyacente puede provocar que los proyectos

    de implementacin de controles de seguimiento no se apliquen. Para que tenga xito todo el proceso de administracin de riesgos, todos los miembros del equipo deben estar de acuerdo y apoyar los controles recomendados. Evitar las maniobras obstruccionistas Dado que uno de los objetivos de esta fase es crear, mediante consenso, una lista de controles, cualquier participante puede ralentizar o detener el progreso mediante una maniobra obstruccionista. Es decir, cualquier persona que participe en la fase de apoyo a la toma de decisiones puede decidir que no est de acuerdo en recomendar un determinado control. Por otro lado, alguien puede intentar imponer su particular punto de vista a la mayora si est amenazada la recomendacin de cierto control. Es muy importante que el responsable de evaluacin de riesgos resuelva las situaciones de obstruccionismo cuando se produzca. Queda fuera del alcance de esta gua las recomendaciones exhaustivas acerca de cmo afrontar este tipo de situaciones, pero una tctica eficaz sera determinar los motivos clave del punto de vista de dicha persona y trabajar con el equipo para encontrar alternativas eficaces o compromisos que todo el equipo considere aceptables. Principio de la pgina Identificacin y comparacin de controles En esta seccin se explica el modo en que el responsable de mitigacin identifica las posibles soluciones de control y determina los tipos de costos asociados a cada control propuesto y cmo el equipo de administracin de riesgos de seguridad estima la reduccin de nivel de riesgo que cada control propuesto proporciona. Los responsables de mitigacin y el equipo de administracin de riesgos de seguridad presentan sus resultados y soluciones recomendadas al comit directivo de seguridad para que se pueda seleccionar una lista final de soluciones de control para su implementacin. En el siguiente diagrama se ofrece un extracto de la hoja de trabajo Riesgo detallado de la hoja de clculo de Excel que se ha utilizado para realizar la evaluacin detallada de los riesgos en el captulo anterior. Esta hoja de trabajo, GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls, se incluye en esta gua y se encuentra en la carpeta Herramientas y plantillas. En el diagrama se muestran todos los elementos empleados durante el anlisis de costo-beneficio. En los pasos siguientes se describe cada columna.

    Figura 5.3 Seccin de apoyo a la toma de decisiones de la hoja de trabajo Riesgo detallado (GARSHerramienta3)

    Nota: la hoja de trabajo se centra en la reduccin de la probabilidad de repercusiones al determinar la reduccin del nivel de riesgo. Se supone que el valor del activo no cambia en el perodo de tiempo de la evaluacin de riesgos. Normalmente, el nivel de exposicin (alcance de daos en el activo) permanece constante. La experiencia demuestra que los niveles de exposicin normalmente no cambian si las descripciones de amenaza y de vulnerabilidad se especifican lo suficientemente detalladas. Paso 1: Definir los requisitos funcionales Los requisitos de seguridad funcionales son declaraciones que describen los controles necesarios para mitigar el riesgo. El trmino "funcional" es importante: los controles se deben describir segn las funciones deseadas en oposicin a las tecnologas especificadas. Pueden ser posibles soluciones tcnicas alternativas y cualquier resolucin es aceptable si cumple los requisitos de seguridad funcionales. El equipo de administracin de riesgos de seguridad es el encargado de definir los requisitos funcionales, el primer resultado del proceso del anlisis de costo-beneficio. Para identificar correctamente los posibles controles, el equipo de administracin de riesgos de seguridad tiene que definir lo que los controles deben realizar para reducir el riesgo para la empresa. Aunque el equipo conserva la responsabilidad, es muy recomendable la colaboracin con el responsable de la solucin de mitigacin. Los requisitos funcionales se deben definir para cada riesgo descrito en el proceso de apoyo a la toma de decisiones; el resultado generado se denomina "Definiciones de requisitos funcionales". La definicin y la responsabilidad del requisito funcional resultan muy importantes para el proceso de costo-beneficio. El documento define lo que se tiene que producir para reducir el riesgo pero no especifica cmo se debe reducir ni define controles especficos. Esta distincin concede al equipo de administracin de riesgos de seguridad la responsabilidad en su rea a la vez que tambin permite que el responsable de mitigacin,

    que implementa la solucin de mitigacin, tome decisiones relacionadas con la ejecucin y el soporte de la empresa. Las respuestas a cada riesgo se documentan en la columna etiquetada "Requisito de seguridad funcional" de GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls. Los requisitos funcionales se deben revisar una vez al ao como mnimo para determinar si continan siendo necesarios o se deben modificar.

    Figura 5.4 Paso 1 de la fase de apoyo a la toma de decisiones

    El trabajo realizado en la fase anterior permite a las organizaciones comprender sus situaciones de riesgo y determinar de un modo racional los controles que se deben implementar para reducir los riesgos ms importantes. El patrocinador ejecutivo y los responsables de negocios desean saber lo que piensa el grupo de seguridad de informacin que debe hacer la organizacin ante cada riesgo. El grupo de seguridad de informacin atiende esta demanda mediante la creacin de requisitos de seguridad funcionales. Por cada riesgo, el grupo de seguridad de informacin elabora una declaracin clara del tipo de funcionalidad o proceso que se tiene que introducir para mitigar el riesgo. Ejemplo de Woodgrove: a partir del ejemplo de Woodgrove Bank utilizado en el captulo anterior, se elabora un requisito funcional til para el riesgo de robo de credenciales de un cliente de red de rea local (LAN) administrado debido a una configuracin obsoleta de las firmas antivirus, configuraciones de host o revisiones de seguridad obsoletas: DEBE existir la capacidad para autenticar la identidad de los usuarios mediante uno o varios factores cuando inicien sesin en la red local. Un ejemplo de un requisito que no es funcional lo constituye lo siguiente: La solucin DEBE utilizar tarjetas inteligentes para autenticar los usuarios. La segunda declaracin no es funcional porque describe el uso de una tecnologa especfica. Corresponde a los responsables de mitigacin proporcionar a una lista de soluciones de control

    especficas que cumplan los requisitos funcionales; es decir, traducen los requisitos funcionales en soluciones de control tcnico y/o controles administrativos (directiva, estndares, directrices, etc.). El requisito funcional para el segundo riesgo examinado durante el paso de asignacin de prioridades a los riesgos de nivel detallado, el riesgo de robo de credenciales de hosts mviles remotos como resultado de una configuracin de seguridad obsoleta: DEBE existir la capacidad para autenticar la identidad de los usuarios mediante uno o varios factores cuando inicien sesin en la red de forma remota. Registre los requisitos funcionales de cada riesgo en la columna Requisitos de seguridad funcionales de GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls. En el documento 2119 de Request for Comments (RFC) de Internet Engineering Task Force (IETF), disponible en www.ietf.org/rfc/rfc2119.txt, se proporciona orientacin acerca de las palabras o frases clave que se deben emplear en las declaraciones de requisitos. Dichos trminos, que normalmente aparecen en maysculas, son "SE TIENE QUE", "NO SE TIENE QUE", "OBLIGATORIO", "SE TENDR QUE", "NO SE TENDR QUE", "SE DEBE", "NO SE DEBE", "RECOMENDADO", "PUEDE" y "OPCIONAL". Microsoft recomienda utilizar estas frases clave en las declaraciones de requisitos funcionales segn las definiciones proporcionadas en el documento RFC 2119:

    SE TIENE QUE: este trmino, junto con "OBLIGATORIO" o "SE TENDR QUE", significa que la definicin es un requisito absoluto de la especificacin. Por ejemplo, si en la evaluacin de riesgos se identifica un escenario de alto riesgo, probablemente el trmino "SE TIENE QUE" constituye la mejor descripcin mediante palabra clave para el requisito que soluciona dicho escenario.

    NO SE TIENE QUE: este trmino, o "NO SE TENDR QUE", significa que la definicin es una prohibicin absoluta de la especificacin.

    SE DEBE: este trmino, o el adjetivo "RECOMENDADO", significa que pueden existir motivos vlidos en determinadas circunstancias para omitir un determinado elemento, pero que se deben comprender y sopesar atentamente las implicaciones completas antes de elegir una accin distinta. Por ejemplo, si en la evaluacin de riesgos se identifica un escenario de bajo riesgo, el trmino "SE DEBE" constituye la mejor descripcin mediante palabra clave para el requisito que soluciona dicho escenario.

    NO SE DEBE: este trmino, o "NO RECOMENDADO", significa que pueden existir motivos vlidos en determinadas circunstancias cuando el comportamiento concreto es aceptable o, incluso,

    til, pero que se deben comprender las implicaciones completas y el caso se debe analizar cuidadosamente antes de implementar un comportamiento descrito con esta etiqueta.

    PUEDE: esta palabra, o el adjetivo "OPCIONAL", significa que un elemento es totalmente opcional. Un proveedor puede optar por incluir el elemento porque un determinado mercado lo requiere o porque piensa que mejora el producto, mientras que otro proveedor puede omitir el mismo elemento. Una implementacin que no incluya una determinada opcin TIENE QUE estar preparada para interoperar con otra implementacin que s la incluya, aunque tal vez con funcionalidad reducida. En el mismo sentido, una implementacin que incluya una determinada opcin TIENE QUE estar preparada para interoperar con otra implementacin que no la incluya (a excepcin, como es lgico, de la caracterstica que proporciona la opcin).

    Despus de haber definido y documentado los requisitos funcionales para cada riesgo, puede ir al siguiente paso de la fase de apoyo a la toma de decisiones. Paso 2: Identificar las soluciones de control En el siguiente paso de esta fase corresponde a los responsables de mitigacin elaborar una lista de nuevos posibles controles para cada riesgo que cumplan los requisitos funcionales del mismo. En muchas organizaciones, los miembros del grupo de seguridad de informacin podrn colaborar mediante la identificacin de una serie de posibles controles para cada riesgo identificado y caracterizado durante la fase anterior. Las organizaciones que no dispongan de suficientes especialistas internos para este fin pueden complementar la labor de los responsables de mitigacin con consultores.

    Figura 5.5 Paso 2 de la fase de apoyo a la toma de decisiones

    El proceso de identificar los posibles controles puede parecer complejo, sobre todo si ninguno de los responsables de mitigacin, o slo algunos, no lo han hecho anteriormente. Existen dos enfoques que pueden ayudar a los equipos a pensar en nuevas ideas; muchas organizaciones consideran que resulta

    ms eficaz utilizar ambos. El primero es un enfoque de lluvia de ideas informal; el segundo es ms organizado y est basado en el modo en que los controles se pueden clasificar y organizar. El equipo de administracin de riesgos de seguridad debe utilizar una combinacin de estos dos enfoques. En el enfoque de lluvia de ideas, el responsable de evaluacin de riesgos expone la siguiente serie de preguntas al equipo por cada riesgo. El responsable de registro de evaluacin de riesgos documenta todas las respuestas en la columna etiquetada "Control propuesto" de la hoja de trabajo Riesgo detallado de GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls. Este proceso contina hasta que todos los riesgos principales se han examinado y el equipo pasa a determinar los costos asociados a cada control.

    Qu medidas debe adoptar la organizacin para resistir o impedir la aparicin del riesgo? Por ejemplo, implementar la autenticacin de varios factores para reducir el riesgo de que peligren las contraseas o implementar una infraestructura de administracin de revisiones automatizada para reducir el riesgo de que los sistemas se pongan en peligro debido a cdigo mvil malintencionado.

    Qu puede hacer la organizacin para recuperarse de un riesgo una vez se ha detectado? Por ejemplo, establecer, destinar fondos y formar un equipo de respuesta a incidencias o implementar y probar los procesos de copia de seguridad y restauracin para todos los equipos que ejecutan un sistema operativo de servidor. Es ms, una organizacin puede establecer recursos informticos redundantes en ubicaciones remotas que se pueden poner en servicio si se produce un desastre en el sitio principal.

    Qu medidas puede adoptar la organizacin para detectar la aparicin del riesgo? Por ejemplo, instalar un sistema de deteccin de intrusiones basado en red en el permetro de la red y en las ubicaciones clave de la red interna, o instalar un sistema de deteccin de intrusiones distribuido y basado en host en todos los equipos de la organizacin.

    Cmo se puede auditar y supervisar el control para garantizar que se contina aplicando? Por ejemplo, instalar y observar detalladamente las herramientas de administracin adecuadas del proveedor del producto.

    Cmo puede la organizacin validar la eficacia del control? Por ejemplo, disponer de un especialista familiarizado con el intento de vulnerabilidad para saltarse el control.

    Existen otras acciones que se pueden llevar a cabo para afrontarlo? Por ejemplo, transferir el riesgo mediante la adquisicin de un seguro que indemnice por las prdidas relacionadas con dicho riesgo.

    El segundo mtodo para identificar los nuevos posibles controles los organiza en tres categoras extensas: organizativa, operativa y tecnolgica. stos se subdividen en controles que proporcionan prevencin, deteccin y recuperacin, as como administracin. Los controles preventivos se implementan para impedir que se materialice un riesgo; por ejemplo, detienen las infracciones antes de que se produzcan. Los controles de deteccin y recuperacin ayudan a la organizacin a determinar cundo se ha producido un suceso de seguridad y para reanudar las operaciones normales posteriormente. Los controles de administracin no proporcionan necesariamente proteccin por s mismos, pero son necesarios para implementar otros controles. A continuacin se describen estas categoras con ms detalle. Controles organizativos Los controles organizativos son procedimientos y procesos que definen el modo en que las personas de la organizacin deben llevar a cabo sus tareas. Los controles preventivos de esta categora son:

    Funciones y responsabilidades claras. Deben estar definidas y documentadas de forma clara para que los directivos y el personal comprendan sin posibilidad de dudas quin es el responsable de garantizar que se implementa un nivel de seguridad adecuado para los activos de TI ms importantes.

    Separacin de responsabilidades y privilegios mnimos. Si se implementan correctamente, garantizan que las personas slo dispondrn del acceso suficiente a los sistemas de TI para desempear sus tareas eficazmente y no ms.

    Planes y procedimientos de seguridad documentados. Se desarrollan para explicar el modo en que los controles se han implementado y cmo se deben mantener.

    Cursos de seguridad y campaas de toma de concienciacin continuas. Esto resulta necesario para todos los miembros de la organizacin para que los usuarios y los miembros del equipo de TI comprendan sus responsabilidades y el modo de utilizar correctamente los recursos informticos a la vez que se protegen los datos de la organizacin.

    Sistemas y procesos para crear y eliminar usuarios. Estos controles son necesarios para que los nuevos miembros de la organizacin puedan ser productivos rpidamente y para que el personal que abandona la empresa pierda el acceso inmediatamente al marcharse. Los procesos de creacin tambin deben incluir transferencias de empleados de los grupos de la empresa donde los privilegios y el acceso cambien de un nivel a otro. Por ejemplo, los funcionarios que cambian de puesto y las clasificaciones de seguridad de Secreto a Confidencial, o viceversa.

    Procesos establecidos para conceder acceso a contratistas, proveedores, socios y clientes. Normalmente es una variacin de la creacin de usuarios mencionada anteriormente, pero, en muchos casos, es muy distinta. Compartir datos con un grupo de usuarios externos y compartir un conjunto de datos distinto con otro grupo puede resultar complejo. Normalmente los requisitos legales y normativos influyen en las opciones, por ejemplo cuando se trata de datos sanitarios o financieros.

    Los controles de deteccin de esta categora son:

    Realizar programas continuos de administracin de riesgos para evaluar y controlar los riesgos de los activos clave de la organizacin.

    Llevar a cabo revisiones peridicas de los controles para comprobar su eficacia. Efectuar peridicamente auditoras del sistema para garantizar que los sistemas no se han puesto en peligro o se han configurado incorrectamente.

    Realizar investigaciones de antecedentes de los posibles candidatos a puestos de trabajo. Debe contemplar la posibilidad de implementar investigaciones de antecedentes adicionales de los empleados propuestos para ascensos a puestos con un mayor nivel de acceso a los activos de TI de la organizacin.

    Establecer una rotacin de responsabilidades, que es una forma eficaz de descubrir actividades malintencionadas de miembros del equipo de TI o de usuarios con acceso a informacin confidencial.

    Los controles de administracin de esta categora son:

    Planeamiento de la respuesta a incidencias, que proporciona a la organizacin la capacidad de reaccionar y de recuperarse rpidamente de las infracciones de seguridad a la vez que se reduce su efecto y se impide la propagacin de la incidencia a otros sistemas.

    Planeamiento de la continuidad de la empresa, que permite que la organizacin se recupere de sucesos catastrficos que afectan a una gran parte de la infraestructura de TI.

    Controles operativos Los controles operativos definen el modo en que las personas de la organizacin deben tratar los datos, el software y el hardware. Tambin incluyen protecciones ambientales y fsicas, segn se describe a continuacin. Los controles preventivos de esta categora son:

    Proteccin de las instalaciones informticas con medios fsicos como barreras, dispositivos y bloqueos electrnicos, bloqueos biomtricos y vallas.

    Proteccin fsica de los sistemas de los usuarios finales, incluidos dispositivos como bloqueos y alarmas de equipos mviles y cifrado de los archivos almacenados en los dispositivos mviles.

    Fuente de alimentacin de reserva para emergencias, que puede impedir que los sistemas elctricos sensibles se daen durante cortes de suministro elctrico y apagones; tambin pueden garantizar que las aplicaciones y los sistemas operativos se cierran correctamente para conservar los datos y las transacciones.

    Sistemas contra incendios, como sistemas de extincin de incendios automticos y extintores, que constituyen herramientas fundamentales para proteger los activos clave de la organizacin.

    Sistemas de control de temperatura y de humedad que prolongan la duracin de los equipos elctricos sensibles y ayudan a proteger los datos almacenados en ellos.

    Control de acceso a medios y procedimientos de eliminacin para garantizar que slo el personal autorizado tiene acceso a informacin confidencial y que los medios empleados para almacenar dichos datos no quedan legibles mediante desmagnetizacin u otros mtodos antes de la eliminacin.

    Sistemas de copia de seguridad y disposiciones para el almacenamiento de las copias de seguridad fuera de las instalaciones con el fin de facilitar la restauracin de los datos perdidos o daados. Si se produce una incidencia catastrfica, los medios de copia de seguridad almacenados fuera de las instalaciones permiten almacenar los datos cruciales para el negocio en los sistemas de reemplazo.

    Los controles de deteccin y recuperacin de esta categora son:

    Seguridad fsica, que protege a la organizacin de atacantes que intenten obtener acceso a sus instalaciones; algunos ejemplos son: sensores, alarmas, cmaras y detectores de movimiento.

    Seguridad ambiental, que protegen a la organizacin de amenazas ambientales como inundaciones e incendios; algunos ejemplos son: detectores de humo y fuego, alarmas, sensores y detectores de inundaciones.

    Controles de tecnologa Los controles de tecnologa varan considerablemente en cuanto a su complejidad. Incluyen: diseo de la arquitectura del sistema, ingeniera, hardware, software y firmware. Todos son componentes de tecnologa que se utilizan para crear los sistemas de informacin de una organizacin. Los controles preventivos de esta categora son:

    Autenticacin. Proceso de validar las credenciales de una persona, proceso de equipo o dispositivo. En la autenticacin se requiere que la persona, el proceso o el dispositivo que

    efecta la solicitud proporcione una credencial que demuestre que es quien dice ser. Las formas habituales de las credenciales son las firmas digitales, las tarjetas inteligentes, los datos biomtricos y una combinacin de nombres de usuario y contraseas.

    Autorizacin. Proceso de conceder a una persona, proceso de equipo o dispositivo acceso a determinada informacin, servicios o funcionalidad. La autorizacin se deriva de la identidad de la persona, proceso de equipo o dispositivo que solicita el acceso, que se comprueba mediante autenticacin.

    No rechazo. Tcnica empleada para garantizar que quien realiza una accin en un equipo no pueda negar falsamente que ha realizado dicha accin. El no rechazo proporciona una prueba innegable de que un usuario ha realizado una accin especfica, como transferir dinero, autorizar una compra o enviar un mensaje.

    Control de acceso. Mecanismo para limitar el acceso a determinada informacin en funcin de la identidad de un usuario y su pertenencia a varios grupos predefinidos. El control de acceso puede ser obligatorio, discrecional o basado en funciones.

    Comunicaciones protegidas. Estos controles utilizan el cifrado para proteger la integridad y la confidencialidad de la informacin transmitida por las redes.

    Los controles de deteccin y recuperacin de esta categora son:

    Sistemas de auditora. Permiten supervisar y realizar el seguimiento del comportamiento del sistema que se aparte de las normas previstas. Constituyen una herramienta fundamental para detectar, comprender y recuperarse de infracciones de seguridad.

    Programas antivirus. Diseados para detectar y responder a software malintencionado, como virus y gusanos. Las respuestas pueden ser el bloqueo del acceso de usuario a los archivos infectados, la limpieza de los archivos o sistemas infectados o la notificacin al usuario de que se ha detectado un programa infectado.

    Herramientas de integridad del sistema. Permiten que el personal de TI determine si se han efectuado cambios no autorizados en un sistema. Por ejemplo, algunas herramientas de integridad del sistema calculan una suma de comprobacin para todos los archivos que se encuentran en los volmenes de almacenamiento del sistema y almacenan la informacin en una base de datos en otro equipo. La comparacin entre el estado actual de un sistema y su configuracin vlida conocida anteriormente se puede llevar a cabo de un modo confiable y automatizado con una herramienta de este tipo.

    Los controles de administracin de esta categora son:

    Herramientas de administracin de seguridad incluidas en numerosos sistemas operativos informticos y aplicaciones de negocios as como en productos de hardware y software orientados a la seguridad. Estas herramientas son necesarias para mantener, dar soporte y solucionar problemas de caractersticas de seguridad de un modo eficaz en todos estos productos.

    Criptografa, que es la base de muchos otros controles de seguridad. La creacin, el almacenamiento y la distribucin seguros de las claves de cifrado permiten tecnologas como redes privadas virtuales (VPN), autenticacin de usuarios segura y cifrado de datos en distintos tipos de medios de almacenamiento.

    Identificacin, que proporciona la capacidad de identificar usuarios y procesos nicos. Gracias a esta capacidad, los sistemas pueden incluir caractersticas como responsabilidad, control de acceso discrecional, control de acceso basado en funciones y control de acceso obligatorio.

    Protecciones inherentes al sistema, que son caractersticas diseadas en el sistema para proteger la informacin procesada o almacenada en dicho sistema. Se ha demostrado que la reutilizacin segura de objetos, la compatibilidad con memoria de no ejecucin (NX) y la separacin de procesos son caractersticas de proteccin del sistema.

    Cuando evale las soluciones de control, tambin puede resultar til que consulte la seccin "Organizacin de las soluciones de control" del captulo 6, "Implementacin de controles y medicin de la efectividad del programa". En esta seccin se incluyen vnculos a orientacin normativa escrita para ayudar a las organizaciones a aumentar la seguridad de sus sistemas de informacin. Ejemplo de Woodgrove: el primer riesgo, el de que las credenciales del usuario asesor financiero se puedan robar durante el inicio de sesin en la LAN, si se puede solucionar si se les pide a los usuarios que se autentiquen con tarjetas inteligentes al conectarse localmente a la red corporativa. El segundo riesgo, el de que las credenciales del usuario asesor financiero se puedan robar durante el inicio de sesin en la red de forma remota, se puede solucionar si se les pide a todos los usuarios que se autentiquen con tarjetas inteligentes al conectarse de forma remota a la red corporativa. Registre cada uno de los controles propuestos para cada riesgo en la columna "Control propuesto" de GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls. Paso 3: Revisar la solucin segn los requisitos El equipo de administracin de riesgos de seguridad debe aprobar la solucin de control para garantizar que el control cumple los requisitos funcionales definidos. Otra ventaja de la colaboracin en los procesos de costo-beneficio reside en la capacidad de anticipar las comprobaciones y los balances

    inherentes al proceso; por ejemplo, si el responsable de mitigacin est incluido en la definicin de requisitos de seguridad, normalmente la solucin cumplir los requisitos. Los controles que no cumplan los requisitos funcionales para un riesgo especfico se quitan de la hoja de trabajo Riesgo detallado.

    Figura 5.6 Paso 3 de la fase de apoyo a la toma de decisiones

    Ejemplo de Woodgrove: el equipo de administracin de riesgos de seguridad ha comparado el uso de tarjetas inteligentes para la autenticacin de usuario con el fin de determinar si su implementacin cumple los requisitos funcionales. En este caso, las tarjetas inteligentes cumplen los requisitos funcionales de los dos riesgos de este ejemplo. Marque cada uno de los controles rechazados con un formato distinto en GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls. Paso 4: Estimar la reduccin del riesgo Despus de que el equipo de administracin de riesgos de seguridad apruebe la mitigacin posible, debe volver a calcular la reduccin de riesgo global para la empresa. La cantidad de reduccin de riesgo se comparar con el costo de la solucin de mitigacin. ste es el primer paso en el que el importe econmico puede proporcionar valor al anlisis de costo-beneficio. La experiencia demuestra que la reduccin de riesgo normalmente se estima ampliando la probabilidad del efecto a la empresa. Recuerde que cada clasificacin de probabilidad (alta, media o baja) tiene un intervalo de tiempo previsto en el que es probable que se produzca el ataque.

    Figura 5.7 Paso 4 de la fase de apoyo a la toma de decisiones

    La ampliacin de la estimacin de posibilidad de ataque de un ao a ms de tres proporciona un valor importante al equipo de administracin de riesgos de seguridad y al comit directivo de seguridad. Aunque puede que la estimacin de prdida financiera no se reduzca, es menos probable que la prdida se produzca en un futuro prximo. Es importante tener presente que el objetivo no es reducir el efecto a cero, sino definir un nivel de riesgo aceptable para la empresa. Otra ventaja de reducir el riesgo a corto plazo est relacionada con la tendencia comn de los costos de controles tcnicos a disminuir con el tiempo y a aumentar su eficacia. Por ejemplo, una mejora en la estrategia actual de administracin de revisiones puede reducir considerablemente la probabilidad de riesgos de host hoy en da. Sin embargo, el costo de implementar revisiones y actualizaciones de seguridad puede disminuir a medida que estn disponibles nuevas orientaciones y herramientas para administrar de forma eficaz estas operaciones. La reduccin de los costos mediante la autenticacin de dos factores ofrece otro ejemplo de esta tendencia. Al determinar el grado relativo de reduccin de riesgo de un control asegrese de contemplar todas las formas en que el control puede afrontar el riesgo. Entre las preguntas que se deben plantear se incluyen:

    El control previene un ataque especfico o un conjunto de ataques? Minimiza el riesgo de una determinada clase de ataques? El control reconoce una vulnerabilidad mientras se est produciendo? Si reconoce una debilidad, puede resistir el ataque o realizar un seguimiento del mismo? El control ayuda a recuperar los activos que han sufrido un ataque? Qu otras ventajas ofrece? Cul es el costo total del control en relacin con el valor del activo?

    Estas preguntas pueden resultar complejas cuando un determinado control afecta a varias vulnerabilidades y activos. Por ltimo, el objetivo de este paso es realizar la estimacin de la reduccin de los niveles de riesgo que efecta cada control. Registre los nuevos valores de Clasificacin de exposicin, Clasificacin de probabilidad y Clasificacin de riesgo en las columnas etiquetadas "Clasificacin de exposicin con el nuevo control", "Clasificacin de probabilidad con el nuevo control" y "Nueva clasificacin de riesgo" de GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls para cada riesgo. Ejemplo de Woodgrove: en relacin con el primer riesgo, el de que se pongan en peligro las contraseas de los asesores financieros mientras utilizan clientes de LAN, el equipo de administracin de riesgos de seguridad puede llegar a la conclusin de que la clasificacin de exposicin despus de implementar tarjetas inteligentes para la autenticacin local sera de 8, la clasificacin de probabilidad bajara a 1 y, por lo tanto, la nueva clasificacin de riesgo sera de 9. Para el segundo riesgo, el de que se pongan en peligro las contraseas de los asesores financieros al acceder a la red de forma remota, el equipo de administracin de riesgos de seguridad encontrara valores similares. Registre las nuevas clasificaciones de exposicin, probabilidad y riesgo para cada control propuesto en las columnas "Clasificacin de exposicin con el nuevo control", "Clasificacin de probabilidad con el nuevo control" y "Nueva clasificacin de riesgo" de la hoja de trabajo Riesgo detallado de GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls. Paso 5: Estimar el costo de la solucin En la siguiente tarea de esta fase corresponde al responsable de mitigacin estimar el costo relativo de cada control propuesto. El equipo de ingeniera de TI debe poder determinar el modo de implementar cada control y proporcionar estimaciones razonablemente precisas acerca de lo que costar la adquisicin, la implementacin y el mantenimiento de cada uno. Debido a que el proceso de administracin de riesgos de seguridad de Microsoft implica un proceso de administracin de riesgos hbrido, no es necesario calcular los costos precisos, basta con unas estimaciones. Durante el anlisis de costo-beneficio, se compararn los valores y los costos relativos de cada control en vez de las cifras financieras absolutas. Cuando el equipo cree estas estimaciones, debe tener en cuenta todos los gastos directos e indirectos que puedan estar asociados a un control. Registre los costos de cada control en la columna etiquetada "Costo de descripcin de controles" de GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls.

    Figura 5.8 Paso 5 de la fase de apoyo a la toma de decisiones Costos de adquisicin Estos costos abarcan el software, el hardware o los servicios relacionados con un nuevo control propuesto. Puede que algunos controles no tengan costos de adquisicin; por ejemplo, la implementacin de un nuevo control puede implicar nicamente la habilitacin de una caracterstica no utilizada anteriormente en un elemento de hardware de red que ya utiliza la organizacin. Otros controles pueden requerir la compra de nuevas tecnologas, como software de servidor de seguridad distribuido o hardware de servidor de seguridad dedicado con capacidad de filtrado de niveles de aplicacin. Algunos controles pueden no requerir que se compre nada sino que se contrate a otra organizacin. Por ejemplo, una organizacin puede contratar a otra empresa para que le proporcione una lista de bloqueo de sistemas de envo de correo no deseado conocidos que se actualice diariamente para poderla aprovechar en sus filtros de correo no deseado que ya estn instalados en los servidores de correo de la organizacin. Puede haber otros controles que la organizacin decida desarrollar por su cuenta; todos los costos relacionados con el diseo, el desarrollo y la prueba de los controles formaran parte de los controles de adquisicin de la organizacin. Costos de implementacin Estos gastos estn relacionados con el personal o los consultores que instalarn y configurarn el nuevo control propuesto. Algunos controles pueden requerir que un equipo grande los especifique, disee, pruebe e implemente correctamente. Un administrador de sistemas experto tambin puede deshabilitar los servicios de sistema no utilizados en todos los equipos de escritorio y mviles en pocos minutos si la organizacin ya ha implementado herramientas de administracin empresarial. Costos continuos Estos costos estn relacionados con las actividades continuas asociadas al nuevo control, como la administracin, la supervisin y el mantenimiento. Pueden parecer bastante difciles de estimar, por lo

    que intente considerarlos en relacin con la cantidad de personas que tienen que participar y el tiempo que cada semana (mes o ao) se necesita dedicar a estas tareas. Piense en un sistema de deteccin de intrusin basado en red slido y distribuido para una gran empresa con oficinas en cuatro continentes. Dicho sistema requiere personas que lo supervisen las 24 horas del da, todos los das, y deben poder interpretar y responder a las alertas eficazmente. Se pueden necesitar ocho o diez (tal vez ms) empleados a tiempo completo para que la organizacin desarrolle totalmente el potencial de este control complejo. Costos de comunicaciones Este gasto est relacionado con la notificacin de nuevas directivas o procedimientos a los usuarios. Para una organizacin con unos cientos de empleados que instale bloqueos electrnicos para su sala de servidores, puede ser suficiente con enviar unos cuantos mensajes de correo electrnico al personal de TI y directores jefe. Pero una organizacin que, por ejemplo, implemente tarjetas inteligentes necesitar establecer muchas comunicaciones antes, durante y despus de la distribucin de las tarjetas inteligentes y los lectores, debido a que los usuarios tendrn que aprender una nueva forma de iniciar sesin en sus equipos y, sin duda alguna, se producirn numerosas situaciones nuevas o inesperadas. Costos de cursos para el personal de TI Estos costos estn asociados al personal de TI que tenga que implementar, administrar, supervisar y realizar el mantenimiento del nuevo control. Considere el ejemplo anterior de la organizacin que ha decidido implementar tarjetas inteligentes. Distintos equipos de la organizacin de TI tendrn diferentes responsabilidades y, por lo tanto, precisarn distintos tipos de cursos. El personal del servicio de asistencia tendr que saber cmo ofrecer ayuda a los usuarios finales a superar problemas habituales, como tarjetas o lectores daados y nmeros de identificacin personal olvidados. El personal del servicio de asistencia tendr que saber cmo instalar, solucionar problemas, diagnosticar y reemplazar los lectores de tarjetas inteligentes. Un equipo de la organizacin de TI, otro del departamento de recursos humanos o quizs otro del departamento de seguridad fsica de la organizacin sern los responsables de proporcionar las tarjetas nuevas y de reemplazo, as como de recuperar las tarjetas de los empleados que se marchen. Costos de cursos para los usuarios Este gasto est relacionado con los usuarios que tengan que incorporar un nuevo comportamiento para trabajar con el nuevo control. En el escenario de las tarjetas inteligentes mencionado anteriormente, todos los usuarios tendrn que comprender el uso de las tarjetas inteligentes y de los lectores, as como

    el cuidado correcto de las tarjetas, ya que la mayora de los diseos son ms sensibles a situaciones extremas fsicas que las tarjetas de crdito o las bancarias. Costos para la productividad y la comodidad Estos gastos estn asociados a los usuarios cuyo trabajo se ver afectado por el nuevo control. En el escenario de las tarjetas inteligentes, se puede suponer que todo resultar ms sencillo para una organizacin despus de las primeras semanas y meses de la implementacin de las tarjetas y de los lectores y de ayudar a los usuarios a superar los problemas iniciales. Pero para la mayora de las organizaciones no sucede as. Por ejemplo, muchas descubrirn que las aplicaciones existentes no son compatibles con las tarjetas inteligentes. En algunos casos esto puede no ser importante, pero qu sucede con las herramientas que el departamento de recursos humanos utiliza para administrar la informacin confidencial de los empleados? O con el software de administracin de relaciones con el cliente que se utiliza en toda la organizacin para realizar el seguimiento de los datos importantes de todos los clientes? Si existen aplicaciones de negocios fundamentales como las anteriores que no son compatibles con las tarjetas inteligentes y estn configuradas para requerir autenticacin de usuario, es posible que la organizacin se deba enfrentar a una situacin difcil. Puede actualizar el software, lo que requerir todava ms costos para nuevas licencias, la implementacin y los cursos. O puede deshabilitar las caractersticas de autenticacin, pero se reducira la seguridad de forma considerable. Tambin puede requerir que los usuarios introduzcan nombres de usuario y contraseas al tener acceso a dichas aplicaciones, pero, de nuevo, los usuarios tendran que recordar contraseas, lo que socava una de las ventajas clave de las tarjetas inteligentes. Costos de auditora y comprobacin de eficacia Una organizacin puede afrontar estos gastos despus de implementar el nuevo control propuesto. Algunos ejemplos de las preguntas que se puede plantear para definir an ms estos controles son:

    Cmo se garantizar que el control realmente hace lo que se supone que debe hacer? Realizarn algunos miembros de la organizacin de TI pruebas de penetracin? Ejecutarn muestras de cdigo malintencionado en el activo que se supone que debe proteger el control?

    Despus de validar la eficacia del control, cmo comprobar la organizacin de forma continuada que el control se sigue aplicando?

    La organizacin debe poder probar que nadie ha modificado o deshabilitado el control de forma accidental o malintencionada y debe determinar a quin se encargar dicha comprobacin. Para los activos muy confidenciales, puede ser necesario que varias personas validen los resultados. Ejemplo de Woodgrove: en las tablas 5.3 y 5.4 siguientes los responsables de mitigacin han determinado los costos de los riesgos. Registre las estimaciones de costos para cada control propuesto en la columna "Costo de descripcin de controles" de GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls. Tabla 5.3: Costos de implementacin de tarjetas inteligentes para VPN y el acceso administrativo Categora Costos adquisicin Notas Estimaciones

    de El costo por tarjeta inteligente es de 15 dlares y por lector 300.000 tambin es de 15 dlares. Slo 10.000 empleados del banco dlares necesitan funciones de red privada virtual (VPN) o acceso administrativo, por lo que el costo total de tarjetas y lectores ser de 300.000 dlares.

    Costos implementacin

    de El banco contratar a una empresa de consultora para que le 900.000 ayude a implementar la solucin con un costo de 750.000 dlares dlares. No obstante, habr costos considerables por el tiempo invertido por los empleados del banco: 150.000 dlares.

    Costos comunicaciones

    de El banco ya dispone de varios mtodos establecidos para 50.000 comunicar noticias a los empleados, como boletines impresos, dlares sitios Web internos y listas de correo electrnico, por lo que los costes para notificar la implementacin de las tarjetas inteligentes no sern importantes.

    Costos

    de

    cursos El banco utilizar la misma organizacin de consultora para 90.000

    para el personal de impartir cursos al personal de TI que ayudar en la dlares TI implementacin; el costo ser de 10.000 dlares. La mayora de los miembros del personal de TI perdern de 4 a 8 horas de trabajo, con un costo global estimado en 80.000 dlares. Costos de cursos El banco utilizar los cursos basados en Web del proveedor de 300.000

    para los usuarios

    las tarjetas inteligentes para ensear a los empleados a dlares utilizarlas; el costo est incluido en el precio del hardware. Cada empleado del banco dedicar aproximadamente una hora en realizar el curso, con un costo global de prdida de productividad de unos 300.000 dlares.

    Costos

    para

    la El banco supone que el usuario medio perder una hora de 400.000

    productividad y la productividad y que uno de cada cuatro llamar al servicio de dlares comodidad asistencia para obtener ayuda relacionada con las tarjetas inteligentes. El costo de la prdida de productividad ser de 300.000 dlares y los gastos de las llamadas al servicio de asistencia sern de 100.000 dlares. Costos de auditora El equipo de administracin de riesgos de seguridad cree que 50.000 y comprobacin de puede auditar y comprobar peridicamente la eficacia del dlares eficacia nuevo control con un costo de 50.000 dlares durante el primer ao. Total 2.090.000 dlares

    Tabla 5.4: Costos de implementacin de tarjetas inteligentes para el acceso local Categora Costos adquisicin Notas Estimaciones

    de El costo por tarjeta inteligente es de 15 dlares y por lector 1.950.000 tambin es de 15 dlares. Dado que los 15.000 empleados del dlares banco necesitarn acceso local, el costo total de las tarjetas y los lectores ser de 450.000 dlares. El banco tambin tendr que actualizar o reemplazar muchas aplicaciones de negocios a un costo importante: 1.500.000 dlares.

    Costos implementacin

    de El banco contratar a una empresa de consultora para que le 900.000 ayude a implementar la solucin con un costo de 750.000 dlares dlares. No obstante, habr costos considerables por el tiempo

    invertido por los empleados del banco: 150.000 dlares. Costos comunicaciones de El banco ya dispone de varios mtodos establecidos para 50.000 comunicar noticias a los empleados, como boletines impresos, dlares sitios Web internos y listas de correo electrnico, por lo que los costes para notificar la implementacin de las tarjetas inteligentes no sern importantes. Costos de cursos El banco utilizar la misma organizacin de consultora para 90.000 para el personal de impartir cursos al personal de TI que ayudar en la dlares TI implementacin; el costo ser de 10.000 dlares. La mayora de los miembros del personal de TI perdern de 4 a 8 horas de trabajo, con un costo global estimado en 80.000 dlares. Costos de cursos El banco utilizar los cursos basados en Web del proveedor de 450.000 para los usuarios las tarjetas inteligentes para ensear a los empleados a dlares utilizarlas; el costo est incluido en el precio del hardware. Cada empleado del banco dedicar aproximadamente una hora en realizar el curso, con un costo global de prdida de productividad de unos 450.000 dlares. Costos para la El banco supone que el usuario medio perder una hora de 600.000

    productividad y la productividad y que uno de cada cuatro llamar al servicio de dlares comodidad asistencia para obtener ayuda relacionada con las tarjetas inteligentes. El costo de la prdida de productividad ser de 450.000 dlares y los gastos de las llamadas al servicio de asistencia sern de 150.000 dlares. Costos de auditora El equipo de administracin de riesgos de seguridad cree que 150.000 y comprobacin de puede auditar y comprobar peridicamente la eficacia del dlares eficacia nuevo control con un costo de 150.000 dlares durante el primer ao. Total 4.190.000 dlares

    Paso 6: Seleccionar la solucin de mitigacin de riesgo El ltimo paso en el anlisis de costo-beneficio consiste en comparar el nivel de riesgo despus de la solucin de mitigacin con el costo de dicha solucin. Tanto el riesgo como el costo contienen valores subjetivos que son difciles de cuantificar en trminos financieros exactos. Utilice los valores cualitativos como una prueba razonable de comparacin. Evite la tentacin de descartar los costos intangibles si se produce el riesgo. Pregunte al responsable del activo qu sucedera si el riesgo se produjera. Pida al responsable que documente su respuesta para evaluar la importancia de la solucin de mitigacin. Esta tctica puede ser tan persuasiva como una comparacin aritmtica de valores cuantitativos.

    Figura 5.9 Paso 6 de la fase de apoyo a la toma de decisiones

    Un error habitual en el anlisis de costo-beneficio consiste en centrarse en el nivel de reduccin riesgo en vez del nivel de riesgo despus de la solucin de riesgo. Se suele denominar riesgo residual. Un ejemplo simple con trminos cuantitativos: si el riesgo se representa como 1000 dlares actualmente y el control propuesto reduce el riesgo en 400 dlares, el responsable de negocios debe aceptar el riesgo tras la solucin de mitigacin de 600 dlares. Aunque la solucin de mitigacin sea menor que 400 dlares, seguir habiendo un riesgo residual de 600 dlares. Ejemplo de Woodgrove: es muy probable que el banco opte por implementar tarjetas inteligentes slo para el acceso remoto, ya que el costo para requerirlas en todas las autenticaciones de usuario es bastante alto. Documente las soluciones de seguridad recomendadas que se han seleccionado para su implementacin antes de pasar a la siguiente fase del proceso de administracin de riesgos de seguridad de Microsoft. Principio de la pgina Resumen

    Durante la fase de apoyo a la toma de decisiones, el equipo de administracin de riesgos de seguridad recopila elementos fundamentales de informacin adicional acerca de cada uno de los riesgos principales identificados en la fase de evaluacin de riesgos. Por cada riesgo se determina si la organizacin debe optar por controlarlo, aceptarlo, transferirlo o evitarlo. A continuacin, el equipo define los requisitos funcionales para cada riesgo. Despus, los responsables de mitigacin, en coordinacin con el equipo de administracin de riesgos de seguridad, crean una lista de posibles soluciones de control. Posteriormente, el equipo estima la reduccin de nivel de riesgo que cada solucin de control proporciona y los costos asociados a cada una. Finalmente, el comit directivo de seguridad selecciona las soluciones de control que los responsables de mitigacin deben implementar en la siguiente fase, Implementacin de controles, que se describe en el siguiente captulo.

    Captulo 6: Implementacin de controles y medicin de la efectividad del programa


    Publicado: 15/10/2004 En esta pgina Informacin general Implementacin de controles Medicin de la efectividad del programa Resumen Conclusin de la gua Informacin general En este captulo se explican las dos ltimas fases del proceso de administracin de riesgos de seguridad de Microsoft: la implementacin de controles y la medicin de la efectividad del programa. La fase de implementacin de controles se explica por s misma: los responsables de mitigacin crean y ejecutan planes en funcin de la lista de soluciones de control surgida durante el proceso de apoyo a la toma de decisiones para mitigar los riesgos identificados en la fase de evaluacin del riesgo. En este captulo se proporcionan vnculos a indicaciones normativas que los responsables de mitigacin de su organizacin pueden considerar tiles para responder a distintos riesgos. La fase de medicin de la efectividad del programa es un proceso continuo en el que el equipo de administracin de riesgos de seguridad comprueba peridicamente que los controles implementados durante la fase anterior estn ofreciendo realmente el nivel de proteccin previsto. Otro paso de esta fase consiste en valorar el progreso global que la organizacin est efectuando en relacin con la

    administracin de riesgos de seguridad como un conjunto. En el captulo se introduce el concepto de un "clculo de riesgos de seguridad" que puede utilizar para realizar el seguimiento del rendimiento de su organizacin. Finalmente, en el captulo se explica la importancia de vigilar los cambios en el entorno informtico, como la adicin y eliminacin de sistemas y aplicaciones o la aparicin de nuevas amenazas y vulnerabilidades. Estos tipos de cambios pueden requerir que la organizacin adopte acciones inmediatas para protegerse de riesgos nuevos o cambiantes. Principio de la pgina Implementacin de controles Durante esta fase, los responsables de mitigacin emplean los controles especificados durante la fase anterior. Un factor de xito fundamental en esta fase del proceso de administracin de riesgos de seguridad de Microsoft consiste en que los responsables de mitigacin busquen un enfoque holstico al implementar las soluciones de control. Deben tener en cuenta todo el sistema de tecnologa de la informacin (TI), toda la unidad de negocios o, incluso, toda la empresa al crear los planes para adquirir e implementar soluciones de mitigacin. En la seccin "Organizacin de controles" de este captulo se ofrecen vnculos a orientacin normativa que pueden resultar tiles para su organizacin al crear planes para implementar las soluciones de control. Esta seccin est organizada en un modelo de defensa en profundidad para facilitarle la bsqueda de orientaciones para solucionar determinados tipos de problemas.

    Figura 6.1 Proceso de administracin de riesgos de seguridad de Microsoft: fase de implementacin de controles Informacin necesaria para la fase de implementacin de controles

    Slo hay una informacin de la fase de apoyo a la toma de decisiones necesaria para la fase de implementacin de controles: la lista de prioridades de soluciones de control que se tienen que implementar. Si ha seguido los procedimientos descritos en el captulo 5, "Apoyo a la toma de decisiones", el equipo de administracin de riesgos de seguridad ha registrado esta informacin y ha presentado sus resultados al comit directivo de seguridad. Participantes en la fase de implementacin de controles Los participantes de esta fase son, principalmente, los responsables de mitigacin; sin embargo, pueden obtener ayuda del equipo de administracin de riesgos de seguridad. La fase de implementacin de controles incluye las siguientes funciones, que se han definido en el captulo 3, "Informacin general acerca de la administracin de riesgos de seguridad":

    Equipo de administracin de riesgos de seguridad (grupo de seguridad de informacin, responsable de evaluacin de riesgos y responsable de registro de evaluacin de riesgos)

    Responsables de mitigacin (arquitectura de TI, ingeniera de TI y operaciones de TI)

    En la siguiente lista se resumen las responsabilidades especficas:


    Ingeniera de TI: determina el modo en que se implementan las soluciones de control Arquitectura de TI: especifica el modo en que las soluciones de control se implementarn de una manera compatible con los sistemas informticos existentes

    Operaciones de TI: implementa soluciones de control tcnico Seguridad de la informacin: contribuye a resolver los problemas que se puedan producir durante las pruebas y la implementacin

    Finanzas: garantiza que los niveles de gasto estn dentro de los presupuestos aprobados

    Como prctica recomendada, el equipo de administracin de riesgos de seguridad debe asignar un tcnico de seguridad para cada riesgo identificado. Un nico punto de contacto reduce el riesgo de que el equipo de administracin de riesgos de seguridad genere mensajes incoherentes y ofrezca un modelo de compromiso ntido a lo largo del proceso de implementacin. Herramientas proporcionadas para la fase de implementacin de controles No hay herramientas incluidas en esta gua relacionadas con la fase de implementacin de controles. Resultados necesarios para la fase de implementacin de controles Durante esta fase del proceso de administracin de riesgos de seguridad de Microsoft, crear planes para implementar las soluciones de control especificadas durante la fase de apoyo a la toma de decisiones. En la tabla siguiente se resumen estos elementos clave y en las secciones posteriores de este captulo tambin se resumen.

    Tabla 6.1: Resultados necesarios para la fase de implementacin de controles Informacin recopilar Soluciones de control que se Descripcin Lista de controles seleccionados por el comit directivo de seguridad e implementados por los responsables de mitigacin Informes de de la Informe o serie de informes creados por los responsables de los mitigacin donde se describe su progreso en la implementacin de las soluciones de control seleccionadas

    implementacin controles

    Organizacin de las soluciones de control El captulo anterior se ha centrado en el proceso de apoyo a la toma de decisiones. El resultado del anlisis en dicha fase han sido las decisiones que el comit directivo de seguridad ha adoptado en relacin con el modo en que la organizacin responder a los riesgos de seguridad identificados durante la anterior fase de evaluacin de riesgos. Puede que algunos riesgos se hayan aceptado o se hayan derivado a terceros; en el caso de los riesgos que se tengan que contrarrestar, se ha creado una lista de prioridades de las soluciones de control. El siguiente paso consiste en disear planes de accin para implementar los controles en un perodo de tiempo explcito. Estos planes deben ser claros y precisos; adems, cada uno se debe asignar a la persona o equipo adecuados para su ejecucin. Utilice prcticas de administracin de proyectos efectivas para realizar un seguimiento del progreso y garantizar una consecucin puntual de los objetivos del proyecto. Nota: Microsoft Solutions Framework (MSF) puede ayudarle a llevar a cabo con xito los planes de accin creados durante esta fase. Se ha diseado para ayudar a las organizaciones a ofrecer soluciones de tecnologa de alta calidad puntuales y segn lo presupuestado. MSF sintetiza un enfoque bien disciplinado orientado hacia los proyectos tecnolgicos basndose en un conjunto definido de principios, modelos, disciplinas, conceptos, orientaciones y prcticas demostradas de Microsoft. Para obtener ms informacin, consulte [

    www.microsoft.com/technet/itsolutions/techguide/msf/default.mspx http://technet.microsoft.com/library/cc936627.aspx ] . Existen varios factores determinantes y fundamentales para el xito en esta fase del proyecto:

    Los ejecutivos encargados del proyecto de administracin de riesgos deben comunicar de forma clara que dichos miembros del personal estn autorizados para implementar los controles. Si no

    se realiza esta declaracin explcita, algunos empleados pueden poner objeciones o incluso resistirse a los esfuerzos de implementar los nuevos controles.

    Al personal encargado de la implementacin de los nuevos controles se le debe permitir cambiar las prioridades de sus responsabilidades existentes. Debe quedar claro a las personas que trabajan en los controles, as como a sus superiores, que este trabajo tiene una alta prioridad. Si no se presupuestan los recursos y el tiempo adecuados, es posible que los controles no se implementen de forma eficaz. Asimismo, una asignacin no adecuada de los recursos puede derivar en problemas injustamente atribuidos a la tecnologa o el control.

    Al personal encargado de implementar los controles se le debe ofrecer apoyo financiero, formacin, equipos y otros recursos necesarios para implementar cada control de forma eficaz.

    El personal que implemente los controles debe registrar su progreso en un informe o serie de informes que se enviarn al equipo de administracin de riesgos de seguridad y al comit directivo de seguridad. El Centro de instrucciones de seguridad de Microsoft (SGC), en [

    www.microsoft.com/security/guidance/default.mspx

    http://www.microsoft.com/security/guidance/default.mspx ] , constituye una coleccin exhaustiva y bien organizada de documentacin que trata una amplia variedad de temas de seguridad. Las orientaciones del sitio pueden ayudar a su organizacin a implementar controles seleccionados de su lista de prioridades. Nota: gran parte de esta seccin se ha elaborado a partir del sitio Web Microsoft Security Content Overview en http://go.microsoft.com/fwlink/?LinkId=20263 [

    http://go.microsoft.com/fwlink/?LinkId=20263 ] ; visite este sitio para obtener las orientaciones de seguridad normativas de Microsoft ms recientes. El resto de esta seccin est organizado segn el modelo de defensa en profundidad de Microsoft (ilustrado a continuacin). De forma similar a los modelos disponibles pblicamente que utilizan otras organizaciones, el modelo de varios niveles de Microsoft organiza los controles en varias categoras amplias. La informacin de cada seccin contiene recomendaciones y vnculos a orientaciones normativas y notas del producto que describen los controles para proteger cada nivel de una red. La orientacin normativa ofrece ayuda paso a paso para planear e implementar una solucin integral. Esta gua se ha probado y validado exhaustivamente en entornos de cliente. Las notas del producto y los artculos normalmente ofrecen buenas referencias tcnicas de las caractersticas de los productos o de componentes de una solucin global; no pueden proporcionar la gran cantidad de informacin que se halla en las orientaciones normativas.

    Nota: el elemento "Seguridad fsica" del siguiente grfico no dispone de la seccin correspondiente en este captulo en la que se recomienden recursos acerca del tema; Microsoft no ha publicado todava una gua detallada al respecto.

    Figura 6.2 Modelo de defensa en profundidad Defensas de la red Una arquitectura de red bien diseada e implementada correctamente proporciona servicios de alta disponibilidad, seguros, escalables, fciles de administrar y confiables. Puede disponer de varias redes en su organizacin y debe evaluar cada una individualmente para asegurarse de que tienen una proteccin correcta o de que las redes de alto valor estn protegidas de las redes inseguras. La implementacin de defensas de red internas incluye la consideracin del diseo de red adecuado, la seguridad de red inalmbrica y, posiblemente, el uso de Seguridad del protocolo de Internet (IPSec) para garantizar que slo los equipos de confianza tengan acceso a los recursos de red crticos. Orientacin normativa Para obtener orientacin normativa acerca de cmo proteger las redes con servidores de seguridad, consulte Windows Server System Reference Architecture Enterprise Design for Firewalls, que forma parte de Windows Server System Reference Architecture, en www.microsoft.com/technet/ [

    itsolutions/techguide/wssra/raguide/Firewall_Services_SB_1.mspx http://www.microsoft.com/technet/itsolutions/techguide/wssra/raguide/Firewall_Services_SB_1.mspx ].

    Para obtener orientacin normativa adicional, consulte el captulo 15,"Seguridad en redes", deImproving Web Application Security: Threats and Countermeasures, en

    http://msdn.microsoft.com/library/default.asp?url=/library/en-us

    /dnnetsec/html/threatcounter.asp http://msdn.microsoft.com/library/default.asp.aspx?url=/library/enus/dnnetsec/html/threatcounter.asp ] .

    Para obtener orientacin normativa acerca de la implementacin de LAN inalmbricas seguras (WLAN) mediante EAP y certificados digitales, consulte Securing Wireless LANs: A Windows Server 2003 Certificate Services Solution en http://go.microsoft.com/fwlink/?LinkId=14843 [

    http://go.microsoft.com/fwlink/?LinkId=14843 ] . Para obtener orientacin normativa acerca de la implementacin de LAN inalmbricas seguras (WLAN) con PEAP y contraseas, consulte Securing Wireless LANs (WLANs) with PEAP and Passwords en http://go.microsoft.com/fwlink/?LinkId=23459 [ http://go.microsoft.com/fwlink/?LinkId=23459 ] . Para obtener orientacin normativa acerca del uso de la segmentacin de red para mejorar la seguridad y el rendimiento, consulte Windows Server System Reference Architecture: Enterprise Design, que forma parte de Windows Server System Reference Architecture, en

    www.microsoft.com/technet/itsolutions/techguide /wssra/raguide/Network_Architecture_1.mspx [

    http://www.microsoft.com/technet/itsolutions/techguide/wssra/raguide/Network_Architecture_1.msp x]. Notas del producto y artculos En el captulo 6, "Overview of IPSec Deployment", de "Deploying Network Services", uno de los volmenes incluidos en el Kit de implementacin de Microsoft Windows Server 2003, en www.microsoft.com/technet/prodtechnol /windowsserver2003/proddocs/deployguide/dnsbj_ips_agqq.asp [

    http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/deployguide/dnsbj_ips _agqq.mspx ] hay disponible informacin acerca de la implementacin de IPSec. En las notas del producto "Using Microsoft Windows IPSec to Help Secure an Internal Corporate Network Server", en www.microsoft.com/downloads/details.aspx?FamilyID=a774012a-ac25-4a1d-8851b7a09e3f1dc9&DisplayLang=en http://www.microsoft.com/downloads/details.aspx?FamilyID=a774012a-ac25-4a1d-8851b7a09e3f1dc9&DisplayLang=en ] , hay disponible informacin acerca del uso de IPSec. Para obtener una explicacin ms amplia de la segmentacin de red y los problemas que puede solucionar un diseo de red slido, consulte "Enterprise Design for Switches and Routers", que forma parte de Windows Server System Reference Architecture, en [

    www.microsoft.com/technet/itsolutions/techguide /wssra/raguide/Network_Devices_SB_1.mspx http://www.microsoft.com/technet/itsolutions/techguide/wssra/raguide/Network_Devices_SB_1.mspx ]. Para obtener informacin general acerca de los distintos tipos de servidores de seguridad disponibles y cmo se utilizan habitualmente, consulte "Servidores de seguridad" en [

    www.microsoft.com/technet/security/topics/network/firewall.mspx [ http://technet.microsoft.com/enus/library/cc700828.aspx ] . En las siguientes notas del producto se puede encontrar ms informacin acerca del control de cuarentena del acceso a la red:

    "Network

    Access

    Quarantine

    Control

    in

    Windows

    Server

    2003"

    en [

    www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx ] .

    "Virtual

    Private

    Networking

    with

    Windows

    Server

    2003:

    Overview"

    en [

    www.microsoft.com/windowsserver2003/techinfo/overview/vpnover.mspx http://www.microsoft.com/windowsserver2003/techinfo/overview/vpnover.mspx ] . Defensas de host

    Los hosts son de dos tipos: clientes y servidores. La proteccin de ambos requiere conseguir un equilibrio entre el grado de proteccin y el nivel de capacidad de uso. Aunque existen excepciones, la seguridad de un equipo normalmente aumenta a medida que se reduce su capacidad de uso. Las defensas de host pueden incluir deshabilitar servicios, quitar derechos de usuario especficos, mantener actualizado el sistema operativo, as como utilizar antivirus y productos de servidor de seguridad distribuidos. Orientacin normativa El sitio Web de administracin de revisiones de Microsoft incluye herramientas y guas para ayudar a las organizaciones a probar, implementar y dar soporte tcnico a las actualizaciones de software de un modo ms eficaz. Consulte: www.microsoft.com/technet/security/topics/patch/default.mspx [

    http://technet.microsoft.com/es-ar/library/cc700845(en-us).aspx ] . Step-by-Step Guide to Securing Windows XP Professional with Service Pack 2 in Small and Medium Businesses se encuentra en http://go.microsoft.com/fwlink/?linkid=19453 [

    http://go.microsoft.com/fwlink/?linkid=19453 ] .

    Para obtener orientacin normativa acerca de cmo proteger Microsoft Windows XP, consulte laGua de seguridad de Windows XP, en http://go.microsoft.com/fwlink/?LinkId=14839 [

    http://go.microsoft.com/fwlink/?LinkId=14839 ] . Para obtener orientacin normativa acerca de cmo proteger Microsoft Windows Server 2003, consulte laGua de seguridad de Windows Server 2003, en http://go.microsoft.com/fwlink/?LinkId=14845 [ http://go.microsoft.com/fwlink/?LinkId=14845 ] . Threats and Countermeasures Guide: Security Settings in Windows Server 2003 and Windows XP constituye una gua de referencia de las principales configuraciones y caractersticas de seguridad incluidas en Windows Server 2003 y Windows XP. Se ha diseado para proporcionar informacin de referencia detallada para su uso con la Gua de seguridad de Windows Server 2003.Est disponible en http://go.microsoft.com/fwlink/?LinkId=15159 [ http://go.microsoft.com/fwlink/?LinkId=15159 ] . Para obtener orientacin normativa acerca de cmo proteger los servidores de Windows 2000, consulteWindows 2000 Security Hardening Guide, en www.microsoft.com/downloads/details.aspx? FamilyID=15E83186-A2C8-4C8F-A9D0-A0201F639A56&DisplayLang=en http://www.microsoft.com/downloads/details.aspx?FamilyID=15E83186-A2C8-4C8F-A9D0A0201F639A56&DisplayLang=en ] . Notas del producto y artculos Los sistemas operativos y las aplicaciones de servidor de Microsoft utilizan distintos protocolos de red para establecer comunicacin entre s y los equipos cliente que tienen acceso a ellos, incluidos los puertos TCP (protocolo de control de transmisin) y UDP (protocolo de datagrama de usuario). Muchos de estos puertos estn documentados en el artculo 832017 de Microsoft Knowledge Base, "Port Requirements for Microsoft Windows Server System", en http://support.microsoft.com/?kbid=832017 [ http://support.microsoft.com/default.aspx?kbid=832017 ] . "Preguntas ms frecuentes acerca del software antivirus" es un artculo breve que proporciona informacin general de alto nivel del software antivirus y consejos acerca de cmo adquirir, instalar y mantener estos tipos de productos. Est disponible en [ [

    www.microsoft.com/security/protect/antivirus.asp http://www.microsoft.com/security/protect/antivirus.asp ] .

    En "Frequently Asked Questions About Internet Firewalls" se describe la importancia de utilizar servidores de seguridad, cundo resulta apropiado instalar software de servidor de seguridad en equipos de usuario final y cmo resolver algunos de los problemas ms habituales relacionados con el

    uso de este tipo de software. Est disponible en www.microsoft.com/security/protect/firewall.asp [ http://www.microsoft.com/security/protect/firewall.asp ] . Defensas de aplicacin Las defensas de aplicacin son fundamentales para el modelo de seguridad. Las aplicaciones existen en el contexto del sistema global, por lo que debe tener en cuenta la seguridad de todo el entorno al evaluar la seguridad de las aplicaciones. Se debe probar exhaustivamente el cumplimiento de seguridad de cada aplicacin antes de ejecutarla en un entorno de produccin. La implementacin de las defensas de aplicacin incluye una arquitectura de aplicaciones correcta, incluida la garanta de que la aplicacin se ejecuta con el mnimo nivel de privilegio con la menor superficie de ataque expuesta posible. Orientacin normativa En Exchange 2003 Hardening Guide se proporciona informacin acerca de cmo proteger Microsoft Exchange 2003 Server. Est disponible en www.microsoft.com/downloads/details.aspx? [

    FamilyID=6a80711f-e5c9-4aef-9a44-504db09b9065&displaylang=en http://www.microsoft.com/downloads/details.aspx?FamilyID=6a80711f-e5c9-4aef-9a44504db09b9065&displaylang=en ] .

    En Security Operations Guide for Exchange 2000se proporciona informacin acerca de cmo proteger Microsoft Exchange 2000 Server. Est disponible en [

    www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.mspx http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.mspx ] .

    En el captulo 18, "Seguridad en servidores de bases de datos", de la gua de la solucin Mejora de la seguridad de aplicaciones Web: Amenazas y contramedidas se incluye informacin normativa acerca de la proteccin de Microsoft SQL Server. Est disponible en http://msdn.microsoft.com/ [

    library/default.asp?url=/library/en-us/dnnetsec/html/THCMCh18.asp http://msdn.microsoft.com/library/default.asp.aspx?url=/library/enus/dnnetsec/html/threatcounter.asp ] .

    En la gua de la solucin Mejora de la seguridad de aplicaciones Web: Amenazas y contramedidas se proporciona una base slida para el diseo, la creacin y la configuracin de aplicaciones Web ASP.NET seguras. Est disponible en http://msdn.microsoft.com/library/default.asp?url=/ [

    library/en-us/dnnetsec/html/ThreatCounter.asp http://msdn.microsoft.com/library/default.asp.aspx?url=/library/enus/dnnetsec/html/threatcounter.asp ] .

    En la gua Building Secure ASP .NET Applicationsse presenta un enfoque prctico y basado en escenarios para disear y crear aplicaciones ASP.NET seguras para Windows 2000 y la versin 1.0 de Microsoft .NET Framework. Se centra en los elementos clave de autenticacin, autorizacin y comunicacin segura dentro de los niveles de las aplicaciones Web .NET distribuidas y entre ellos. Est disponible en http://msdn.microsoft.com/library/ en-us/dnnetsec/html/secnetlpMSDN.asp?frame=true ar/library/aa302420(en-us).aspx ] . Notas del producto y artculos En las notas del producto "Building and Configuring More Secure Web Sites" se incluye informacin detallada acerca de las lecciones que el equipo de seguridad de Microsoft ha aprendido durante el concurso de seguridad en lnea OpenHack 4 de 2002 patrocinado por eWeek. La solucin implementada para el concurso inclua .NET Framework, Microsoft Windows 2000 Advanced Server, la versin 5.0 de Servicios de Internet Information Server (IIS) y SQL Server 2000. Esta solucin resisti ms de 82.500 intentos de ataque y acab la competicin intacta. El documento est disponible en http://msdn.microsoft.com/library/en-us/dnnetsec/html/ openhack.asp [ http://msdn.microsoft.com/en-us/library/aa302426.aspx ] . Defensas de datos Los datos constituyen el recurso ms valioso de la mayora de las organizaciones. En el nivel de cliente, los datos normalmente se almacenan localmente y pueden ser muy vulnerables a los ataques. Los datos se pueden proteger de diferentes maneras, incluido el uso del servicio de archivos de cifrado (EFS) y las copias de seguridad frecuentes y seguras. Principio de la pgina Medicin de la efectividad del programa La fase de medicin de la efectividad del programa permite que el equipo de administracin de riesgos de seguridad documente formalmente el estado actual de los riesgos de la organizacin. A medida que la empresa contina por el ciclo de administracin de riesgos, esta fase tambin contribuye a demostrar el progreso de administrar el riesgo con un nivel aceptable a lo largo del tiempo. Para facilitar la comunicacin del progreso, en esta seccin se presenta el concepto de un clculo de riesgo de seguridad como un indicador de alto nivel del riesgo en una organizacin. El clculo ayuda a demostrar que la administracin de riesgos est realmente integrada en las operaciones de TI. El concepto de "administracin de riesgos integrada" tambin es un atributo clave al determinar el nivel de madurez de [ http://msdn.microsoft.com/es-

    riesgos de su organizacin, tal como se describe en el captulo 3, "Informacin general acerca de la administracin de riesgos de seguridad".

    Figura 6.3 Proceso de administracin de riesgos de seguridad de Microsoft: Fase de medicin de la efectividad del programa Informacin necesaria para la fase de medicin de la efectividad del programa En la siguiente lista se resume la informacin de las fases anteriores que se necesita para la fase de medicin de la efectividad del programa.

    La lista de prioridades de los riesgos que se tienen que mitigar. Si ha seguido los procedimientos descritos en el captulo 4, "Evaluacin del riesgo", habr registrado esta informacin en la hoja de clculo de Microsoft Excel denominada GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls, que se encuentra en la carpeta Herramientas y plantillas creada al desempaquetar el archivo que contiene esta gua y los archivos relacionados.

    La lista de prioridades de las soluciones de control que el comit directivo de seguridad ha seleccionado. Si ha seguido los procedimientos descritos en el captulo 5, "Apoyo a la toma de decisiones", el equipo de administracin de riesgos de seguridad ha registrado esta informacin y ha presentado sus resultados al comit directivo de seguridad.

    Los informes acerca de la implementacin de los controles que los responsables de mitigacin han creado durante la fase de implementacin de controles que describen su progreso en la implementacin de las soluciones de control seleccionadas.

    Participantes de la fase de medicin de la efectividad del programa Los participantes principales de la fase de medicin de la efectividad del programa son los miembros del grupo de seguridad de informacin. Son los encargados de desarrollar el clculo de riesgos de seguridad

    (que se explica ms adelante), comprobar que los controles se han implementado y que mitigan los riesgos de forma eficaz tal como se esperaba y supervisar los cambios en el entorno de los sistemas de informacin que pueden modificar el perfil de riesgo de la organizacin. El grupo de seguridad de informacin proporciona informes continuos al comit directivo de seguridad. Asimismo, los responsables de mitigacin ayudan al equipo mediante la notificacin de los principales cambios en la infraestructura informtica y los detalles de los sucesos de seguridad que se hayan producido. Como recordatorio, el proceso de medicin de la efectividad del programa incluye las siguientes funciones, que se han definido en el captulo 3, "Informacin general acerca de la administracin de riesgos de seguridad":

    Equipo de administracin de riesgos de seguridad (grupo de seguridad de informacin, responsable de evaluacin de riesgos y responsable de registro de evaluacin de riesgos)

    Responsables de mitigacin (arquitectura de TI, ingeniera de TI y operaciones de TI) Comit directivo de seguridad (patrocinador ejecutivo, responsables de negocios, arquitectura e ingeniera de TI)

    Estas responsabilidades se resumen en la siguiente lista:

    Seguridad de informacin: crea informes de resumen para el comit directivo de seguridad en relacin con la eficacia de las soluciones de control que se han implementado y acerca de los cambios en el perfil de riesgo de la organizacin. Adems, crea y mantiene el clculo de riesgos de seguridad de la organizacin.

    Auditora interna: valida la eficacia de las soluciones de control. Ingeniera de TI: comunica los cambios inminentes al equipo de administracin de riesgos de seguridad.

    Arquitectura de TI: comunica los cambios planeados al equipo de administracin de riesgos de seguridad.

    Operaciones de TI: ofrece informacin detallada relacionada con los sucesos de seguridad al equipo de administracin de riesgos de seguridad.

    Herramientas proporcionadas para la fase de medicin de la efectividad del programa No hay herramientas incluidas en esta gua relacionadas con la fase de medicin de la efectividad del programa. Resultados necesarios para la fase de medicin de la efectividad del programa

    Durante esta fase, el equipo de administracin de riesgos de seguridad crea informes acerca del perfil de riesgo de seguridad de la organizacin. En la tabla siguiente se resumen estos elementos clave y en las secciones posteriores de este captulo se describen en detalle. Tabla 6.2: Resultados necesarios para la fase de apoyo a la toma de decisiones Informacin recopilar Cambios en estudio que se Descripcin Informes que explican los cambios en el entorno de los sistemas de informacin que estn en la etapa de planeamiento Cambios aprobados Informes que explican los cambios en el entorno de los sistemas de informacin que estn a punto de comenzar Sucesos de seguridad Informes que detallan los sucesos de seguridad no planeados que afectan al entorno de los sistemas de informacin Resumen efectividad de de la Informe que resume el grado en que las soluciones de control estn las mitigando el riesgo

    soluciones de control Cambios en el perfil de Informe que muestra el modo en que las amenazas identificadas riesgo organizacin de la anteriormente han cambiado debido a otras nuevas amenazas, nuevas vulnerabilidades o cambios en el entorno de los sistemas de informacin de la organizacin Clculo de riesgos de Breve clculo que ilustra el perfil de riesgo actual de la organizacin seguridad Desarrollo del clculo de riesgos de seguridad de la organizacin El clculo de riesgos de seguridad constituye una herramienta importante para comunicar la posicin de riesgo actual de la organizacin. Tambin ayuda a demostrar el progreso de la administracin de riesgos a lo largo del tiempo y puede constituir un elemento de comunicacin fundamental para probar la importancia de la administracin de riesgos y su valor para la organizacin. El clculo debe proporcionar un nivel de resumen del riesgo a la direccin ejecutiva. No est diseado para resumir la vista tctica de los riesgos detallados que se han identificado durante la fase de evaluacin de riesgos.

    Nota: no confunda el concepto del clculo de riesgos de seguridad con los clculos de TI que se describen en otras guas de Microsoft. El desarrollo de un clculo de TI puede constituir una forma eficaz de medir el progreso de una organizacin en relacin con su entorno global de los sistemas de informacin. El clculo de riesgos de seguridad tambin puede ser valioso en este sentido, pero est centrado en una parte especfica del entorno de los sistemas de informacin: la seguridad. El clculo de riesgos de seguridad ayuda al equipo de administracin de riesgos de seguridad a alcanzar un nivel de riesgo aceptable en la organizacin indicando las reas problemticas y centrando las inversiones de TI futuras en ellas. Aunque haya elementos en el clculo que estn clasificados como de alto riesgo, segn la organizacin se puede optar por aceptar el riesgo. Posteriormente, el clculo se puede utilizar para realizar un seguimiento de estas decisiones en un nivel alto y ayuda a revisar las decisiones acerca de los riesgos en ciclos futuros del proceso de administracin de riesgos. En la siguiente figura se representa un clculo de riesgos de seguridad simple organizado por niveles de defensa en profundidad, segn lo descrito en el captulo 4, "Evaluacin del riesgo". Personalice el clculo segn las necesidades de su organizacin. Por ejemplo, algunas organizaciones pueden optar por organizar el riesgo segn unidades de negocios o entornos de TI nicos. (Un entorno de TI es un conjunto de activos de TI que comparten un propsito y un responsable de negocios comunes.) Tambin puede disponer de varios clculos de riesgos de seguridad si su empresa est descentralizada.

    Figura 6.4 Ejemplo de clculo de riesgos de seguridad

    El clculo de riesgos de seguridad tambin puede formar parte de un "mural" de TI de mayor tamao que muestre mtricas clave en las operaciones de TI. La prctica de medir y comunicar las mtricas de TI en un mural tambin es una prctica recomendada en Microsoft. Para obtener ms informacin, consulte "Measuring IT Health with the IT Scorecard" en

    www.microsoft.com/technet/itsolutions/msit/busint/scoretcs.mspx http://www.microsoft.com/technet/itsolutions/msit/busint/scoretcs.mspx ] . Medicin de la efectividad de los controles

    Una vez implementados los controles, resulta importante asegurarse de que proporcionan la proteccin prevista y de que continan aplicndose. Por ejemplo, sera una sorpresa desagradable descubrir que la causa principal de una infraccin de seguridad importante ha sido que el mecanismo de autenticacin de la red privada virtual (VPN) ha permitido que los usuarios no autenticados tuvieran acceso a la red corporativa porque no se ha configurado correctamente durante la implementacin. Incluso sera un descubrimiento todava ms desagradable saber que los intrusos han obtenido acceso a los recursos internos porque un ingeniero de la red ha vuelto a configurar un servidor de seguridad para permitir protocolos adicionales sin obtener aprobacin previa mediante el proceso de control de cambios de la organizacin. Segn el estudio llevado a cabo por el departamento Government Accountability Office de EE.UU. acerca de la administracin de la seguridad de la informacin en las principales organizaciones no federales (GAO/AIMD-98-68), las pruebas directas constituyen el mtodo ms habitual para comprobar de forma eficaz el nivel de reduccin de riesgo logrado por los controles. Existen varios enfoques para llevar a cabo estos tipos de pruebas, entre los que se incluyen las herramientas automatizadas de evaluacin de vulnerabilidades, evaluaciones manuales y pruebas de penetracin. En la evaluacin manual, un miembro del equipo de TI comprueba que se ha aplicado cada control y que parece funcionar correctamente. sta puede ser una tarea lenta, tediosa y propensa a errores cuando se estn comprobando numerosos sistemas. Microsoft ha publicado una herramienta de evaluacin de vulnerabilidades gratuita y automatizada denominada Microsoft Baseline Security Analyzer (MBSA) [ http://www.microsoft.com/technet/security/tools/mbsahome.mspx ] . MBSA puede analizar los sistemas locales y remotos para determinar las revisiones de seguridad crticas que faltan, as como otras configuraciones de seguridad importantes. En [

    www.microsoft.com/technet/security/tools/mbsahome.mspx

    http://www.microsoft.com/technet/security/tools/mbsahome.mspx ] hay disponible ms informacin acerca de MBSA. Aunque MBSA es gratuito y resulta muy til, tambin hay disponibles otras herramientas de evaluacin automatizadas de otros proveedores. El otro enfoque mencionado anteriormente es el de las pruebas de penetracin. En una prueba de penetracin, uno o varios usuarios tienen permiso para realizar pruebas automatizadas y manuales para comprobar si pueden tener acceso a la red de una organizacin de diferentes formas. Algunas

    organizaciones realizan las pruebas de penetracin con expertos de seguridad propios, mientras que otras contratan a expertos externos que estn especializados en realizar estas pruebas. Independientemente de quin efecte las pruebas de penetracin, el grupo de seguridad de informacin debe ser el encargado de administrar el proceso y de realizar el seguimiento de los resultados. Aunque las pruebas de penetracin constituyen un enfoque eficaz, normalmente no detectan una amplia variedad de vulnerabilidades ya que no son tan exhaustivas como una evaluacin de vulnerabilidades implementada correctamente. Por lo tanto, se recomienda complementar las pruebas de penetracin con otros mtodos. Nota: para obtener ms informacin acerca de las pruebas de penetracin, consulte el libro Assessing Network Security, escrito por miembros del equipo de seguridad de Microsoft: Ben Smith, David LeBlanc y Kevin Lam (Microsoft Press, 2004). Tambin puede comprobar el cumplimiento con otros medios. El grupo de seguridad de informacin debe animar a los usuarios de la organizacin a ofrecer comentarios. Adems, el equipo puede instituir un proceso ms formal en el que cada unidad de negocios tenga que enviar informes de cumplimiento peridicos. Como parte de su proceso de respuesta a incidencias de seguridad, el grupo de seguridad de informacin debe crear sus propios informes que documenten los sntomas que originalmente han revelado el problema, los datos expuestos, los sistemas en peligro y el modo de accin del ataque. Las causas de una incidencia de seguridad pueden ser numerosas, incluido cdigo malintencionado como gusanos o virus, usuarios internos que han infringido la directiva accidentalmente, usuarios internos que han expuesto informacin confidencial deliberadamente, piratas informticos externos que trabajan para organizaciones como la competencia o gobiernos extranjeros y desastres naturales. Tambin se deben documentar las medidas que ha adoptado el grupo de seguridad de informacin para contener la incidencia. Tambin se puede realizar un seguimiento de la efectividad del grupo de seguridad de informacin de varias formas; por ejemplo:

    Nmero de incidencias de seguridad generalizadas que han afectado a organizaciones similares pero que se han mitigado gracias a los controles que el equipo de seguridad ha recomendado.

    Tiempo necesario antes de que los servicios informticos estn restaurados por completo despus de las incidencias de seguridad.

    Cantidad y calidad de los contactos de usuario. Nmero de instrucciones presentadas internamente. Nmero de cursos impartidos internamente.

    Nmero de evaluaciones llevadas a cabo. Nmero de conferencias de seguridad informtica a las que se ha asistido. Nmero y calidad de intervenciones en pblico. Certificaciones profesionales conseguidas y mantenidas.

    Reevaluacin de los riesgos de seguridad y los activos nuevos y cambiados Para que la administracin de riesgos de seguridad sea eficaz, tiene que constituir un proceso en la organizacin en vez de ser un proyecto temporal. La reevaluacin peridica del entorno segn el proceso descrito en el captulo 4, "Evaluacin del riesgo", es el primer paso para volver a comenzar el ciclo. Puede parecer evidente, pero el equipo de administracin de riesgos de seguridad debe reutilizar y actualizar las listas de activos, vulnerabilidades, controles y otra propiedad intelectual que se hayan desarrollado durante el proyecto de administracin de riesgos inicial. El equipo puede utilizar sus recursos de una forma ms eficaz si se centra en los cambios del entorno operativo de la organizacin. Si no ha habido cambios en un activo despus de su ltima revisin, no tiene sentido en volver a revisarlo minuciosamente. El equipo puede determinar dnde centrar su atencin si recopila informacin puntual, precisa y relevante acerca de los cambios que afectan a los sistemas de informacin de la organizacin. Los sucesos internos que deben analizarse detalladamente son la instalacin de nuevo software o hardware informtico, nuevas aplicaciones desarrolladas internamente, reorganizaciones corporativas, fusiones y adquisiciones corporativas y divisiones de partes de la organizacin. Tambin puede ser prudente revisar la lista existente de riesgos para determinar si se han producido cambios. Adems, examinar los registros de auditora de seguridad puede ayudar a descubrir nuevas reas de investigacin. El equipo tambin debe estar alerta ante los cambios que puedan afectar a la seguridad de la informacin que se produzcan fuera de la organizacin. Algunos ejemplos son:

    Revisar los sitios Web y las listas de correo de los proveedores en busca de nuevas actualizaciones de seguridad y nueva documentacin de seguridad.

    Supervisar los sitios Web y las listas de correo de otros fabricantes para obtener informacin acerca de nuevas investigaciones de seguridad y nuevos avisos relativos a vulnerabilidades de seguridad.

    Asistir a conferencias y simposios que incluyan debates sobre temas de seguridad de informacin.

    Realizar cursos de seguridad de informacin. Estar al da mediante la lectura de libros acerca de seguridad informtica y de redes.

    Supervisar los avisos de nuevas herramientas y mtodos de ataque.

    Principio de la pgina Resumen Durante la fase de implementacin de cambios, los responsables de mitigacin han implementado las soluciones de control que el comit directivo de seguridad ha elegido durante la fase de apoyo a la toma de decisiones. Los responsables de mitigacin tambin han proporcionado al equipo de administracin de riesgos de seguridad informes acerca de su progreso con relacin a la implementacin de las soluciones de control. En la cuarta fase del proceso de administracin de riesgos de seguridad predominan las actividades continuas que se seguirn realizando hasta que el equipo de administracin de riesgos de seguridad inicie el siguiente ciclo mediante una nueva evaluacin de la seguridad. Entre estas actividades continuas se incluyen informes detallados que explican los cambios en el entorno de los sistemas de informacin que estn en la fase de planeamiento, documentan cambios en el entorno de los sistemas de informacin que estn a punto de comenzar y explican los sucesos de seguridad no planeados que han afectado al entorno de los sistemas de informacin. Esta fase tambin incluye informes del equipo de administracin de riesgos de seguridad que resumen el nivel de mitigacin de riesgos de las soluciones de control y un informe que muestra el modo en que las amenazas identificadas anteriormente han cambiado debido a nuevas amenazas, nuevas vulnerabilidades o cambios en el entorno de los sistemas de informacin de la organizacin. Finalmente, esta fase incluye la creacin y el mantenimiento de un clculo de riesgos de seguridad que demuestra el perfil de riesgo actual de la organizacin. Principio de la pgina Conclusin de la gua En esta gua se ha presentado el enfoque de Microsoft para la administracin de riesgos de seguridad. Se trata de un enfoque proactivo que puede ayudar a las organizaciones de cualquier tamao a responder a las amenazas de seguridad que pueden comprometer el xito de sus negocios. Un proceso de administracin de riesgos de seguridad formal permite que las empresas funcionen del modo ms econmico con un nivel conocido y aceptable de riesgos de negocios y ofrece a las organizaciones una forma coherente y clara para organizar y asignar prioridades a los recursos limitados con el fin de administrar el riesgo. Las ventajas de utilizar una administracin de riesgos de seguridad se apreciarn al implementar controles asequibles que reduzcan el riesgo a un nivel aceptable.

    La definicin de riesgo aceptable, as como el enfoque para administrar el riesgo, vara de una organizacin a otra. No hay una respuesta acertada o errnea; existen numerosos modelos de administracin de riesgos en uso actualmente. Cada modelo ofrece un equilibrio entre precisin, recursos, tiempo, complejidad y subjetividad. La inversin en un proceso de administracin de riesgos, con un marco slido y funciones y responsabilidades bien definidas, prepara la organizacin para articular prioridades, planear la mitigacin de amenazas y afrontar la siguiente amenaza o vulnerabilidad de la empresa. El proceso de administracin de riesgos de seguridad de Microsoft emplea estndares del sector para ofrecer un hbrido de los modelos de administracin de riesgos establecidos en un proceso de cuatro fases iterativos que busca el equilibrio entre el costo y la efectividad. Durante un proceso de evaluacin de riesgos, los pasos cualitativos identifican rpidamente los riesgos ms importantes. A continuacin viene un proceso cuantitativo que se basa en funciones y responsabilidades cuidadosamente definidas. Este enfoque ofrece un gran nivel de detalle y conlleva una comprensin amplia de los riesgos ms importantes. La combinacin de pasos cualitativos y cuantitativos en el proceso de administracin de riesgos proporciona la base sobre la que pueden tomar decisiones slidas acerca del riesgo y la mitigacin, siguiendo un proceso empresarial inteligente. Ahora que ha ledo toda la gua, est preparado para iniciar el proceso; vuelva al captulo 4, "Evaluacin del riesgo", para comenzar.

    Gua de administracin de riesgos de seguridad Introduccin [ http://technet.microsoft.com/es-ve/library/cc163143.aspx ] Captulo 1: Introduccin a la Gua de administracin de riesgos de seguridad [ http://technet.microsoft.com/es-ve/library/dd574340.aspx ]

    Captulo

    2:

    Estudio

    de

    prcticas

    de

    administracin

    de

    riesgos

    de

    seguridad

    http://technet.microsoft.com/es-ve/library/dd574341.aspx ]

    Captulo 3: Informacin general acerca de la administracin de riesgos de seguridad [ http://technet.microsoft.com/es-ve/library/dd574342.aspx ]

    Captulo 4: Evaluacin del riesgo [ http://technet.microsoft.com/es-ve/library/dd574343.aspx ] Captulo 5: Apoyo a la toma de decisiones [ http://technet.microsoft.com/es-

    ve/library/dd574344.aspx ]

    Captulo 6: Implementacin de controles y medicin de la efectividad del programa [ http://technet.microsoft.com/es-ve/library/dd574345.aspx ]

    Apndice

    A:

    Evaluaciones

    de

    riesgos

    ad

    hoc

    http://technet.microsoft.com/es-

    ve/library/dd574336.aspx ]

    Apndice B: Activos comunes del sistema de informacin [ http://technet.microsoft.com/esve/library/dd574337.aspx ]

    Apndice C: Amenazas comunes [ http://technet.microsoft.com/es-ve/library/dd574338.aspx ] Apndice D: Vulnerabilidades [ http://technet.microsoft.com/es-ve/library/dd574339.aspx ]

    Apndice A: Evaluaciones de riesgos ad hoc


    Publicado: 15/10/2004

    En el proceso de administracin de riesgos de seguridad de Microsoft se describe la fase de evaluacin de riesgo como una actividad programada dentro del proceso de administracin de riesgos. La fase de evaluacin de riesgos define los pasos para identificar y asignar prioridades a los escenarios de riesgos conocidos para la organizacin. El resultado es una lista de riesgos con prioridades tanto en el nivel de resumen como en el de detalle. La evaluacin de riesgos programada tambin proporciona los datos para las fases restantes del programa de administracin de riesgos. Aunque la evaluacin de riesgos programada ofrece un gran valor, los riesgos para la empresa cambian y evolucionan continuamente como una parte normal del negocio. Por lo tanto, el equipo de administracin de riesgos de seguridad necesita un proceso definido para identificar y analizar los riesgos independientemente de la fase del ciclo de administracin de riesgos. Esperar a que se analicen los riesgos hasta la prxima tanda programada de evaluacin de riesgos no constituye una prctica lgica. La necesidad inmediata por comprender el riesgo se puede producir en cualquier momento. Por ejemplo, puede resultar evidente que hay falta de consenso sobre el nivel de riesgo en torno a una amenaza potencial o que no se ha comprendido bien. Cuando esto sucede, los distintos participantes pueden ofrecer opiniones y soluciones de mitigacin contradictorias. El equipo de administracin de riesgos de seguridad tiene que documentar una posicin acerca del riesgo y contribuir en el proceso de apoyo a la toma de decisiones, similar al programa de administracin de riesgos formal. Es probable que se solicite al equipo de administracin de riesgos de seguridad que cree requisitos funcionales para un determinado escenario que no puede, ni debe, derivarse sin comprender todos los elementos de riesgo. Esto indica que se precisa una evaluacin de riesgos inmediata y ad hoc. Hay que tener precaucin con las evaluaciones de riesgos que intentan realizar un uso incorrecto del proceso de evaluacin de riesgos como un medio para justificar soluciones o implementaciones preconcebidas. La evaluacin de riesgos

    debe dar como resultado una declaracin imparcial acerca de los riesgos reales asociados a un determinado problema. En el proceso de administracin de riesgos de seguridad de Microsoft se han evaluado varios escenarios de riesgos y, a continuacin, se les han asignado prioridades. En la evaluacin de riesgos ad hoc, los riesgos se analizan caso por caso. Una evaluacin de riesgos ad hoc se centra en un solo problema de riesgo; por ejemplo, "cules son los riesgos asociados al proporcionar a los invitados de la empresa acceso inalmbrico a la red?" o "qu riesgos se corren al permitir que los dispositivos mviles se conecten a los recursos empresariales?". La evaluacin de riesgos ad hoc utiliza la metodologa descrita en el proceso; sin embargo, no es obligatorio establecer prioridades para el riesgo y la solucin frente a otros riesgos de la empresa. Una asignacin de prioridades formal slo puede ser necesaria si la solucin de mitigacin es costosa. Con frecuencia, una comparacin con riesgos similares proporciona suficiente perspectiva con el fin de establecer prioridades para la evaluacin de riesgos ad hoc. Evidentemente, los resultados ad hoc se incorporarn en el proceso formal segn resulte adecuado. La plantilla de discusin de riesgos incluida en la seccin Herramientas de esta gua tambin se puede utilizar para las evaluaciones de riesgos ad hoc. No obstante, es posible que la recopilacin de datos slo requiera investigacin en vez de una reunin de los participantes. El equipo de administracin de riesgos de seguridad tiene que responder a las preguntas clave de la plantilla, pero las respuestas se pueden hallar en el propio equipo. Por ejemplo, si el equipo intenta comprender los riesgos asociados a los dispositivos mviles, la investigacin de la frecuencia de prdida de dispositivos puede constituir una informacin necesaria. Esta informacin tambin se puede obtener mediante una investigacin externa o a travs de los equipos de TI responsables del rea de servicio. La evaluacin de riesgos ad hoc se puede comunicar en un documento estructurado con las siguientes secciones:

    Resumen ejecutivo. Este resumen debe incluir toda la evaluacin y se debe poder extraer de la evaluacin de riesgos como un documento independiente.

    Lista de supuestos relativos al alcance y los objetivos de la evaluacin de riesgos ad hoc. Una descripcin del activo que se proteger y su valor para la empresa. Una declaracin adecuada, segn lo descrito en el proceso de administracin de riesgos de seguridad de Microsoft, que responda a las siguientes preguntas:

    Qu se desea evitar que le suceda al activo? Cmo se puede producir la prdida o exposicin? Cul es el alcance de la exposicin potencial para el activo?

    Qu se est haciendo en la actualidad para minimizar la probabilidad de que se produzca el riesgo o para reducir el impacto si fallan las medidas de proteccin?

    Cul es el riesgo global? Incluya una afirmacin como "Hay una alta probabilidad de que el ataque consiga poner en peligro la integridad de los activos digitales de valor medio, lo que representa un riesgo alto para la organizacin".

    Cules son las acciones que podran reducir la probabilidad en el futuro? Cul es el riesgo global si se implementan los controles posibles?

    Una sola evaluacin de riesgos puede contener varios escenarios de amenaza. En el ejemplo de una solucin de acceso inalmbrico para invitados, un escenario puede ser el riesgo de que un invitado ataque a otro; un segundo escenario puede ser un ataque externo a uno de los invitados; un tercer escenario puede ser un invitado que haga un uso incorrecto del acceso para realizar un ataque a travs de Internet. Debe desarrollar una declaracin de riesgo para todos los escenarios aplicables. Cuando se comprenden los riesgos, puede ser suficiente con comunicarlos. Tambin es posible que el resultado deseado sea una declaracin de los requisitos funcionales del equipo de administracin de riesgos de seguridad. Si se generan requisitos funcionales, se deben asignar a los riesgos especficos a los que se dirigen. Un documento de evaluacin de riesgos con requisitos de seguridad funcionales constituye una herramienta eficaz para que la empresa comprenda el riesgo y decida la mejor solucin de mitigacin.

    Apndice B: Activos comunes del sistema de informacin


    Publicado: 15/10/2004

    En este apndice se enumeran los activos del sistema de informacin que se encuentran habitualmente en organizaciones de varios tipos. Esta lista no pretende ser exhaustiva y es improbable que represente todos los activos del entorno nico de su organizacin. Por lo tanto, es importante que personalice la lista durante la fase de evaluacin de riesgos de su proyecto. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organizacin a empezar. Tabla B.1: Activos comunes del sistema de informacin Clase activo de Entorno global de TI Nombre del activo Clasificacin activo Clasificacin valor de de activo, de

    Mximo nivel de Definicin de siguiente nivel (si es necesario) descripcin del

    activo

    consulte

    la

    ficha

    Definicin de grupo (1-5) Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Infraestructura Equipos de fax 1 Conmutadores de red 3 Enrutadores 3 Herramientas de desarrollo 3 Software de aplicacin de usuario final 1 Software de aplicacin de servidor 1 Telfonos mviles 1 PDA 1 Equipos mviles 3 Equipos de escritorio 1 Servidores 3 Centros de datos 5

    fsica Tangible Infraestructura fsica Tangible Infraestructura fsica Medios extrables (por ejemplo, cintas, 1 disquetes, CD-ROM, DVD, discos duros porttiles, dispositivos de almacenamiento PC Card, dispositivos de almacenamiento USB, etc.) Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Infraestructura fsica Tangible Tangible Tangible Tangible Tangible Datos de intranet Cdigo fuente Datos de intranet Datos recursos humanos Datos de intranet Datos financieros Datos de intranet Datos de publicidad Datos de intranet Contraseas de empleados 5 5 5 5 5 Otos sistemas de control medioambiental 3 Sistemas de filtrado de aire 1 Sistemas de aire acondicionado 3 Sistemas contra incendios 3 Sistemas de alimentacin ininterrumpida 3 Fuentes de alimentacin 3 PBX 3

    Tangible Tangible Tangible Tangible Tangible

    Datos de intranet Claves de cifrado privadas de empleado Datos de intranet Claves de cifrado de sistema informtico Datos de intranet Tarjetas inteligentes Datos de intranet Propiedad intelectual

    5 5 5 5

    Datos de intranet Datos de requisitos normativos (GLBA, HIPAA, 5 CA SB1386, Directiva de proteccin de datos de UE, etc.)

    Tangible

    Datos de intranet Nmeros de seguridad social de empleados 5 de EE.UU.

    Tangible

    Datos de intranet Nmeros empleados

    de

    licencia

    de

    conducir

    de 5

    Tangible Tangible

    Datos de intranet Planes estratgicos

    Datos de intranet Informes de crdito al consumo de los 5 clientes

    Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible

    Datos de intranet Registros mdicos de los clientes

    Datos de intranet Identificadores biomtricos de los empleados 5 Datos de intranet Datos de contacto de negocios de empleados 1 Datos de intranet Datos de contacto personales de empleados Datos de intranet Datos de pedidos Datos de intranet Diseo de infraestructura de red Datos de intranet Sitios Web internos Datos de intranet Datos etnogrficos de empleados Datos de extranet Datos de contratos con socios Datos de extranet Datos financieros de socios 3 5 3 3 3 5 5

    Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible Tangible

    Datos de extranet Datos de contacto de socios Datos de extranet Aplicacin de colaboracin con socios Datos de extranet Claves de cifrado de socios Datos de extranet Informes de crdito de socios Datos de extranet Datos de pedidos de socios Datos de extranet Datos de contratos con proveedores Datos de extranet Datos financieros de proveedores Datos de extranet Datos de contacto de proveedores Datos de extranet Aplicacin de colaboracin con proveedores Datos de extranet Claves de cifrado de proveedores Datos de extranet Informes de crdito de proveedores Datos de extranet Datos de pedidos de proveedores Datos de Internet Aplicacin de ventas de sitio Web Datos de Internet Datos de publicidad de sitio Web Datos de Internet Datos de tarjeta de crdito de clientes Datos de Internet Datos de contacto de clientes Datos de Internet Claves de cifrado pblicas Datos de Internet Notas de prensa Datos de Internet Notas del producto Datos de Internet Documentacin de producto Datos de Internet Materiales de cursos

    3 3 5 3 3 5 5 3 3 5 3 3 5 3 5 3 1 1 1 1 3 5

    Intangible Reputacin

    Intangible Buena voluntad Intangible Moral empleados Intangible Productividad de empleados Servicios de TI Servicios de TI Servicios de TI Servicios de TI Servicios de TI Servicios de TI Servicios de TI Servicios de TI Servicios de TI Servicios de TI Servicios Infraestructura bsica Infraestructura bsica Infraestructura bsica Infraestructura bsica Infraestructura bsica Infraestructura bsica Infraestructura bsica Infraestructura Telefona Acceso telefnico remoto Almacenamiento de datos Uso compartido de archivos Sistema de nombres de dominio (DNS) Microsoft Active Directory Mensajera Microsoft Outlook Web Access (OWA) Mensajera Mensajera Correo electrnico/programacin de

    3 3

    (por 3

    ejemplo, Microsoft Exchange) Mensajera instantnea 1

    Protocolo de configuracin dinmica de host 3 (DHCP) Herramientas de administracin empresarial 3

    de TI Servicios de TI Servicios de TI Servicios de TI

    bsica Infraestructura bsica Infraestructura bsica Otra infraestructura Servicio de nombres de Internet de Microsoft 1 Windows (WINS) Servicios de colaboracin (por ejemplo, 1 Microsoft SharePoint) Acceso a red privada virtual (VPN) 3

    Apndice C: Amenazas comunes


    En este apndice se enumeran las amenazas que probablemente pueden afectar a una amplia gama de organizaciones. La lista no es exhaustiva y, debido a que es esttica, no estar actualizada. Por lo tanto, es importante que quite las amenazas que no son relevantes para su organizacin y agregue las identificadas recientemente durante la fase de evaluacin de riesgos de su proyecto. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organizacin a empezar. Tabla C.1: Amenazas comunes Amenaza Descripcin de alto nivel de la amenaza Incidencia catastrfica Incidencia catastrfica Incidencia catastrfica Incidencia catastrfica Incidencia catastrfica Incidencia catastrfica Incidencia catastrfica Incidencia catastrfica Ejemplo Ejemplo especfico Incendio Inundacin Terremoto Tormenta intensa Ataque terrorista Altercados/disturbios civiles Corrimiento de tierras Avalancha

    Incidencia catastrfica Error mecnico Error mecnico Error mecnico Error mecnico Error mecnico Persona benigna Persona benigna Persona malintencionada Persona malintencionada Persona malintencionada Persona malintencionada Persona malintencionada Persona malintencionada Persona malintencionada Persona malintencionada Persona malintencionada Persona malintencionada Persona malintencionada

    Accidente industrial Corte del suministro elctrico Error de hardware Interrupcin de la red Error de los controles medioambientales Accidente de construccin Empleado desinformado Usuario desinformado Pirata informtico Criminal informtico Espionaje industrial Espionaje patrocinado por el gobierno Ingeniera social Empleado actual descontento Empleado antiguo descontento Terrorista Empleado negligente Empleado deshonesto (sobornado o vctima de chantaje) Cdigo mvil malintencionado

    Apndice D: Vulnerabilidades
    Publicado: 15/10/2004

    En este apndice se enumeran las vulnerabilidades que probablemente pueden afectar a una amplia gama de organizaciones. La lista no es exhaustiva y, debido a que es esttica, no estar actualizada. Por lo tanto, es importante que quite las vulnerabilidades que no son relevantes para su organizacin y agregue las identificadas recientemente durante la fase de evaluacin de riesgos de su proyecto. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organizacin a empezar. Tabla D.1: Vulnerabilidades Clase vulnerabilidad Clase de Vulnerabilidad Ejemplo

    de Breve descripcin de la vulnerabilidad Ejemplo especfico (si es aplicable)

    vulnerabilidad de alto nivel Fsica Fsica Puertas sin cerrojo Acceso no protegido a las

    instalaciones informticas Fsica Sistemas insuficientes Fsica Fsica Fsica Diseo deficiente de edificios Construccin deficiente de edificios Materiales inflamables empleados en la construccin Fsica Materiales inflamables empleados en el acabado Fsica Fsica Ventanas sin cerrojo Paredes que se pueden asaltar fsicamente Fsica Paredes interiores que no sellan la contra incendios

    sala por completo tanto en el techo como en el suelo Natural Instalacin situada sobre una lnea de error Natural Instalacin situada en una zona de inundaciones Natural Instalacin situada en un rea de avalanchas Hardware Hardware Hardware Faltan revisiones Firmware obsoleto Sistemas incorrectamente Hardware Hardware Sistemas sin proteger fsicamente Protocolos de administracin configurados

    permitidos en interfaces pblicas Software Software Software Software Software Software antivirus obsoleto Faltan revisiones Aplicaciones escritas deficientemente Secuencias de comandos entre sitios Aplicaciones escritas deficientemente Insercin de SQL Aplicaciones escritas deficientemente Vulnerabilidades de cdigo como desbordamientos de bfer Software Vulnerabilidades deliberadamente colocadas Puertas traseras del proveedor para la administracin o la recuperacin del sistema Software Vulnerabilidades colocadas Programas espa como aplicaciones

    deliberadamente Software Vulnerabilidades deliberadamente Software Vulnerabilidades deliberadamente Software Errores de configuracin colocadas

    de captura de teclado colocadas Troyanos

    Creacin

    manual

    que

    provoca

    configuraciones incoherentes Software Software Software Medios Comunicaciones Comunicaciones Comunicaciones Comunicaciones Humana Errores de configuracin Errores de configuracin Errores de configuracin Interferencia elctrica Protocolos de red sin cifrar Conexiones a varias redes Se permiten protocolos innecesarios Sin filtrado entre segmentos de red Procedimientos deficientemente Humana Procedimientos deficientemente Humana Procedimientos deficientemente Humana Procedimientos deficientemente Humana Procedimientos deficientemente definidos Infracciones no comunicadas definidos Planes de recuperacin de desastres insuficientes definidos Pruebas en sistemas de produccin definidos Preparacin insuficiente para la respuesta a incidencias definidos Creacin manual Sistemas no protegidos Sistemas no auditados Sistemas no supervisados

    Humana

    Procedimientos deficientemente

    definidos Control de cambios deficiente

    Humana

    Credenciales robadas

    S-ar putea să vă placă și