guía de administración de riesgos de seguridad
TRANSCRIPT
Gua de administracin de riesgos de seguridad Informacin general de la Gua de administracin de riesgos de seguridad Captulo 1: Introduccin a la gua de administracin de riesgos de seguridad Captulo 2: Estudio de prcticas de administracin de riesgos de seguridad Captulo 3: Informacin general acerca de la administracin de riesgos de seguridad Captulo 4: Evaluacin del riesgo Captulo 5: Apoyo a la toma de decisiones Captulo 6: Implementacin de controles y medicin de la efectividad del programa Apndice A: Evaluaciones de riesgos ad hoc Apndice B: Activos comunes del sistema de informacin Apndice C: Amenazas comunes Apndice D: Vulnerabilidades
Gua de administracin de los riesgos de seguridad DescripcinLos clientes se pueden sentir agobiados al tratar de iniciar un plan de administracin de los riesgos de seguridad. Esto ocurre porque no tienen la experiencia interna, los recursos de presupuesto o los parmetros de contratacin externa. Para ayudar a estos clientes Microsoft desarroll la Gua de administracin de los riesgos de seguridad. Con esta gua los clientes de cualquier tipo pueden planear, desarrollar y mantener un programa exitoso de administracin de los riesgos de seguridad. En un proceso de cuatro fases, descrito ms adelante, la gua explica cmo realizar cada fase de un programa de administracin de los riesgos y cmo desarrollar un proceso continuo para medir y manejar los riesgos de seguridad en un nivel aceptable.
Esta gua es tecnolgicamente agnstica y hace referencia a muchos estndares aceptados por la industria para administrar los riesgos de seguridad. Es un importante ejemplo del compromiso de Microsoft de aportar orientacin de calidad que ayude a los clientes para asegurar sus infraestructuras de informtica (IT). Esta gua incorpora las experiencias del mundo real del rea informtica de Microsoft y tambin incluye contribuciones de los clientes y socios de negocios de Microsoft. Esta gua se desarroll, revis y aprob por equipos de expertos acreditados en seguridad. Esta gua y otros temas de orientacin de seguridad estn disponibles en el Centro de seguridad (en ingls) [
http://www.microsoft.com/technet/security/default.mspx ] en www.microsoft.com/technet/security. La retroalimentacin o las preguntas sobre esta gua se deben dirigir a [email protected]. Esta gua consta de seis captulos y cuatro apndices. En esta pgina Captulo 1: Introduccin a la Gua de administracin de los riesgos de seguridad Captulo 2: Encuesta de las prcticas de administracin de los riesgos de seguridad Captulo 3: Descripcin general de la administracin de los riesgos de seguridad Captulo 4: Evaluar los riesgos Captulo 5: Efectuar el soporte de las decisiones Captulo 6: Implementar los controles y medir la eficacia del programa Apndices Recursos relacionados Enve su retroalimentacin
Captulo 1: Introduccin a la Gua de administracin de los riesgos de seguridadEl captulo 1 presenta la Gua de administracin de los riesgos de seguridad (SRMG) y ofrece una breve descripcin general de los captulos subsiguientes. Tambin brinda informacin sobre:
Consejos para tener xito con un programa de administracin de los riesgos de seguridad Trminos y definiciones esenciales Convenciones de estilo en los documentos Referencias para ms informacin
Principio de la pgina Captulo 2: Encuesta de las prcticas de administracin de los riesgos de seguridad El captulo 2 establece la base y ofrece un contexto para la SRMG al revisar otros enfoques de la administracin de los riesgos de seguridad y ciertas consideraciones relacionadas, incluyendo cmo determinar el nivel de madurez de la administracin de riesgos de su empresa.
Principio de la pgina Captulo 3: Descripcin general de la administracin de los riesgos de seguridad
El captulo 3 contiene una perspectiva ms detallada de las cuatro fases del proceso SRMG y presenta algunos conceptos y claves importantes para tener xito. Tambin brinda asesora sobre cmo preparar el programa a travs de una planeacin efectiva y enfatiza la creacin de un Equipo de administracin de los riesgos de seguridad consistente, con roles y responsabilidades bien definidos. Principio de la pgina Captulo 4: Evaluar los riesgos El captulo 4 aborda la primera fase, Evaluar los riesgos, en detalle. Los pasos en esta fase incluyen planear, recopilar los datos y establecer la prioridad de los riesgos. La prioridad de los riesgos se compone de resumen y niveles detallados, equilibrar los enfoques cualitativo y cuantitativo para tener informacin de riesgos confiable dentro de los elementos de compensacin del tiempo y esfuerzo. El resultado de la fase de Evaluar los riesgos es una lista de los riesgos importantes con un anlisis detallado que el equipo puede utilizar para tomar decisiones de negocios durante la siguiente fase del proceso.
Principio de la pgina Captulo 5: Efectuar el soporte de las decisiones El captulo 5 aborda la segunda fase, Efectuar el soporte de las decisiones. Durante esta fase, los equipos determinan cmo resolver los riesgos esenciales de las formas ms efectivas y redituables. Los equipos identifican controles, estiman costos, evalan el grado de reduccin de riesgos y despus determinan qu controles se deben implementar. El resultado de la fase Efectuar el soporte de las decisiones es un plan claro y factible para controlar o aceptar cada uno de los riesgos principales identificados en la fase Evaluar los riesgos.
Principio de la pgina Captulo 6: Implementar los controles y medir la eficacia del programa El captulo 6 aborda las dos fases finales de la SRMG: Implementar los controles y medir la eficacia del programa. En la fase Implementar los controles, los Propietarios de mitigacin crean y ejecutan los planes basados en la lista de soluciones de control que surgen durante el proceso de efectuar el soporte de las decisiones. Al completar las tres primeras fases del proceso de administracin de los riesgos de seguridad, las empresas deben evaluar su progreso con relacin a la administracin de los riesgos de seguridad
completa. La fase final, Medir la eficacia del programa, presenta el concepto de una "Tarjeta de resultados de los riesgos de seguridad" para ayudar en este esfuerzo.
Principio de la pgina Apndices Los apndices incluyen:
Apndice A: Evaluaciones de riesgo Ad-Hoc Apndice B: Activos comunes del sistema informtico Apndice C: Amenazas comunes Apndice D: Vulnerabilidades
Gua de administracin de riesgos de seguridad Captulo 1: Introduccin a la Gua de administracin de riesgos de seguridad Publicado: 15/10/2004 En esta pgina Resumen ejecutivo Destinatarios de la gua mbito de la gua Claves para el xito Trminos y definiciones Convenciones de estilo Obtencin de ayuda para esta gua Informacin adicional Resumen ejecutivo Retos del entorno La mayora de las organizaciones reconocen la funcin fundamental que la tecnologa de la informacin (TI) desempea en sus objetivos de negocios. Pero las infraestructuras de TI extremadamente conectadas de hoy en da existen en un entorno que es cada vez ms hostil: los ataques se efectan con mayor frecuencia y exigen un tiempo de reaccin ms breve. Con frecuencia las organizaciones no pueden reaccionar ante las nuevas amenazas de seguridad antes de que afecten a su negocio. La administracin de la seguridad de sus infraestructuras, y el valor de negocio que ofrecen, se ha convertido en una preocupacin primordial para los departamentos de TI.
Adems, la nueva legislacin que emana de preocupaciones de privacidad, obligaciones financieras y gobernanza corporativa exige que las organizaciones administren sus infraestructuras de TI de un modo ms estricto y eficaz que en el pasado. Muchas agencias gubernamentales y organizaciones que trabajan con dichas agencias estn obligadas por ley a mantener un nivel mnimo de control de la seguridad. Si la seguridad no se administra proactivamente, los ejecutivos y las organizaciones se exponen a riesgos debidos a infracciones que conllevan responsabilidades fiduciarias y legales. Un camino mejor El enfoque de Microsoft para la administracin de riesgos de seguridad proporciona un enfoque proactivo que puede ayudar a las organizaciones de cualquier tamao a responder a los requisitos que presentan estos retos del entorno y legales. Un proceso de administracin de riesgos de seguridad formal permite que las empresas funcionen de un modo ms econmico con un nivel conocido y aceptable de riesgos de negocios. Tambin ofrece a las organizaciones una forma coherente y clara para organizar y asignar prioridades a los recursos limitados con el fin de administrar el riesgo. Las ventajas de utilizar una administracin de riesgos de seguridad se apreciarn al implementar controles asequibles que reduzcan el riesgo a un nivel aceptable. La definicin de riesgo aceptable, as como el enfoque para administrar el riesgo, vara de una organizacin a otra. No hay una respuesta acertada o errnea; existen numerosos modelos de administracin de riesgos en uso actualmente. Cada modelo ofrece un equilibrio entre precisin, recursos, tiempo, complejidad y subjetividad. La inversin en un proceso de administracin de riesgos, con un marco slido y funciones y responsabilidades bien definidas, prepara la organizacin para articular prioridades, planear la mitigacin de amenazas y afrontar la siguiente amenaza o vulnerabilidad de la empresa. Adems, un programa de administracin de riesgos eficaz ayudar a la empresa a realizar un progreso importante hacia el cumplimiento de los nuevos requisitos legislativos. Funcin de Microsoft en la administracin de riesgos de seguridad sta es la primera gua normativa publicada por Microsoft que se centra por completo en la administracin de riesgos de seguridad. Basada en las experiencias propias de Microsoft y en las de sus clientes, esta gua ha sido probada y revisada por clientes, socios y revisores tcnicos durante su desarrollo. El objetivo de este esfuerzo es ofrecer una gua clara y aplicable acerca de cmo implementar un proceso de administracin de riesgos de seguridad que proporcione numerosas ventajas, entre las que se incluyen:
Hacer que los clientes adopten una postura de seguridad proactiva y liberarlos de un proceso reactivo y frustrante.
Poder cuantificar la seguridad al mostrar el valor de los proyectos de seguridad. Ayudar a los clientes a mitigar de forma eficaz los riesgos de mayor envergadura en sus entornos en vez de aplicar recursos escasos a todos los riesgos posibles.
Informacin general acerca de la gua Esta gua emplea estndares del sector para ofrecer un hbrido de los modelos de administracin de riesgos establecidos en un proceso de cuatro fases iterativos que busca el equilibrio entre el costo y la efectividad. Durante un proceso de evaluacin de riesgos, los pasos cualitativos identifican rpidamente los riesgos ms importantes. A continuacin se expone un proceso cuantitativo basado en funciones y responsabilidades definidas cuidadosamente. Este enfoque es muy detallado y conlleva un conocimiento exhaustivo de los riesgos ms importantes. La combinacin de pasos cualitativos y cuantitativos en el proceso de administracin de riesgos proporciona la base sobre la que pueden tomar decisiones slidas acerca del riesgo y la mitigacin, siguiendo un proceso empresarial inteligente. Nota: no se preocupe si algunos de los conceptos que se tratan en este resumen ejecutivo le resultan nuevos; en los captulos se explican detalladamente. Por ejemplo, en el captulo 2, "Estudio de prcticas de administracin de riesgos de seguridad", se examinan las diferencias entre los enfoques cualitativos y cuantitativos de la evaluacin de riesgos. El proceso de administracin de riesgos de seguridad de Microsoft permite que las organizaciones implementen y mantengan procesos para identificar y asignar prioridades a los riesgos en sus entornos de TI. El cambio de los clientes de un enfoque reactivo a uno proactivo mejora fundamentalmente la seguridad en sus entornos. A su vez, una seguridad mejorada facilita una mayor disponibilidad de las infraestructuras de TI y un mayor valor de negocios. El proceso de administracin de riesgos de seguridad ofrece una combinacin de varios enfoques, entre los que se incluyen anlisis cuantitativo puro, anlisis del rendimiento de la inversin en seguridad (ROSI), anlisis cualitativo y enfoques de prcticas recomendadas. Es importante tener en cuenta que en esta gua se trata un proceso y que no tiene requisitos de tecnologa especficos. Factores importantes para el xito Existen numerosas claves para lograr una implementacin satisfactoria de un programa de administracin de riesgos de seguridad en una organizacin. Algunas de ellas resultan de especial importancia y se presentarn aqu; otras se tratarn en la seccin "Claves para el xito" ms adelante en este captulo. En primer lugar, no se puede llevar a cabo una administracin de riesgos de seguridad si no se cuenta con el apoyo y el compromiso del equipo directivo. Cuando la administracin de riesgos de seguridad se
dirige desde la cpula, las organizaciones pueden articular la seguridad en trminos de valor para la empresa. A continuacin, una definicin clara de funciones y responsabilidades resulta fundamental para el xito. Los responsables de negocios son los encargados de identificar las repercusiones de un riesgo. Tambin se encuentran en la mejor posicin para articular el valor de negocio de los activos que son necesarios para llevar a cabo sus funciones. El grupo de seguridad de informacin se encarga de identificar la probabilidad de que se produzca el riesgo teniendo en cuenta los controles actuales y propuestos. El grupo de tecnologa de informacin es el responsable de implementar los controles que el comit directivo de seguridad ha seleccionado cuando la probabilidad de una vulnerabilidad presenta un riesgo inaceptable. Prximos pasos La inversin en un programa de administracin de riesgos de seguridad (con un proceso slido y factible as como funciones y responsabilidades definidas) prepara a una organizacin a articular prioridades, planear la mitigacin de amenazas y afrontar amenazas y vulnerabilidades crticas para la empresa. Utilice esta gua para evaluar su preparacin y orientar sus capacidades de administracin de riesgos de seguridad. Si necesita o desea ms ayuda, pngase en contacto con un equipo de cuentas de Microsoft o con un socio de Microsoft Services. Principio de la pgina Destinatarios de la gua Esta gua se ha diseado principalmente para consultores, especialistas en seguridad, arquitectos de sistemas y profesionales de TI que son responsables de planear el desarrollo y la implementacin de aplicaciones o infraestructuras en varios proyectos. Estas funciones incluyen las siguientes descripciones de trabajo comunes:
Diseadores y arquitectos de sistemas que son responsables de los esfuerzos en materia de arquitectura de sus organizaciones.
Miembros del equipo de seguridad de informacin que estn centrados exclusivamente en proporcionar seguridad entre las plataformas de una organizacin.
Auditores de seguridad y de TI que son responsables de garantizar que las organizaciones han adoptado las precauciones adecuadas para proteger sus activos de negocios importantes.
Ejecutivos, analistas de negocio y responsables de la toma de decisiones con objetivos y requisitos de negocios cruciales que necesitan el apoyo de TI.
Consultores y socios que necesiten herramientas de transferencia de conocimientos para clientes y socios empresariales.
Principio de la pgina mbito de la gua El enfoque de esta gua est en el modo de planear, establecer y mantener un proceso de administracin de riesgos de seguridad satisfactorio en las organizaciones de cualquier tamao y tipo. En el material se explica cmo llevar a cabo cada fase de un proyecto de administracin de riesgos y el modo de convertir el proyecto en un proceso continuo que permite a la organizacin adoptar los controles ms tiles y asequibles para mitigar los riesgos de seguridad. Informacin general del contenido La Gua de administracin de riesgos de seguridad consta de seis captulos, que se describen a continuacin brevemente. Cada captulo se basa en una prctica completa necesaria para iniciar y poner en funcionamiento de forma eficaz un proceso de administracin de riesgos de seguridad continuo en la organizacin. A continuacin de los captulos se incluyen varios apndices y herramientas que le ayudarn a organizar sus proyectos de administracin de riesgos de seguridad. Captulo 1: Introduccin a la Gua de administracin de riesgos de seguridad En este captulo se presenta la gua y se ofrece una breve descripcin de cada captulo. Captulo 2: Estudio de prcticas de administracin de riesgos de seguridad Es importante sentar las bases del proceso de administracin de riesgos de seguridad mediante la revisin de las distintas formas en que las organizaciones han enfocado la administracin de riesgos de seguridad en el pasado. Los lectores que ya tengan experiencia en administracin de riesgos de seguridad pueden consultar el captulo rpidamente; se recomienda que los que tengan poca experiencia en la seguridad o la administracin de riesgos lo lean detenidamente. El captulo comienza con una revisin de los puntos fuertes y dbiles de los enfoques proactivo y reactivo de la administracin de riesgos. Posteriormente, se vuelve a analizar el concepto de madurez de administracin de riesgos organizativa que se presenta en el captulo 1, "Introduccin a la gua de administracin de riesgos de seguridad". Finalmente, en el captulo se evala y se comparan la administracin de riesgos cualitativa y la administracin de riesgos cuantitativa, los dos mtodos tradicionales. El proceso se presenta como un mtodo alternativo, que proporciona un equilibrio entre estas metodologas, lo que deriva en un proceso que ha demostrado su eficacia en Microsoft. Captulo 3: Informacin general acerca de la administracin de riesgos de seguridad En este captulo se proporciona un examen ms detallado del proceso de administracin de riesgos de seguridad de Microsoft y se presentan algunos de los conceptos y claves importantes para el xito.
Tambin se ofrece orientacin acerca de cmo prepararse para el proceso mediante un planeamiento eficaz y la creacin de un equipo de administracin de riesgos de seguridad slido con funciones y responsabilidades bien definidas. Captulo 4: Evaluacin del riesgo En este captulo se explica detalladamente la fase de evaluacin de riesgos del proceso de administracin de riesgos de seguridad de Microsoft. Los pasos de esta fase incluyen el planeamiento, la recopilacin de datos facilitados y la asignacin de prioridades a los riesgos. El proceso de evaluacin de riesgos consta de varias tareas, algunas de las cuales pueden resultar muy exigentes para una organizacin grande. Por ejemplo, la identificacin y la determinacin de los valores de los activos de negocios pueden durar mucho tiempo. Otras tareas, como la identificacin de amenazas y de vulnerabilidades, requieren grandes conocimientos tcnicos. Los retos relacionados con estas tareas ilustran la importancia de un planeamiento correcto y de la creacin de un equipo de administracin de riesgos de seguridad slo, tal como se recalca en el captulo 3, "Informacin general acerca de la administracin de riesgos de seguridad". En la asignacin de prioridades a los riesgos de resumen, el equipo de administracin de riesgos de seguridad utiliza un enfoque cualitativo para clasificar la lista completa de riesgos de seguridad para poder identificar los ms importantes y someterlos a un mayor anlisis. A continuacin, los riesgos principales se someten a un anlisis detallado mediante tcnicas cuantitativas. El resultado es una lista breve de los riesgos ms importantes con mtricas detalladas que el equipo puede utilizar para tomar decisiones sensatas durante la siguiente fase del proceso. Captulo 5: Apoyo a la toma de decisiones Durante la fase de apoyo a la toma de decisiones del proceso, el equipo de administracin de riesgos de seguridad determina cmo afrontar los riesgos clave del modo ms eficaz y asequible. El equipo identifica los controles, determina los costos asociados a la adquisicin, implementacin y soporte de cada control, evala la reduccin del nivel de riesgo que logra cada control y, finalmente, trabaja con el comit directivo de seguridad para determinar los controles que se implementarn. El resultado final es un plan claro y aplicable para controlar o aceptar cada uno de los riesgos principales identificados en la fase de evaluacin de riesgos. Captulo 6: Implementacin de controles y medicin de la efectividad del programa En este captulo se tratan las dos ltimas fases del proceso de administracin de riesgos de seguridad de Microsoft: la implementacin de controles y la medicin de la efectividad del programa. La fase de implementacin de controles se explica por s misma: los responsables de mitigacin crean y ejecutan
planes en funcin de la lista de soluciones de control surgida durante el proceso de apoyo a la toma de decisiones para mitigar los riesgos identificados en la fase de evaluacin de riesgos. En este captulo se proporcionan vnculos a indicaciones normativas que los responsables de mitigacin de su organizacin pueden considerar tiles para responder a distintos riesgos. La fase de medicin de la efectividad del programa es un proceso continuo en el que el equipo de administracin de riesgos de seguridad comprueba peridicamente que los controles implementados durante la fase anterior estn ofreciendo realmente el nivel de proteccin previsto. Otro paso de esta fase consiste en valorar el progreso global que la organizacin est efectuando en relacin con la administracin de riesgos de seguridad como un conjunto. En el captulo se introduce el concepto de un "clculo de riesgos de seguridad" que puede utilizar para realizar el seguimiento de la actuacin de su organizacin. Finalmente, en el captulo se explica la importancia de vigilar los cambios en el entorno informtico, como la adicin y eliminacin de sistemas y aplicaciones o la aparicin de nuevas amenazas y vulnerabilidades. Estos tipos de cambios pueden requerir que la organizacin adopte acciones inmediatas para protegerse de riesgos nuevos o cambiantes. Apndice A: Evaluaciones ad hoc En este apndice se compara el proceso de evaluacin de riesgos de empresa formal con el enfoque ad hoc que muchas organizaciones adoptan. Se destacan las ventajas y las desventajas de cada mtodo y se sugiere cundo resulta ms sensato utilizar uno u otro. Apndice B: Activos comunes del sistema de informacin En este apndice se enumeran los activos del sistema de informacin que se encuentran habitualmente en organizaciones de varios tipos. Esta lista no pretende ser exhaustiva y es improbable que represente todos los activos del entorno nico de su organizacin. Por lo tanto, es importante que personalice la lista durante el proceso de evaluacin de riesgos. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organizacin a empezar. Apndice C: Amenazas comunes En este apndice se enumeran las amenazas que probablemente pueden afectar a una amplia gama de organizaciones. La lista no es exhaustiva y, debido a que es esttica, no estar actualizada. Por lo tanto, es importante que quite las amenazas que no son relevantes para su organizacin y agregue las identificadas recientemente durante la fase de evaluacin de su proyecto. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organizacin a empezar. Apndice D: Vulnerabilidades
En este apndice se enumeran las vulnerabilidades que probablemente pueden afectar a una amplia gama de organizaciones. La lista no es exhaustiva y, debido a que es esttica, no estar actualizada. Por lo tanto, es importante que quite las vulnerabilidades que no son relevantes para su organizacin y agregue las identificadas recientemente durante el proceso de evaluacin de riesgos. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organizacin a empezar. Herramientas y plantillas En esta gua se incluye una serie de herramientas y plantillas que facilitarn a su organizacin la implementacin del proceso de administracin de riesgos de seguridad de Microsoft. Estas herramientas y plantillas estn incluidas en un archivo WinZip autoextrable que est disponible en el Centro de descarga. Tenga en cuenta que la descarga tambin contiene una copia de esta gua. Al extraer los archivos del archivo de almacenamiento descargado, se crea la siguiente estructura de carpetas en la ubicacin especificada:
\Gua de administracin de riesgos de seguridad: contiene la versin de esta gua en un archivo de formato de documento porttil (PDF).
\Gua de administracin de riesgos de seguridad\Herramientas y plantillas: contiene los siguientes archivos:
Plantilla de recopilacin de datos (GARSHerramienta1-Herramienta de recopilacin de datos.doc). Puede utilizar esta plantilla en la fase de evaluacin de riesgos durante los talleres que se describen en el captulo 4, "Evaluacin del riesgo".
Hoja de trabajo Anlisis de riesgos de nivel de resumen (GARSHerramienta2-Nivel de riesgo de resumen.xls). Esta hoja de trabajo de Microsoft Excel ayudar a su organizacin a realizar el primer paso del anlisis de riesgos: el anlisis de nivel de resumen.
Hoja de trabajo Anlisis de riesgos de nivel de detalle (GARSHerramienta3-Asignacin de prioridades a los riesgos de nivel detallado.xls). Esta hoja de trabajo de Excel ayudar a su organizacin a realizar un anlisis ms exhaustivo de los riesgos principales identificados durante el anlisis de nivel de resumen.
Programa de ejemplo (GARSHerramienta4-Programa de proyecto de ejemplo.xls). Esta hoja de trabajo de Excel muestra un programa de proyecto de alto nivel para el proceso de administracin de riesgos de seguridad. Incluye las fases, los pasos y las tareas descritos a lo largo de la gua.
Principio de la pgina Claves para el xito Siempre que una organizacin emprende una nueva iniciativa importante, deben existir varios elementos fundamentales si se desea que el esfuerzo tenga xito. Microsoft ha identificado los componentes que deben existir antes de la implementacin de un proceso de administracin de riesgos de seguridad con xito y que deben seguir existiendo una vez se ha puesto en marcha. Se trata de:
Patrocinio ejecutivo. Lista bien definida de los participantes en la administracin de riesgos. Madurez organizativa en administracin de riesgos. Ambiente de comunicaciones abiertas. Espritu de trabajo en equipo. Visin holstica de la organizacin. Autoridad de equipo de administracin de riesgos de seguridad.
En las siguientes secciones se tratan estos elementos necesarios en todo el proceso de administracin de riesgos; los adicionales que resulten pertinentes para fases especficas se indican en los captulos donde se explican dichas fases. Patrocinio ejecutivo Los directivos deben apoyar de forma clara y con entusiasmo el proceso de administracin de riesgos de seguridad. Sin este patrocinio, los participantes pueden oponerse o socavar los esfuerzos para utilizar la administracin de riesgos con el fin de lograr que la organizacin sea ms segura. Asimismo, sin un patrocinio ejecutivo claro, los empleados pueden hacer caso omiso a las directivas acerca del modo de llevar a cabo su trabajo o no ayudar a proteger los activos organizativos. Existen numerosos motivos posibles por los que los empleados no colaboren. Entre otros, se puede mencionar la resistencia generalizada a los cambios, la falta de consideracin acerca de la importancia de una administracin de riesgos eficaz, la creencia no exactamente cierta de que ellos, como individuos, poseen unos conocimientos slidos acerca de cmo proteger los activos de negocios aunque su punto de vista pueda no ser tan amplio o profundo como el del equipo de administracin de riesgos de seguridad o la creencia de que su parte de la organizacin nunca ser objetivo de los posibles piratas informticos. El patrocinio implica lo siguiente:
Delegacin de autoridad y responsabilidad al equipo de administracin de riesgos de seguridad para un alcance de proyecto articulado de forma clara.
Apoyo a la participacin de todo el personal segn sea necesario.
Asignacin de recursos suficientes, como personal y recursos financieros. Apoyo claro y enrgico al proceso de administracin de riesgos de seguridad. Participacin en la revisin de los resultados y las recomendaciones del proceso de administracin de riesgos de seguridad.
Lista bien definida de los participantes en la administracin de riesgos En esta gua con frecuencia se hace referencia al trmino participantes, que en este contexto significa miembros de la organizacin que estn interesados en los resultados del proceso de administracin de riesgos de seguridad. El equipo de administracin de riesgos de seguridad tiene que saber quines son todos los participantes, incluido el propio equipo nuclear as como los patrocinadores ejecutivos. Tambin se incluyen las personas que se encargan de los activos de negocios que se evaluarn. El personal de TI responsable de disear, implementar y administrar los activos de negocios tambin son participantes clave. Los participantes se deben identificar para que se puedan incorporar al proceso de administracin de riesgos de seguridad. El equipo de administracin de riesgos de seguridad debe dedicar tiempo en ayudarles a comprender el proceso y el modo en que pueden colaborar para proteger sus activos y ahorrar dinero a largo plazo. Madurez organizativa en administracin de riesgos Si una organizacin no dispone actualmente de un proceso de administracin de riesgos de seguridad, el proceso de Microsoft puede implicar demasiados cambios para implementarlo por completo. Aunque una organizacin tenga algunos procesos informales, como esfuerzos ad hoc que se ponen en marcha como respuesta a problemas de seguridad especficos, el proceso puede parecer abrumador. No obstante, puede resultar eficaz en organizacin con ms madurez en administracin de riesgos; la madurez se hace patente en cuestiones como procesos de seguridad bien definidos y un conocimiento y aceptacin slidos de la administracin de riesgos de seguridad en muchos niveles de la organizacin. En el captulo 3, "Informacin general acerca de la administracin de riesgos de seguridad", se trata el concepto de madurez de administracin de riesgos de seguridad y cmo calcular el nivel de madurez de su organizacin. Ambiente de comunicaciones abiertas Muchas organizaciones y proyectos funcionan exclusivamente sobre la base de "quien necesite saberlo", que con frecuencia provoca equivocaciones y merma la capacidad de un equipo para ofrecer una solucin satisfactoria. El proceso de administracin de riesgos de seguridad de Microsoft requiere un enfoque abierto y honesto de las comunicaciones, tanto dentro del equipo como con los participantes
clave. Un flujo libre de la informacin no slo reduce el riesgo de equivocaciones y esfuerzos desperdiciados, sino que tambin garantiza que todos los miembros del equipo pueden contribuir para reducir las incertidumbres que rodean al proyecto. Un debate abierto y honesto acerca de los riesgos que se han identificado y los controles que pueden mitigarlos de forma eficaz resulta crucial para el xito del proceso. Espritu de trabajo en equipo La solidez y la validez de las relaciones entre todas las personas que trabajan en el proceso de administracin de riesgos de Microsoft tendrn un efecto muy importante en el esfuerzo. Independientemente del apoyo de los directivos, las relaciones establecidas entre el personal y responsables de seguridad y el resto de la organizacin son fundamentales para el xito global del proceso. Resulta muy importante que el equipo de administracin de riesgos de seguridad fomente un espritu de trabajo en equipo con cada uno de los representantes de las unidades de negocios con los que trabajen a lo largo del proyecto. El equipo puede facilitar este hecho si demuestra de forma eficaz el valor de negocios de la administracin de riesgos de seguridad a los responsables individuales de las unidades de negocios y si muestra al personal el modo en que el proyecto, a largo plazo, puede facilitarles su trabajo. Visin holstica de la organizacin Todos los participantes implicados en el proceso de Microsoft, en concreto el equipo de administracin de riesgos de seguridad, deben tener en cuenta a toda la organizacin durante su trabajo. Lo que resulta adecuado para un empleado concreto no suele serlo para la organizacin como un conjunto. Del mismo modo, lo que es ms beneficioso para una unidad de negocios puede no corresponder a los mejores intereses de la organizacin. El personal y los responsables de una determinada unidad de negocios intentarn instintivamente que los resultados del proceso sean beneficiosos para ellos y sus partes de la organizacin. Autoridad a travs del proceso Los participantes del proceso de administracin de riesgos de seguridad de Microsoft aceptan la responsabilidad de identificar y controlar los riesgos de seguridad ms importantes para la organizacin. Con el fin de mitigar de forma eficaz estos riesgos mediante la implementacin de controles razonables, tambin necesitan autoridad suficiente para efectuar los cambios adecuados. Los miembros del equipo deben poder cumplir los compromisos asignados. Para ello, es necesario que a los miembros del equipo se les concedan los recursos necesarios para llevar a cabo su trabajo, que sean responsables de las
decisiones que afecten a su trabajo y que comprendan los lmites de su autoridad y las rutas de traslado a niveles superiores disponibles para tratar los problemas que trasciendan dichos lmites. Principio de la pgina Trminos y definiciones En ocasiones, la terminologa relacionada con la administracin de riesgos de seguridad puede resultar difcil de entender. En otras ocasiones, un trmino de fcil identificacin puede ser interpretado de forma distinta por diferentes personas. Por estos motivos, es importante que comprenda las definiciones que los autores de esta gua han utilizado para los trminos importantes que aparecen en ella. Muchas de las definiciones indicadas a continuacin proceden de documentos publicados por dos organizaciones: International Standards Organization (ISO) e Internet Engineering Task Force (IETF). Las direcciones Web de dichas organizaciones se proporcionan en la seccin "Informacin adicional" ms adelante en este captulo. En la siguiente lista se proporciona una perspectiva unificada de los componentes clave de la administracin de riesgos de seguridad:
Expectativa de prdida anual (ALE): importe monetario total que una organizacin perder en un ao si no se emprende ninguna accin para mitigar un riesgo.
Frecuencia anual (ARO): nmero de veces que se prev que se produzca un riesgo durante un ao.
Activ o : cualquier elemento de valor para una organizacin, como componentes de hardware y software, datos, personas y documentacin.
Disponibilidad: propiedad de un sistema o un recurso del sistema que garantiza que se puede tener acceso y utilizar segn lo solicite un usuario de sistema autorizado. La disponibilidad es una de las caractersticas bsicas de un sistema seguro.
CID: consulte confidencialidad, integridad y disponibilidad. Confidencialidad: propiedad de que la informacin no se revela ni pone a disposicin de personas, entidades o procesos no autorizados (ISO 7498-2).
Control: medio organizativo, de procedimiento o tecnolgico para administrar el riesgo; es sinnimo de proteccin o contramedida.
Anlisis de costo-beneficio: estimacin y comparacin del valor relativo y el costo asociado a cada control propuesto para que se implementen los ms eficaces.
Apoyo a la toma de decisiones: asignacin de prioridades a los riesgos segn el anlisis de costo-beneficio. El costo de la solucin de seguridad para mitigar un riesgo se compara con la ventaja para el negocio de mitigar el riesgo.
Defensa en profundidad: enfoque en el que se utilizan varios niveles de seguridad para protegerse del error de un solo componente de seguridad.
Aprovechamiento: medio de utilizar una vulnerabilidad para poner en peligro las actividades de negocios o la seguridad de la informacin.
Exposicin: accin de amenaza en la que los datos confidenciales se revelan a una entidad no autorizada (RFC 2828). El proceso de administracin de riesgos de seguridad de Microsoft limita esta definicin para centrarse en el alcance de los daos en un activo empresarial.
Efecto: prdida de negocios global prevista cuando una amenaza aprovecha una vulnerabilidad en un activo.
Integridad: propiedad de que los datos no se han modificado ni destruido de un modo no autorizado (ISO 7498-2).
Mitigacin: solucin de un riesgo mediante la adopcin de medidas diseadas para contrarrestar la amenaza.
Solucin de mitigacin: implementacin de un control (organizativo, de procedimiento o tecnolgico) para hacer frente a un riesgo de seguridad.
Probabilidad: posibilidad de que se produzca un suceso. Administracin de riesgos cualitativa: enfoque de la administracin de riesgos en el que los participantes asignan valores relativos a activos, riesgos, controles y efectos.
Administracin de riesgos cuantitativa: enfoque de la administracin de riesgos en el que los participantes intentan asignar valores numricos objetivos (por ejemplo, valores monetarios) a activos, riesgos, controles y efectos.
Reputacin: opinin que las personas tienen de una organizacin; la reputacin de la mayora de las organizaciones tiene un valor real aunque sea intangible y difcil de calcular.
Rendimiento de la inversin en seguridad (ROSI): importe monetario total que una organizacin prev ahorrar en un ao si implementa un control de seguridad.
Riesgo: combinacin de la probabilidad de un suceso y sus consecuencias (gua 73 de ISO). Evaluacin de riesgos: proceso mediante el que se identifican los riesgos y se determinan sus efectos.
Administracin de riesgos: proceso para determinar un nivel de riesgo aceptable, evaluar el nivel de riesgo actual, adoptar medidas para reducir el riesgo al nivel aceptable y mantener dicho nivel de riesgo.
Expectativa de prdida simple (SLE): importe total de los ingresos que se perdern si se produce una vez un riesgo.
Amenaza: causa posible de un efecto no deseado en un sistema u organizacin (ISO 13335-1). Vulnerabilidad: cualquier debilidad, proceso administrativo, acto o exposicin fsica que permita que una amenaza ataque a un activo de informacin.
Captulo 2: Estudio de prcticas de administracin de riesgos de seguridadPublicado: 15/10/2004
Este captulo comienza con una revisin de los puntos fuertes y dbiles de los enfoques proactivo y reactivo de la administracin de riesgos de seguridad. A continuacin, en el captulo se evalan y se comparan la administracin de riesgos de seguridad cualitativa y la cuantitativa, los dos mtodos tradicionales. El proceso de administracin de riesgos de seguridad de Microsoft se presenta como un mtodo alternativo, que proporciona un equilibrio entre estas metodologas, lo que deriva en un proceso que ha demostrado su eficacia en Microsoft. Nota: es importante sentar las bases del proceso de administracin de riesgos de seguridad mediante la revisin de las distintas formas en que las organizaciones han enfocado la administracin de riesgos de seguridad en el pasado. Los lectores que ya tengan experiencia en administracin de riesgos de seguridad pueden consultar el captulo rpidamente; se recomienda que los que tengan poca experiencia en la seguridad o la administracin de riesgos lo lean detenidamente. En esta pgina Comparacin Enfoques de de los enfoques de de administracin prioridades a de riesgos riesgos
asignacin
Proceso de administracin de riesgos de seguridad de Microsoft Comparacin de los enfoques de administracin de riesgos Muchas organizaciones se han introducido en la administracin de riesgos de seguridad debido a la necesidad de responder a una incidencia de seguridad relativamente pequea. Por ejemplo, el equipo de un empleado se infecta con un virus y un responsable de la oficina convertido en experto informtico debe averiguar cmo tiene que erradicar el virus sin destruir el equipo ni los datos que contiene. Independientemente de cul sea la incidencia inicial, a medida que aparecen cada vez ms problemas relacionados con la seguridad y comienzan a tener repercusiones en los negocios, muchas
organizaciones sienten frustracin al tener que responder a una crisis tras otra. Desean una alternativa a este enfoque reactivo, una alternativa que reduzca la probabilidad de que las incidencias de seguridad se produzcan en primer lugar. Las organizaciones que administran el riesgo de forma eficaz evolucionan a un enfoque ms proactivo pero, como se explicar en este captulo, esto slo constituye parte de la solucin. Enfoque reactivo Actualmente, muchos profesionales de tecnologa de informacin (TI) sienten una tremenda presin para terminar sus tareas rpidamente y provocar las menos incomodidades posibles a los usuarios. Cuando se produce una incidencia de seguridad, muchos profesionales de TI piensan que lo nico para lo que tienen tiempo de hacer es contener la situacin, averiguar qu ha sucedido y reparar los sistemas lo ms rpidamente posible. Algunos pueden intentar identificar la causa principal, pero esto incluso puede parecer un lujo para los que tienen grandes restricciones de recursos. Aunque un enfoque reactivo puede constituir una respuesta tctica eficaz a los riesgos de seguridad descubiertos y se han convertido en incidencias de seguridad, la imposicin de un pequeo nivel de rigor al enfoque reactivo puede permitir que las organizaciones de cualquier tipo utilicen mejor sus recursos. Las incidencias de seguridad recientes pueden servir de ayuda para que una organizacin se prepare y prevea los problemas futuros. Esto significa que una organizacin que dedica tiempo a responder a las incidencias de seguridad de un modo calmado y racional mientras determina los motivos subyacentes que han permitido que se produjera la incidencia podr protegerse mejor de problemas similares en el futuro y responder con ms rapidez a otros problemas que puedan aparecer. Queda fuera del alcance de esta gua el examen en profundidad de la respuesta a incidencias, pero los siguientes seis pasos al responder a incidencias de seguridad pueden ayudarle a afrontarlos de un modo rpido y eficaz: 1. Proteger la vida humana y la seguridad de las personas. sta debe ser siempre la primera prioridad. Por ejemplo, si los equipos afectados incluyen equipos de mantenimiento de vida, apagarlos puede no ser una opcin; tal vez se pueden aislar lgicamente los sistemas en la red cambiando la configuracin de enrutadores y conmutadores sin interrumpir su capacidad de ayudar a los pacientes. 2. Contener el dao. Contener el dao que ha provocado el ataque ayuda a limitar daos adicionales. Proteja rpidamente los datos, el software y el hardware importantes. Minimizar la alteracin de los recursos informacin es una consideracin importante, pero mantener los sistemas conectados durante un ataque puede causar ms problemas y de mayor difusin a
largo plazo. Por ejemplo, si descubre un gusano en su entorno, puede intentar limitar los daos desconectando los servidores de la red. No obstante, desconectar los servidores puede resultar ms perjudicial que beneficioso. Utilice su criterio y conocimientos de la red y sistemas para tomar esta decisin. Si determina que no habr efectos negativos o que estos se vern compensados por las ventajas positivas de la actividad, la contencin se debe iniciar lo ms pronto posible durante una incidencia de seguridad mediante la desconexin de la red de los sistemas que estn afectados. Si no puede contener el dao mediante el aislamiento de los servidores, supervise activamente las acciones del pirata informtico para poder reparar los daos tan pronto como sea posible. Ante cualquier incidencia, asegrese de que todos los archivos de registro se guardan antes de apagar los servidores con el fin de conservar la informacin que contienen dichos archivos como prueba si usted (o sus abogados) la necesitan posteriormente. 3. Evaluar el dao. Cree inmediatamente un duplicado de los discos duros de los servidores atacados y qutelos para realizar un examen forense posterior. A continuacin, evale los daos. Debe empezar por determinar el alcance de los daos que el ataque ha causado tan pronto como sea posible, inmediatamente despus de contener la situacin y duplicar los discos duros. Esta accin es importante para poder restaurar las operaciones de la organizacin tan pronto como sea posible, al mismo tiempo que se conserva una copia de los discos duros para su investigacin. Si no se puede evaluar el dao de forma oportuna, debe implementar un plan de contingencias para que las operaciones de negocios normales y la productividad puedan continuar. En este momento las organizaciones pueden establecer contacto con los cuerpos de seguridad en relacin con la incidencia; no obstante, debe establecer y mantener relaciones con los cuerpos de seguridad que tengan jurisdiccin sobre la actividad de su organizacin antes de que se produzca una incidencia para que, cuando aparezca un problema grave, sepa con quin debe ponerse en contacto y con quin debe colaborar. Tambin debe avisar inmediatamente al departamento jurdico de su empresa para que pueda determinar si es posible emprender una demanda civil como consecuencia de los daos. 4. Determinar la causa del dao. Para determinar el origen del asalto, es necesario conocer los recursos a los que iba dirigido el ataque y las vulnerabilidades que se han aprovechado para obtener acceso o interrumpir los servicios. Revise la configuracin del sistema, el nivel de revisin, los registros del sistema, los registros de auditora y las pistas de auditora en los sistemas afectados directamente y en los dispositivos de red que les enrutan el trfico.
Normalmente, estas revisiones ayudan a descubrir dnde se ha originado el ataque en el sistema y los dems recursos afectados. Debe llevar a cabo esta actividad en los sistemas informticos instalados y no en las unidades de copia de seguridad creadas en el paso 3. Dichas unidades deben permanecer intactas con fines forenses de modo que los cuerpos de seguridad o sus abogados puedan utilizarlas para descubrir a los autores del ataque y llevarlos ante la justicia. Si necesita crear una copia de seguridad para efectuar pruebas con el fin de determinar la causa del dao, cree una segunda copia de seguridad del sistema original y no utilice las unidades creadas en el paso 3. 5. Reparar el dao. Es de suma importancia que se repare el dao tan pronto como sea posible para as restaurar las operaciones de negocios normales y los datos que se han perdido durante el ataque. Los planes y procedimientos de continuidad de negocio de la organizacin deben cubrir la estrategia de restauracin. El equipo de respuesta a incidencias tambin debe estar disponible para encargarse del proceso de restauracin y recuperacin, o para proporcionar orientacin acerca del proceso al equipo responsable. Durante la recuperacin, se ejecutan los procedimientos de contingencias con el fin de evitar una mayor propagacin del dao y aislarlo. Antes de devolver los sistemas reparados al servicio, tenga cuidado de que no se vuelvan a infectar inmediatamente; para ello, asegrese de que ha mitigado las vulnerabilidades que se hayan atacado durante la incidencia. 6. Revisar las directivas de respuesta y actualizacin. Despus de haber completado las fases de documentacin y recuperacin, debe revisar a fondo el proceso. Determine con su equipo cules son los pasos que se realizaron correctamente y qu errores se cometieron. En casi todos los casos, descubrir que es necesario modificar los procesos para permitirle administrar mejor las incidencias en el futuro. Inevitablemente encontrar debilidades en su plan de respuesta a incidencias. En esto estriba la cuestin de este ejercicio detallado: se buscan oportunidades de mejora. Cualquier error debe propiciar otra ronda del proceso de plan de respuesta a incidencias para poder afrontar las incidencias futuras con menos problemas. Esta metodologa se ilustra en el siguiente diagrama:
Figura 2.1 Proceso de respuesta a incidencias Enfoque proactivo La administracin de riesgos de seguridad proactiva tiene numerosas ventajas con respecto a un enfoque reactivo. En vez de esperar a que suceda lo peor y, a continuacin, llevar a cabo la respuesta, se minimiza la posibilidad de que pase lo peor antes de que se produzca. Se trazan planes para proteger los activos importantes de la organizacin mediante la implementacin de controles que reduzcan el riesgo de que el software malintencionado, los piratas informticos o un uso incorrecto accidental aprovechen las vulnerabilidades. Esta idea se puede ilustrar con una analoga. La gripe es una enfermedad respiratoria mortal que infecta a millones de personas en Estados Unidos cada ao. De ellas, ms de 100.000 deben recibir tratamiento en hospitales y cerca de 36.000 mueren. Podra tratar la amenaza de la enfermedad esperando a infectarse y, despus, tomar la medicina para tratar los sntomas si enferma. O tambin podra optar por vacunarse antes de que comenzara la temporada de la gripe.
Evidentemente, las organizaciones no debe abandonar por completo la respuesta a incidencias. Un enfoque proactivo puede ayudar a las organizaciones a reducir considerablemente el nmero de incidencias de seguridad que surjan en el futuro, pero no es probable que dichos problemas desaparezcan por completo. Por lo tanto, las organizaciones deben continuar mejorando sus procesos de respuesta a incidencias mientras desarrollan simultneamente enfoques proactivos a largo plazo. En las secciones posteriores de este captulo, y en el resto de los captulos de esta gua, se examinar la administracin de riesgos de seguridad proactiva en profundidad. Todas las metodologas de administracin de riesgos de seguridad comparten algunos procedimientos de alto nivel comunes: 1. Identificar los activos de negocios. 2. Determinar el dao que un ataque a un activo podra provocar a la organizacin. 3. Identificar las vulnerabilidades que aprovechar el ataque. 4. Determinar el modo de minimizar el riesgo de ataque mediante la implementacin de los controles adecuados.
Principio de la pgina Enfoques de asignacin de prioridades a riesgos Los trminos administracin de riesgos y evaluacin de riesgos se utilizan con frecuencia en esta gua y, aunque estn relacionados, no se pueden usar indistintamente. El proceso de administracin de riesgos de seguridad de Microsoft define la administracin de riesgos como el esfuerzo global para administrar el riesgo hasta alcanzar un nivel aceptable en la empresa. La evaluacin de riesgos se define como el proceso de identificar y asignar prioridades a los riesgos para la empresa. Hay numerosas metodologas distintas para asignar prioridades a los riesgos o evaluarlos, pero la mayora estn basadas en uno de estos dos enfoques o en una combinacin de ambos: administracin de riesgos cuantitativa o administracin de riesgos cualitativa. Consulte en la lista de recursos de la seccin "Informacin adicional" al final del captulo 1, "Introduccin a la gua de administracin de riesgos de seguridad", los vnculos a otras metodologas de evaluacin de riesgos. En las siguientes secciones de este captulo se ofrecen un resumen y una comparacin de la evaluacin de riesgos cuantitativa y la cualitativa, seguidos de una breve descripcin del proceso de administracin de riesgos de seguridad de Microsoft para que pueda apreciar cmo combina aspectos de ambos enfoques. Evaluacin de riesgos cuantitativa En las evaluaciones de riesgos cuantitativas, el objeto es intentar calcular valores numricos objetos para cada uno de los componentes recopilados durante la evaluacin de riesgos y el anlisis de costo-
beneficio. Por ejemplo, se estima el valor verdadero de cada activo de negocios en funcin de lo que costara reemplazarlo, lo que costara en prdida de productividad, lo que costara en reputacin de marca y en otros valores de negocios directos e indirectos. Intente emplear la misma objetividad al calcular la exposicin de activos, el costo de controles y el resto de los valores que identifique durante el proceso de administracin de riesgos. Nota: en esta seccin se pretende mostrar a grandes rasgos algunos de los pasos de las evaluaciones de riesgos cuantitativas; no se trata de una gua normativa para utilizar dicho enfoque en proyectos de administracin de riesgos de seguridad. Existen algunos puntos dbiles importantes que son inherentes a este enfoque y que no se pueden solventar fcilmente. En primer lugar, no existe un modo formal y riguroso de calcular de forma eficaz los valores de los activos y de los controles. Es decir, aunque pueda parecer que ofrece ms detalle, en realidad los valores financieros oscurecen el hecho de que las cifras se basan en estimaciones. Cmo es posible calcular de un modo preciso y exacto las repercusiones que una incidencia de seguridad de amplia difusin podra tener en la marca? Se pueden examinar los datos histricos, si estn disponibles, pero no suelen estarlo. En segundo lugar, las organizaciones que han intentado aplicar meticulosamente todos los aspectos de la administracin de riesgos cuantitativa han comprobado que el proceso es excesivamente costoso. Dichos proyectos suelen tardar mucho tiempo en completar su primer ciclo completo y normalmente implican a muchos miembros del personal con discusiones acerca de cmo se han calculado los valores fiscales especficos. En tercer lugar, en organizaciones con valores de alto valor, el costo de exposicin puede ser tan alto que se gastara una ingente cantidad de dinero en mitigar los riesgos a los que estuvieran expuestas. Pero esto no es realista, una organizacin no gastara todo su presupuesto en proteger un solo activo, ni siquiera los cinco principales. Detalles del enfoque cuantitativo En este punto, puede resultar til disponer de una descripcin general de las ventajas y los inconvenientes de las evaluaciones de riesgos cuantitativas. En el resto de esta seccin se examinan algunos de los factores y valores que normalmente se evalan durante una evaluacin de riesgos cuantitativa, como la valoracin de activos, el costo de los controles, la determinacin del rendimiento de la inversin en seguridad (ROSI) y el clculo de valores para la expectativa de prdida simple (SLE), la frecuencia anual (ARO) y la expectativa de prdida anual (ALE). No se trata en absoluto de un examen exhaustivo de todos los aspectos de la evaluacin de riesgos cuantitativa, sino de un breve examen de
algunos detalles de dicho enfoque para que compruebe que las cifras que conforman la base de todos los clculos son subjetivas en s mismas. Valoracin de activos La determinacin del valor monetario de un activo es una parte importante de la administracin de riesgos de seguridad. A menudo, los directores se basan en el valor de un activo como orientacin para determinar el dinero y tiempo que deben invertir para protegerlo. Muchas organizaciones conservan una lista de valores de los activos como parte de los planes de continuidad de negocios. No obstante, las cifras calculadas en realidad son estimaciones subjetivas: no existe ninguna herramienta o mtodo para determinar el valor de un activo. Para asignar un valor a un activo, se deben calcular los tres factores principales siguientes:
El valor global del activo en la organizacin. Calcule o estime el valor del activo en trminos financieros directos. Consideremos el ejemplo simplificado de las repercusiones de la interrupcin temporal de un sitio Web de comercio electrnico que normalmente funciona siete das a la semana, 24 horas al da, y que genera un promedio de 2.000 dlares por hora en ingresos procedentes de los pedidos de los clientes. Puede establecer con seguridad que el valor anual del sitio Web en trminos de ingresos por ventas es de 17.520.000 dlares.
La repercusin financiera inmediata de la prdida del activo. Si simplificamos deliberadamente el ejemplo anterior y suponemos que el sitio Web genera una tasa constante por hora y el mismo sitio Web deja de estar disponible durante seis horas, la exposicin calculada es de un 0,000685% por ao. Al multiplicar este porcentaje de exposicin por el valor anual del activo, podr predecir que las prdidas directamente atribuibles en este caso seran de 12.000 dlares. En realidad, la mayora de los sitios Web de comercio electrnico generan ingresos con unas tasas muy distintas segn la hora del da, el da de la semana, la estacin, las campaas de publicidad y otros factores. Adems, algunos clientes pueden encontrar un sitio Web alternativo que prefieran al original, por lo que dicho sitio Web puede tener una prdida de usuarios permanente. En realidad, calcular la prdida de ingresos resulta bastante complejo si se quiere ser preciso y tener en cuenta todos los tipos posibles de prdida.
La repercusin de negocios indirecta de la prdida del activo. En este ejemplo, la empresa estima que gastar 10.000 dlares en publicidad para contrarrestar la propaganda negativa de una incidencia. Asimismo, la empresa tambin estima una prdida de un 0,01% a un 1% de ventas anuales, o 17.520 dlares. Mediante la combinacin de los gastos de publicidad
adicionales y de la prdida ingresos por ventas anuales, en este caso se puede predecir un total de 27.520 dlares en prdidas indirectas. Determinacin de la expectativa de prdida simple La expectativa de prdida simple es la cantidad total de ingresos que se pierde por una nica incidencia del riesgo. Se trata de un importe monetario que se asigna a un nico suceso que representa la cantidad de prdida potencial de la empresa, en caso de que una amenaza especfica aproveche una vulnerabilidad. (La expectativa de prdida simple es similar a la repercusin de un anlisis de riesgos cualitativo.) Calcule dicha expectativa multiplicando el valor del activo por el factor de exposicin. Dicho factor representa el porcentaje de prdida que una amenaza realizada podra suponer para un determinado activo. Si un conjunto de servidores Web tiene un valor de activo de 150.000 dlares y un incendio provoca daos estimados en el 25% de su valor, en este caso la expectativa de prdida simple ser de 37.500 dlares. No obstante se trata de un ejemplo muy simplificado, ya que es necesario tener en cuenta otros gastos. Determinacin de la frecuencia anual La frecuencia anual es la cantidad razonable de veces que se espera que ocurra el riesgo durante el ao. La elaboracin de estas estimaciones resulta muy difcil; existen muy pocos datos actuariales disponibles. Lo que se ha recopilado hasta ahora parece ser informacin privada que poseen unas pocas empresas de seguros de bienes. Para estimar la frecuencia anual, recurra a sus experiencias anteriores y consulte a expertos en administracin de riesgos, adems de consultores de negocios y de seguridad. La frecuencia anual es similar a la probabilidad de un anlisis de riesgos cualitativo y va del 0% (nunca) al 100% (siempre). Determinacin de la expectativa de prdida anual La expectativa de prdida anual es la cantidad total de dinero que la organizacin perder en un ao si no se toman medidas para mitigar el riesgo. Para calcular este valor multiplique la expectativa de prdida simple por la frecuencia anual. La expectativa de prdida anual es similar al intervalo relativo de un anlisis de riesgo cualitativo. Por ejemplo, si un incendio en el conjunto de servidores Web de la misma empresa provoca daos valorados en 37.500 dlares y la probabilidad, o frecuencia anual, de que se produzca un incendio tiene un valor 0,1 (lo que indica una vez cada diez aos), en este caso el valor de frecuencia anual sera 3.750 dlares (37.500 x 0,1 = 3.750). La expectativa de prdida anual proporciona un valor con el que la organizacin puede trabajar para presupuestar cunto costar establecer controles o protecciones para prevenir este tipo de dao (en
este caso, 3.750 dlares o menos al ao) y brindar un nivel adecuado de proteccin. Es importante cuantificar la posibilidad real de un riesgo y el dao, en trminos monetarios, que puede causar la amenaza para determinar la cantidad que se puede destinar en la proteccin contra la posible consecuencia de la amenaza. Determinacin del costo de los controles Determinar el costo de los controles requiere estimaciones precisas de cunto costar adquirir, probar, implementar, poner en funcionamiento y mantener cada control. Dichos costos deben incluir la compra o desarrollo de la solucin de control, la implementacin y configuracin de la solucin de control, el mantenimiento de la misma, la notificacin de nuevas directivas o procedimientos relacionados con el nuevo control a los usuarios, los cursos para usuarios y personal de TI acerca de cmo utilizar y dar soporte al control, supervisarlo y combatir la prdida de comodidad o productividad que el control pueda imponer. Por ejemplo, para reducir el riesgo de que un incendio dae el conjunto de servidores Web, la organizacin ficticia puede implementar un sistema de extincin de incendios automatizado. Ser necesario contratar a un contratista para que disee e instale el sistema y, despus, se tiene que supervisar continuamente. Tambin ser necesario comprobar el sistema peridicamente y, en ocasiones, recargarlo con los retardantes qumicos que utilice. Rendimiento de la inversin en seguridad Estime el costo de los controles mediante la siguiente ecuacin: (expectativa de prdida anual antes del control) (expectativa de prdida anual despus del control) (costo anual del control) = rendimiento de la inversin en seguridad Por ejemplo, la expectativa de prdida anual de la amenaza de que un pirata informtico inutilice un servidor Web es de 12.000 dlares y despus de implementar la proteccin sugerida se valora en 3.000 dlares. El costo anual del mantenimiento de la proteccin es de 650 dlares, por lo que el rendimiento de la inversin en seguridad es de 8.350 dlares al ao, tal como se expresa en la siguiente ecuacin: 12.000 - 3.000 - 650 = 8.350. Resultados de los anlisis de riesgos cuantitativos Los elementos de entrada de los anlisis de riesgos cuantitativos proporcionan objetivos y resultados claramente definidos. Los siguientes elementos normalmente se derivan de los resultados de los pasos anteriores:
Valores monetarios asignados de los activos Una lista completa de amenazas importantes La probabilidad de que cada amenaza ocurra
El potencial de prdida para la empresa, por amenaza, cada 12 meses Protecciones, controles y acciones recomendados
Ha podido comprobar que todos estos clculos se basan en estimaciones subjetivas. Las cifras clave que proporcionan los resultados no se obtienen de ecuaciones objetivas o de conjuntos de datos actuariales bien definidos sino de las opiniones de los que realizan la evaluacin. El valor del activo, la expectativa de prdida simple, la frecuencia anual y el costo de los controles son cifras que incorporan los propios participantes (normalmente despus de mucho debate y compromiso). Evaluacin de riesgos cualitativa La diferencia entre la evaluacin de riesgos cualitativa y la cuantitativa estriba en que en la primera no se intentan aplicar valores financieros puros a los activos, prdidas previstas y costo de controles. En su lugar se calculan valores relativos. El anlisis de riesgos normalmente se lleva a cabo mediante la combinacin de cuestionarios y talleres colaborativos que implican a personas de varios grupos de la organizacin, como expertos en seguridad de informacin, responsables y personal de tecnologa de la informacin, responsables y usuarios de activos de negocios y directivos. Si se utilizan, los cuestionarios normalmente se distribuyen unos das, o unas semanas, antes del primer taller. Los cuestionarios estn diseados para descubrir los activos y controles que ya estn implementados, y la informacin recopilada puede resultar muy til durante los talleres posteriores. En los talleres, los participantes identifican los activos y estiman sus valores relativos. A continuacin, intentan determinar las amenazas a las que se enfrenta cada activo y los tipos de vulnerabilidades que pueden aprovechar dichas amenazas en el futuro. Los expertos en seguridad de informacin y los administradores del sistema normalmente proponen controles con el fin de mitigar los riesgos para el grupo en consideracin y el costo aproximado de cada control. Finalmente, los resultados se presentan a los directivos para que los tengan en cuenta durante un anlisis de costo-beneficio. Como se puede comprobar, el proceso bsico de las evaluaciones cualitativas es muy similar a lo que sucede en el enfoque cuantitativo. La diferencia se encuentra en los detalles. Las comparaciones entre el valor de un activo y otro son relativas, y los participantes no dedican demasiado tiempo en intentar calcular cifras financieras exactas para la valoracin de activos. Lo mismo sucede en el clculo de las repercusiones posibles si se produce un riesgo y el costo de la implementacin de controles. Las ventajas de un enfoque cualitativo estriban en que se supera la dificultad de calcular cifras exactas para el valor de activos, costo de control, etc., y el proceso exige menos personal. Los proyectos de administracin de riesgos cualitativa normalmente empiezan a arrojar resultados importantes al cabo de pocas semanas, mientras que en las organizaciones que optan por un enfoque cuantitativo se aprecian
pocas ventajas durante meses, y en ocasiones aos, de esfuerzos. El inconveniente de un enfoque cualitativo reside en que las cifras resultantes son vagas; algunos de los responsables de la toma de decisiones, en concreto los que disponen de experiencia en cuestiones financieras o contables, pueden no sentirse cmodos con los valores relativos determinados durante un proyecto de evaluacin de riesgos cualitativa. Comparacin de los dos enfoques Los enfoques cualitativo y cuantitativo de la administracin de riesgos de seguridad tienen sus ventajas e inconvenientes. Determinadas situaciones pueden demandar que las organizaciones adopten el enfoque cuantitativo. Por el contrario, las organizaciones de pequeo tamao o con recursos limitados normalmente encontrarn ms adecuado el enfoque cualitativo. En la siguiente tabla se resumen las ventajas y los inconvenientes de cada enfoque: Tabla 2.1: Ventajas e inconvenientes de cada enfoque de administracin de riesgos Cuantitativo Ventajas Cualitativo
Se asignan prioridades a los riesgos segn Permite la visibilidad y la las repercusiones financieras; se asignan comprensin de la clasificacin de prioridades de los activos segn los valores riesgos. financieros. Resulta ms fcil lograr el
Los resultados facilitan la administracin consenso. del riesgo por el rendimiento de la inversin No es necesario cuantificar la en seguridad. frecuencia de las amenazas.
Los resultados se pueden expresar en No es necesario determinar los terminologa especfica de administracin valores financieros de los activos. (por ejemplo, los valores monetarios y la Resulta ms fcil involucrar a probabilidad expresados como un porcentaje personas que no sean expertas en especfico). La precisin tiende a ser mayor con el tiempo a medida que la organizacin crea un registro de historial de los datos mientras gana experiencia. Inconvenientes Los valores de repercusin asignados a los No hay una distincin suficiente riesgos se basan en las opiniones subjetivas entre los riesgos importantes. seguridad o en informtica.
de los participantes.
Resulta difcil invertir en la de controles
El proceso para lograr resultados crebles y implementacin el consenso es muy lento.
porque no existe una base para un
Los clculos pueden ser complejos y lentos. anlisis de costo-beneficio. Los resultados slo se presentan en Los resultados dependen de la trminos monetarios y pueden ser difciles calidad del equipo de
de interpretar por parte de personas sin administracin de riesgos que los conocimientos tcnicos. El proceso requiere experiencia, por lo que los participantes no pueden recibir cursos fcilmente durante el mismo. hayan creado.
En el pasado, los enfoques cuantitativos parecan dominar la administracin de riesgos de seguridad; sin embargo, esto ha cambiado recientemente a medida que cada vez ms especialistas admiten que el seguimiento estricto de los procesos de administracin de riesgos cuantitativa da lugar a proyectos difciles y de larga duracin que muestran pocas ventajas tangibles. Como se ver en los captulos posteriores, el proceso de administracin de riesgos de seguridad de Microsoft combina los mejores aspectos de ambas metodologas en un nico proyecto hbrido. Principio de la pgina Proceso de administracin de riesgos de seguridad de Microsoft El proceso de administracin de riesgos de seguridad de Microsoft es un enfoque hbrido que combina los mejores elementos de los dos enfoques tradicionales. Como se ver en los captulos siguientes, en esta gua se presenta un enfoque nico de la administracin de riesgos de seguridad que es considerablemente ms rpido que un enfoque cuantitativo tradicional. Sin embargo, proporciona resultados que son ms detallados y fcilmente justificables a los ejecutivos que un enfoque cualitativo tpico. Mediante la combinacin de la simplicidad y la elegancia del enfoque cualitativo con parte del rigor del enfoque cuantitativo, en esta gua se ofrece un proceso nico para administrar los riesgos de seguridad que es eficaz y til. El objetivo del proceso es que los participantes puedan comprender cada paso de la evaluacin. Este enfoque, considerablemente ms simple que la administracin de riesgos cuantitativa tradicional, minimiza la oposicin a los resultados de las fases de anlisis de riesgos y de apoyo a la toma de decisiones, lo que permite que se logre el consenso ms rpidamente se mantenga en todo el proceso.
El proceso de administracin de riesgos de seguridad de Microsoft consta de cuatro fases. La primera, la fase de evaluacin de riesgos, combina aspectos de las metodologas de evaluacin de riesgos cuantitativa y cualitativa. Se utiliza un enfoque cualitativo para clasificar rpidamente toda la lista de riesgos de seguridad. A continuacin, los riesgos ms graves identificados durante esta clasificacin se examinan ms detenidamente mediante un enfoque cuantitativo. El resultado es una lista relativamente corta de los riesgos ms importantes que se han examinado con detalle. Esta lista breve se utiliza durante la siguiente fase, Apoyo a la toma de decisiones, en la que se propone las soluciones de control posibles y se evalan las mejores, que posteriormente se presentan al comit directivo de seguridad de la organizacin como recomendaciones para mitigar los riesgos principales. Durante la tercera fase, Implementacin de controles, los responsables de mitigacin implementan realmente las soluciones de control. La cuarta fase, Medicin de la efectividad del programa, se utiliza para comprobar que los controles proporcionan el nivel de proteccin previsto y para examinar los cambios en el entorno, como nuevas aplicaciones de negocios o herramientas de ataque que puedan cambiar el perfil de riesgo de la organizacin. Debido a que el proceso de administracin de riesgos de seguridad de Microsoft es continuo, el ciclo vuelve a comenzar con cada nueva evaluacin de riesgos. La frecuencia con la que se repita el ciclo vara de una organizacin a otra; muchas consideran que una vez al ao es suficiente siempre que la organizacin supervise proactivamente las nuevas vulnerabilidades, amenazas y activos.
Figura 2.2 Fases del proceso de administracin de riesgos de seguridad de Microsoft
En la figura 2.2 se ilustran las cuatro fases del proceso de administracin de riesgos de seguridad de Microsoft. En el captulo 3, "Informacin general acerca de la administracin de riesgos de seguridad", se ofrece un examen exhaustivo del proceso. En los captulos posteriores se explican los pasos y las tareas asociados a cada una de las cuatro fases.
Gua de administracin de riesgos de seguridad Introduccin [ http://technet.microsoft.com/es-ve/library/cc163143.aspx ] Captulo 1: Introduccin a la Gua de administracin de riesgos de seguridad [ http://technet.microsoft.com/es-ve/library/dd574340.aspx ]
Captulo
2:
Estudio
de
prcticas
de
administracin
de
riesgos
de
seguridad
[
http://technet.microsoft.com/es-ve/library/dd574341.aspx ]
Captulo 3: Informacin general acerca de la administracin de riesgos de seguridad [ http://technet.microsoft.com/es-ve/library/dd574342.aspx ]
Captulo 4: Evaluacin del riesgo [ http://technet.microsoft.com/es-ve/library/dd574343.aspx ] Captulo 5: Apoyo a la toma de decisiones [ http://technet.microsoft.com/es-
ve/library/dd574344.aspx ]
Captulo 6: Implementacin de controles y medicin de la efectividad del programa [ http://technet.microsoft.com/es-ve/library/dd574345.aspx ]
Apndice
A:
Evaluaciones
de
riesgos
ad
hoc
[
http://technet.microsoft.com/es-
ve/library/dd574336.aspx ]
Apndice B: Activos comunes del sistema de informacin [ http://technet.microsoft.com/esve/library/dd574337.aspx ]
Apndice C: Amenazas comunes [ http://technet.microsoft.com/es-ve/library/dd574338.aspx ] Apndice D: Vulnerabilidades [ http://technet.microsoft.com/es-ve/library/dd574339.aspx ]
Captulo 3: Informacin general acerca de la administracin de riesgos de seguridadPublicado: 15/10/2004
Este captulo es el primero de la presente gua donde se ofrece un resumen completo del proceso de administracin de riesgos de seguridad de Microsoft. Despus de esta informacin general, en el
captulo se tratan varios temas que ayudarn a los lectores a medida que implementen el proceso. Estos temas proporcionan una base slida para un programa de administracin de riesgos de seguridad con xito y son:
Distinguir la administracin de riesgos de la evaluacin de riesgos. Notificar el riesgo de forma eficaz. Evaluar la madurez de sus prcticas de administracin de riesgos actuales. Definir funciones y responsabilidades.
Tambin es importante tener en cuenta que la administracin de riesgos constituye slo una parte de un programa de gobernanza mayor para la directiva corporativa con el fin de supervisar la empresa y tomar decisiones fundadas. Aunque los programas de gobernanza varan mucho, todos ellos requieren un componente de administracin de riesgos de seguridad estructurado para asignar prioridades y mitigar los riesgos de seguridad. Los conceptos del proceso de administracin de riesgos de seguridad de Microsoft se pueden aplicar a cualquier programa de gobernanza para definir y administrar los riesgos con un nivel aceptable. En esta pgina Las cuatro fases del proceso de administracin de riesgos de seguridad de Microsoft Resumen Las cuatro fases del proceso de administracin de riesgos de seguridad de Microsoft En el captulo 2, "Estudio de prcticas de administracin de seguridad", se ha presentado el proceso de administracin de riesgos de seguridad de Microsoft y se ha definido la administracin de riesgos como un proceso continuo con cuatro fases principales: 1. Evaluacin del riesgo: identificar y asignar prioridades a los riesgos para la empresa. 2. Apoyo a la toma de decisiones: identificar y evaluar las soluciones de control segn un proceso definido de anlisis de costo-beneficio. 3. Implementacin de controles: implementar y poner en funcionamiento las soluciones con el fin de reducir el riesgo para la empresa. 4. Medicin de la efectividad del programa: analizar la efectividad del proceso de administracin de riesgos y comprobar que los controles proporcionan el nivel de proteccin previsto. Este ciclo de administracin de riesgos en cuatro fases resume el proceso de administracin de riesgos de seguridad de Microsoft y tambin se utiliza para organizar el contenido de esta gua. Antes de definir las prcticas especficas del proceso de administracin de riesgos de seguridad de Microsoft, es importante comprender el proceso de administracin de riesgos global y sus
componentes. Cada fase del ciclo consta de varios pasos detallados. En la siguiente lista se describen los pasos para que comprenda la importancia de cada uno en la gua como un conjunto:
Fase de evaluacin de riesgos
Planear la recopilacin de datos: descripcin de las claves para el xito y orientacin de preparacin.
Recopilar datos de riesgos: descripcin del proceso de recopilacin y anlisis de datos. Asignar prioridades a riesgos: descripcin de los pasos normativos para calificar y cuantificar los riesgos.
Fase de apoyo a la toma de decisiones
Definir los requisitos funcionales: definicin de los requisitos funcionales para mitigar los riesgos.
Seleccionar las soluciones de control posibles: descripcin del enfoque para identificar las soluciones de mitigacin.
Revisar la solucin: evaluacin de los controles propuestos segn los requisitos funcionales.
Estimar la reduccin del riesgo: intento de comprender la exposicin o probabilidad reducida de riesgos.
Estimar el costo de la solucin: evaluacin de los costos directos e indirectos asociados a las soluciones de mitigacin.
Seleccionar la estrategia de mitigacin: realizacin del anlisis de costo-beneficio para identificar la solucin de mitigacin ms asequible.
Fase de implementacin de controles
Buscar un enfoque holstico: incorporacin de personas, procesos y tecnologa en la solucin de mitigacin.
Organizar por defensa en profundidad: organizacin de las soluciones de mitigacin en la empresa.
Fase de medicin de la efectividad del programa
Desarrollar el clculo de riesgos: comprensin de la posicin de riesgo y el progreso. Medir la efectividad del programa: evaluacin del programa de administracin de riesgos para determinar los aspectos que se deben mejorar.
En la siguiente figura se ilustra cada fase y los pasos asociados.
Figura 3.1 Proceso de administracin de riesgos de seguridad de Microsoft
En los captulos posteriores de esta gua se describe, por orden, cada fase del proceso de administracin de riesgos de seguridad de Microsoft. No obstante, hay una serie de cuestiones preliminares que se deben tener en cuenta antes de comenzar la ejecucin de este proceso. Nivel de esfuerzo Si su organizacin tiene poca experiencia en la administracin de riesgos, puede resultar til conocer los pasos del proceso de Microsoft que requieren ms esfuerzo por parte del equipo de administracin de riesgos de seguridad. En la siguiente figura, basada en las actividades de administracin realizadas en el departamento de TI de Microsoft, se muestran los grados relativos de esfuerzo a lo largo del proceso. Esta perspectiva puede resultar til al describir el proceso global y el compromiso de tiempo para las organizaciones que no tienen experiencia en la administracin de riesgos. Los niveles relativos de esfuerzo tambin pueden resultar tiles como orientacin para evitar dedicar demasiado tiempo a un punto del proceso global. Para resumir el nivel de esfuerzo a lo largo del proceso, en la figura se muestra un nivel moderado de esfuerzo para recopilar datos, un nivel menor para el anlisis de resumen seguido de niveles altos de esfuerzo para elaborar listas detalladas de riesgos y llevar a cabo el proceso de apoyo a la toma de decisiones. Para obtener una vista adicional de las tareas y el esfuerzo asociado, consulte el programa de proyecto de ejemplo de la carpeta de herramientas, GARSHerramienta4-Programa de proyecto de ejemplo.xls. En el resto de los captulos de esta gua se describen cada uno de los pasos mostrados a continuacin.
Figura 3.2 Nivel relativo de esfuerzo durante el proceso de administracin de riesgos de seguridad de Microsoft Bases del proceso de administracin de riesgos de seguridad de Microsoft Antes de comenzar la administracin de riesgos de seguridad, es importante disponer de conocimientos slidos de las bases, requisitos previos y tareas del proceso de administracin de riesgos de seguridad de Microsoft, que son:
Distincin entre la administracin de riesgos y la evaluacin de riesgos. Notificacin clara del riesgo. Determinacin de la madurez de administracin de riesgos de la organizacin. Definicin de las funciones y responsabilidades del proceso.
Administracin de riesgos y evaluacin de riesgos Tal como se ha indicado en el captulo 2, los trminos administracin de riesgos y evaluacin de riesgos no se pueden utilizar indistintamente. El proceso de administracin de riesgos de seguridad de Microsoft define la administracin de riesgos como el proceso global para administrar el riesgo hasta alcanzar un nivel aceptable en la empresa. La evaluacin de riesgos se define como el proceso de identificar y asignar prioridades a los riesgos para la empresa. Segn se describe en el diagrama anterior, la administracin de riesgos se compone de cuatro fases principales: evaluacin de riesgos, apoyo a la toma de decisiones, implementacin de controles y medicin de la efectividad del programa. La evaluacin de riesgos, en el contexto del proceso de administracin de riesgos de seguridad de Microsoft, slo hace referencia a la fase de evaluacin de riesgos en el ciclo de administracin de riesgos global. Otra diferencia entre la administracin de riesgos y la evaluacin de riesgos la constituye la frecuencia del inicio de cada proceso. La administracin de riesgos se define como un ciclo definido, pero normalmente se vuelve a iniciar a intervalos peridicos para actualizar los datos de cada etapa del proceso de administracin. El proceso de administracin de riesgos habitualmente corresponde al ciclo
contable fiscal de una organizacin para alinear las solicitudes presupuestarias de los controles con los procesos de negocios normales. Un intervalo anual resulta muy habitual en el proceso de administracin de riesgos para alinear las nuevas soluciones de control con los ciclos presupuestarios anuales. Aunque la evaluacin de riesgos es una fase necesaria y discreta del proceso de administracin de riesgos, el grupo de seguridad de informacin puede llevar a cabo varias evaluaciones de riesgos independientes de la fase de administracin de riesgos o ciclo presupuestario actual. El grupo de seguridad de informacin puede iniciarlas en cualquier momento si se produce un cambio posiblemente relacionado con la seguridad en la empresa, como la introduccin de nuevas prcticas de negocios, o si se han detectado nuevas vulnerabilidades o cambios en la infraestructura. Estas evaluaciones frecuentes se suelen denominar evaluaciones de riesgos ad hoc o evaluaciones de riesgos de mbito limitado y se deben considerar complementarias al proceso de administracin de riesgos formal. Las evaluaciones ad hoc normalmente se centran en un rea de riesgo en la empresa y no requieren la misma cantidad de recursos que el proceso de administracin de riesgos en su totalidad. En el apndice A, "Evaluaciones ad hoc", se describe este tipo de evaluaciones y se ofrece una plantilla de ejemplo de una evaluacin de riesgos ad hoc. Tabla 3.1: Administracin de riesgos y evaluacin de riesgos Administracin de riesgos Objetivo Evaluacin de riesgos
Administrar los riesgos en la empresa para Identificar los riesgos y asignarles lograr un nivel aceptable prioridades Fase nica del programa de
Ciclo
Programa global a lo largo de las cuatro fases
administracin de riesgos Programa Continuo Alineacin Alineado con los ciclos presupuestarios Notificacin del riesgo Las distintas personas involucradas en el proceso de administracin de riesgos suelen definir el trmino riesgo de un modo diferente. Para garantizar la coherencia en todas las etapas del ciclo de administracin de riesgos, el proceso de administracin de riesgos de seguridad de Microsoft requiere que todos los participantes comprendan y acepten una nica definicin del trmino riesgo. Tal como se ha definido en el captulo 1, "Introduccin a la Gua de administracin de riesgos de seguridad", riesgo es la probabilidad de que se produzca un ataque a la empresa. Esta definicin requiere la inclusin de Segn se necesite N/A
una declaracin de repercusiones y una prediccin de cundo se puede producir la repercusin, es decir, la probabilidad de repercusiones. Cuando ambos elementos de riesgo (probabilidad y ataque) estn incluidos en una declaracin de riesgo, en el proceso se denomina declaracin de riesgo bien elaborada. Utilice el trmino para garantizar una comprensin coherente de la naturaleza compuesta del riesgo. En el siguiente diagrama se describe el riesgo en su nivel ms bsico.
Figura 3.3 Declaracin de riesgo bien elaborada
Resulta importante que todos los implicados en el proceso de administracin de riesgos comprendan la complejidad de cada elemento de la definicin de riesgo. Slo un conocimiento exhaustivo del riesgo permitir a la empresa poder emprender una accin especfica al afrontarlo. Por ejemplo, al definir las repercusiones en la empresa se necesita informacin acerca del activo afectado, el tipo de dao que se puede producir y el alcance del dao en el activo. A continuacin, para determinar la probabilidad de que se produzca el ataque, se debe comprender el modo en que se puede producir cada ataque y la manera en que el entorno de controles actual reducir la probabilidad del riesgo. Segn los trminos definidos en el captulo 1, "Introduccin a la Gua de administracin de riesgos de seguridad", la siguiente declaracin de riesgo proporciona orientacin al demostrar los elementos de repercusin y la probabilidad de repercusin: Riesgo es la probabilidad de que se aproveche una vulnerabilidad en el entorno actual, provocando un nivel de prdida de confidencialidad, integridad o disponibilidad de un activo. El proceso de administracin de riesgos de seguridad de Microsoft proporciona las herramientas para comunicar y medir de forma coherente la probabilidad y el nivel de prdida de cada riesgo. En los captulos de esta gua se recorre el proceso para establecer cada componente de la declaracin de riesgo bien elaborada para identificar y asignar prioridades a los riesgos en la empresa. El siguiente diagrama se basa en la declaracin de riesgo bsica descrita anteriormente para mostrar las relaciones de cada elemento de riesgo.
Figura 3.4 Componentes de la declaracin de riesgo bien elaborada
Para facilitar la notificacin del alcance del ataque y el nivel de probabilidad en la declaracin de riesgo, el proceso de administracin de riesgos de seguridad de Microsoft comienza la asignacin de prioridades mediante el uso de trminos relativos como alto, moderado y bajo. Aunque esta terminologa bsica simplifica la seleccin de los niveles de riesgo, no proporciona detalles suficientes cuando se lleva a cabo un anlisis de costo-beneficio para seleccionar la opcin de mitigacin ms eficaz. Para solventar este punto dbil del enfoque cualitativo bsico, el proceso ofrece herramientas para generar una comparacin de riesgos de nivel detallado. El proceso tambin incorpora atributos cuantitativos para contribuir al anlisis de costo-beneficio con el fin de seleccionar controles. Un error habitual de las disciplinas de administracin de riesgos consiste en que normalmente no tienen en cuenta las definiciones cualitativas como riesgos altos, moderados o bajos para la empresa. En el programa de administracin de riesgos de seguridad se identificarn numerosos riesgos. Aunque el proceso de administracin de riesgos de seguridad de Microsoft proporciona orientacin para aplicar de forma coherente las estimaciones de riesgos cualitativos y cuantificables, corresponde al equipo de administracin de riesgos de seguridad definir el significado de cada valor en trminos de negocio especficos. Por ejemplo, un riesgo alto para la empresa puede significar una vulnerabilidad que se produzca en un ao, lo que conlleva la prdida de integridad de la propiedad intelectual ms importante de la organizacin. El equipo de administracin de riesgos de seguridad debe asignar las definiciones de cada elemento de la declaracin de riesgo bien elaborada. En el siguiente captulo se ofrece orientacin normativa acerca de la definicin de los niveles de riesgo. Debe servirle de ayuda para definir los niveles de riesgo para su empresa. El proceso simplemente facilita la tarea, contribuyendo a lograr coherencia y visibilidad en todo el proceso. Determinacin de la madurez de administracin de riesgos de la organizacin
Antes de que una organizacin intente implementar el proceso de administracin de riesgos de seguridad de Microsoft, es importante que examine su nivel de madurez en lo que se refiere a la administracin de riesgos de seguridad. Para una organizacin que no disponga de directivas o procesos formales para la administracin de riesgos ser excesivamente difcil poner en prctica todos los aspectos del proceso a la vez. Incluso para las organizaciones con directivas y directrices formales que siguen la mayora de los empleados, el proceso puede ser un poco abrumador. Por estos motivos, es importante que realice una estimacin del nivel de madurez de su organizacin. Si considera que su organizacin todava es relativamente inmadura, puede introducir el proceso en etapas incrementales durante varios meses, tal vez median