Guía de administración de riesgos de seguridad Información general Publicado: 2004-10-15
Los clientes pueden verse desbordados al intentar llevar a
• Guía de administración
de riesgos de seguridad
cabo para la administración de riesgos de seguridad. Esto probablemente se debe a que no disponen de expertos internos, recursos presupuestarios ni directrices para la subcontratación. Con el fin de ayudar a estos clientes, Microsoft ha desarrollado la Guía de administración de riesgos de seguridad.
• Introducción • Capítulo 1: Introducción a la Guía de administración de riesgos de seguridad
Esta guía ayuda a los clientes de todos los tipos a planear, crear y mantener un programa de administración de riesgos de seguridad de forma correcta. En un proceso de cuatro fases, que se describe a continuación, en la guía se explica cómo llevar a cabo cada fase
• Capítulo 2: Estudio de
prácticas de administración de riesgos de seguridad
del programa de administración de riesgos y cómo crear un proceso continuo para medir y llevar los riesgos de seguridad a un nivel aceptable.
• Capítulo 3: Información general acerca de la
administración de riesgos de seguridad
• Capítulo 4: Evaluación del riesgo
• Capítulo 5: Apoyo a la toma de decisiones
• Capítulo 6: Implementación de controles y medición de
la efectividad del programa
• Apéndice A: Evaluaciones de riesgos ad hoc
• Apéndice B: Activos Esta guía resulta agnóstica en lo que a tecnología se refiere y en ella se hace referencia a numerosos estándares aceptados por el sector para la administración de riesgos de seguridad. Constituye un ejemplo importante del compromiso de Microsoft en ofrecer orientación de calidad para ayudar a los clientes a proteger sus
comunes del sistema de información
• Apéndice C: Amenazas comunes
• Apéndice D:
Vulnerabilidades
infraestructuras de tecnología de la información (TI). En esta guía se incorporan experiencias reales del departamento de TI de Microsoft así como de clientes y socios de Microsoft. Esta guía consta de seis capítulos y cuatro apéndices.
Capítulo 1: Introducción a la Guía de administración de riesgos de seguridad
En el capítulo 1se presenta la Guía de administración de riesgos de seguridad (GARS) y se ofrece una breve descripción de los capítulos posteriores. También proporciona información acerca de las siguientes cuestiones:
• • • •
Claves para tener éxito con un programa de administración de riesgos de seguridad Términos y definiciones clave Convenciones de estilo de los documentos Referencias para obtener más información
Capítulo 2: Estudio de prácticas de administración de riesgos de seguridad
En el capítulo 2 se establecen las bases y se proporciona el contexto de la GARS mediante la revisión de otros enfoques de la administración de riesgos de seguridad y consideraciones relacionadas, incluido el modo de determinar el nivel de madurez de administración de riesgos de su organización.
Capítulo 3: Información general acerca de la administración de riesgos de seguridad
En el capítulo 3 se proporciona un análisis más detallado de las cuatro fases de la GARS a la vez que se presentan algunos de sus conceptos importantes y claves para el éxito. En el capítulo también se ofrece orientación con el fin de prepararse para el programa mediante el planeamiento eficaz y se recalca especialmente la creación de un equipo de administración de riesgos de seguridad que tenga bien definidas las funciones y las responsabilidades.
Capítulo 4: Evaluación del riesgo
En el capítulo 4se trata en detalle la primera fase, la evaluación del riesgo. Los pasos de esta fase incluyen el planeamiento, la recopilación de datos y la asignación de prioridades a los riesgos. Dicha asignación consta de niveles de resumen y de detalle, equilibrio de los enfoques cualitativos y cuantitativos para ofrecer una información de riesgos confiable con un equilibrio razonable de tiempo y esfuerzo. El resultado de la fase de evaluación de riesgos lo constituye una lista de riesgos importantes junto con un análisis detallado que el equipo puede utilizar para tomar decisiones de negocio durante la siguiente fase del proceso.
Capítulo 5: Apoyo a la toma de decisiones
En el capítulo 5 se trata la segunda fase, el apoyo a la toma de decisiones. Durante esta fase, los equipos determinan el modo en que afrontan los riesgos clave de una manera más eficaz y económica. Los equipos identifican los controles, estiman los costos, evalúan la reducción del nivel de riesgo y, finalmente, determinan los controles que se deben implementar. El resultado de la fase de apoyo a la toma de decisiones es un plan claro y aplicable para controlar o aceptar cada uno de los riesgos principales identificados en la fase de evaluación de riesgos.
Capítulo 6: Implementación de controles y medición de la efectividad del programa En el capítulo 6 se tratan las dos fases finales de la GARS: la implementación de controles y la medición de la efectividad del programa. Durante la fase de implementación de controles, los responsables de mitigación crean y ejecutan planes en función de la lista de soluciones de control surgida durante el proceso de apoyo a la toma de decisiones. Una vez finalizadas las tres primeras fases del proceso de administración de riesgos de seguridad, las organizaciones deben valorar su progreso con respecto a dicha administración como un conjunto. La fase final, medición de la efectividad del programa, introduce el concepto de un "cálculo de riesgos de seguridad" como ayuda para este proceso.
Apéndices
Los apéndices son:
• • • •
Apéndice A: Evaluaciones de riesgos ad hoc Apéndice B: Activos comunes del sistema de información Apéndice C: Amenazas comunes Apéndice D: Vulnerabilidades
Capítulo 1: Introducción a la Guía de administración de riesgos de seguridad Publicado: 15/10/2004
Resumen ejecutivo Retos del entorno La mayoría de las organizaciones reconocen la función fundamental que la tecnología de la información (TI) desempeña en sus objetivos de negocios. Pero las infraestructuras de TI extremadamente conectadas de hoy en día existen en un entorno que es cada vez más hostil: los ataques se efectúan con mayor frecuencia y exigen un tiempo de reacción más breve. Con frecuencia las organizaciones no pueden reaccionar ante las nuevas amenazas de seguridad antes de que afecten a su negocio. La administración de la seguridad de sus infraestructuras, y el valor de negocio que ofrecen, se ha convertido en una preocupación primordial para los departamentos de TI. Además, la nueva legislación que emana de preocupaciones de privacidad, obligaciones financieras y gobernanza corporativa exige que las organizaciones administren sus infraestructuras de TI de un modo más estricto y eficaz que en el pasado. Muchas agencias gubernamentales y organizaciones que trabajan con dichas agencias están obligadas por ley a mantener un nivel mínimo de control de la seguridad. Si la seguridad no se administra proactivamente, los ejecutivos y las organizaciones se exponen a riesgos debidos a infracciones que conllevan responsabilidades fiduciarias y legales.
Un camino mejor El enfoque de Microsoft para la administración de riesgos de seguridad proporciona un enfoque proactivo que puede ayudar a las organizaciones de cualquier tamaño a responder a los requisitos que presentan estos retos del entorno y legales. Un proceso de administración de riesgos de seguridad formal permite que las empresas funcionen de un modo más económico con un nivel conocido y aceptable de riesgos de negocios. También ofrece a las organizaciones una forma coherente y clara para organizar y asignar prioridades a los recursos limitados con el fin de administrar el riesgo. Las ventajas de utilizar una administración de riesgos de seguridad se apreciarán al implementar controles asequibles que reduzcan el riesgo a un nivel aceptable. La definición de riesgo aceptable, así como el enfoque para administrar el riesgo, varía de una organización a otra. No hay una respuesta acertada o errónea; existen numerosos modelos de administración de riesgos en uso actualmente. Cada modelo ofrece un equilibrio entre precisión, recursos, tiempo, complejidad y subjetividad. La inversión en un proceso de administración de riesgos, con un marco sólido y funciones y responsabilidades bien definidas, prepara la organización para articular prioridades, planear la mitigación de amenazas y afrontar la siguiente amenaza o vulnerabilidad de la empresa. Además, un programa de administración de riesgos eficaz ayudará a la empresa a realizar un progreso importante hacia el cumplimiento de los nuevos requisitos legislativos.
Función de Microsoft en la administración de riesgos de seguridad Ésta es la primera guía normativa publicada por Microsoft que se centra por completo en la administración de riesgos de seguridad. Basada en las experiencias propias de Microsoft y en las de sus clientes, esta guía ha sido probada y revisada por clientes, socios y revisores técnicos durante su desarrollo. El objetivo de este esfuerzo es ofrecer una guía clara y aplicable acerca de cómo implementar un proceso de administración de riesgos de seguridad que proporcione numerosas ventajas, entre las que se incluyen:
• • •
Hacer que los clientes adopten una postura de seguridad proactiva y liberarlos de un proceso reactivo y frustrante. Poder cuantificar la seguridad al mostrar el valor de los proyectos de seguridad. Ayudar a los clientes a mitigar de forma eficaz los riesgos de mayor envergadura en sus entornos en vez de aplicar recursos escasos a todos los riesgos posibles.
Información general acerca de la guía Esta guía emplea estándares del sector para ofrecer un híbrido de los modelos de administración de riesgos establecidos en un proceso de cuatro fases iterativos que busca el equilibrio entre el costo y la efectividad. Durante un proceso de evaluación de riesgos, los pasos cualitativos identifican rápidamente los riesgos más importantes. A continuación se expone un proceso cuantitativo basado en funciones y responsabilidades definidas cuidadosamente. Este enfoque es muy detallado y conlleva un conocimiento exhaustivo de los riesgos más importantes. La combinación de pasos cualitativos y cuantitativos en el proceso de administración de riesgos proporciona la base sobre la que pueden tomar decisiones sólidas acerca del riesgo y la mitigación, siguiendo un proceso empresarial inteligente. Nota: no se preocupe si algunos de los conceptos que se tratan en este resumen ejecutivo le resultan nuevos; en los capítulos se explican detalladamente. Por ejemplo, en el capítulo 2, "Estudio de prácticas de administración de riesgos de seguridad", se examinan las diferencias entre los enfoques cualitativos y cuantitativos de la evaluación de riesgos. El proceso de administración de riesgos de seguridad de Microsoft permite que las organizaciones implementen y mantengan procesos para identificar y asignar prioridades a los riesgos en sus entornos de TI. El cambio de los clientes de un enfoque reactivo a uno proactivo mejora fundamentalmente la seguridad en sus entornos. A su vez, una seguridad mejorada facilita una mayor disponibilidad de las infraestructuras de TI y un mayor valor de negocios. El proceso de administración de riesgos de seguridad ofrece una combinación de varios enfoques, entre los que se incluyen análisis cuantitativo puro, análisis del rendimiento de la inversión en seguridad (ROSI), análisis cualitativo y enfoques de prácticas recomendadas. Es importante tener en cuenta que en esta guía se trata un proceso y que no tiene requisitos de tecnología específicos.
Factores importantes para el éxito Existen numerosas claves para lograr una implementación satisfactoria de un programa de administración de riesgos de seguridad en una organización. Algunas de ellas resultan de especial importancia y se presentarán aquí; otras se tratarán en la sección "Claves para el éxito" más adelante en este capítulo. En primer lugar, no se puede llevar a cabo una administración de riesgos de seguridad si no se cuenta con el apoyo y el compromiso del equipo directivo. Cuando la administración de riesgos de seguridad se dirige desde la cúpula, las organizaciones pueden articular la seguridad en términos de valor para la empresa. A continuación, una definición clara de funciones y responsabilidades resulta fundamental para el éxito. Los responsables de negocios son los encargados de identificar las repercusiones de un riesgo. También se encuentran en la mejor posición para articular el valor de negocio de los activos que son necesarios para llevar a cabo sus funciones. El grupo de seguridad de información se encarga de identificar la probabilidad de que se produzca el riesgo teniendo en cuenta los controles actuales y propuestos. El grupo de tecnología de información es el responsable de implementar los controles que el comité directivo de seguridad ha seleccionado cuando la probabilidad de una vulnerabilidad presenta un riesgo inaceptable.
Próximos pasos La inversión en un programa de administración de riesgos de seguridad (con un proceso sólido y factible así como funciones y responsabilidades definidas) prepara a una organización a articular prioridades, planear la mitigación de amenazas y afrontar amenazas y vulnerabilidades críticas para la empresa. Utilice esta guía para evaluar su preparación y orientar sus capacidades de administración de riesgos de seguridad. Si necesita o desea más ayuda, póngase en contacto con un equipo de cuentas de Microsoft o con un socio de Microsoft Services.
Destinatarios de la guía
Esta guía se ha diseñado principalmente para consultores, especialistas en seguridad, arquitectos de sistemas y profesionales de TI que son responsables de planear el desarrollo y la implementación de aplicaciones o infraestructuras en varios proyectos. Estas funciones incluyen las siguientes descripciones de trabajo comunes:
•
Diseñadores y arquitectos de sistemas que son responsables de los esfuerzos en materia de
•
Miembros del equipo de seguridad de información que están centrados exclusivamente en
•
Auditores de seguridad y de TI que son responsables de garantizar que las organizaciones han
•
Ejecutivos, analistas de negocio y responsables de la toma de decisiones con objetivos y
•
Consultores y socios que necesiten herramientas de transferencia de conocimientos para
arquitectura de sus organizaciones. proporcionar seguridad entre las plataformas de una organización. adoptado las precauciones adecuadas para proteger sus activos de negocios importantes. requisitos de negocios cruciales que necesitan el apoyo de TI. clientes y socios empresariales.
Ámbito de la guía
El enfoque de esta guía está en el modo de planear, establecer y mantener un proceso de administración de riesgos de seguridad satisfactorio en las organizaciones de cualquier tamaño y tipo. En el material se explica cómo llevar a cabo cada fase de un proyecto de administración de riesgos y el modo de convertir el proyecto en un proceso continuo que permite a la organización adoptar los controles más útiles y asequibles para mitigar los riesgos de seguridad.
Información general del contenido La Guía de administración de riesgos de seguridad consta de seis capítulos, que se describen a continuación brevemente. Cada capítulo se basa en una práctica completa necesaria para iniciar y poner en funcionamiento de forma eficaz un proceso de administración de riesgos de seguridad continuo en la organización. A continuación de los capítulos se incluyen varios apéndices y herramientas que le ayudarán a organizar sus proyectos de administración de riesgos de seguridad.
Capítulo 1: Introducción a la Guía de administración de riesgos de seguridad En este capítulo se presenta la guía y se ofrece una breve descripción de cada capítulo.
Capítulo 2: Estudio de prácticas de administración de riesgos de seguridad Es importante sentar las bases del proceso de administración de riesgos de seguridad mediante la revisión de las distintas formas en que las organizaciones han enfocado la administración de riesgos de seguridad en el pasado. Los lectores que ya tengan experiencia en administración de riesgos de seguridad pueden consultar el capítulo rápidamente; se recomienda que los que tengan poca experiencia en la seguridad o la administración de riesgos lo lean detenidamente. El capítulo comienza con una revisión de los puntos fuertes y débiles de los enfoques proactivo y reactivo de la administración de riesgos. Posteriormente, se vuelve a analizar el concepto de madurez de administración de riesgos organizativa que se presenta en el capítulo 1, "Introducción a la guía de
administración de riesgos de seguridad". Finalmente, en el capítulo se evalúa y se comparan la administración de riesgos cualitativa y la administración de riesgos cuantitativa, los dos métodos tradicionales. El proceso se presenta como un método alternativo, que proporciona un equilibrio entre estas metodologías, lo que deriva en un proceso que ha demostrado su eficacia en Microsoft.
Capítulo 3: Información general acerca de la administración de riesgos de seguridad En este capítulo se proporciona un examen más detallado del proceso de administración de riesgos de seguridad de Microsoft y se presentan algunos de los conceptos y claves importantes para el éxito. También se ofrece orientación acerca de cómo prepararse para el proceso mediante un planeamiento eficaz y la creación de un equipo de administración de riesgos de seguridad sólido con funciones y responsabilidades bien definidas.
Capítulo 4: Evaluación del riesgo En este capítulo se explica detalladamente la fase de evaluación de riesgos del proceso de administración de riesgos de seguridad de Microsoft. Los pasos de esta fase incluyen el planeamiento, la recopilación de datos facilitados y la asignación de prioridades a los riesgos. El proceso de evaluación de riesgos consta de varias tareas, algunas de las cuales pueden resultar muy exigentes para una organización grande. Por ejemplo, la identificación y la determinación de los valores de los activos de negocios pueden durar mucho tiempo. Otras tareas, como la identificación de amenazas y de vulnerabilidades, requieren grandes conocimientos técnicos. Los retos relacionados con estas tareas ilustran la importancia de un planeamiento correcto y de la creación de un equipo de administración de riesgos de seguridad sólo, tal como se recalca en el capítulo 3, "Información general acerca de la administración de riesgos de seguridad". En la asignación de prioridades a los riesgos de resumen, el equipo de administración de riesgos de seguridad utiliza un enfoque cualitativo para clasificar la lista completa de riesgos de seguridad para poder identificar los más importantes y someterlos a un mayor análisis. A continuación, los riesgos principales se someten a un análisis detallado mediante técnicas cuantitativas. El resultado es una lista breve de los riesgos más importantes con métricas detalladas que el equipo puede utilizar para tomar decisiones sensatas durante la siguiente fase del proceso.
Capítulo 5: Apoyo a la toma de decisiones Durante la fase de apoyo a la toma de decisiones del proceso, el equipo de administración de riesgos de seguridad determina cómo afrontar los riesgos clave del modo más eficaz y asequible. El equipo identifica los controles, determina los costos asociados a la adquisición, implementación y soporte de cada control, evalúa la reducción del nivel de riesgo que logra cada control y, finalmente, trabaja con el comité directivo de seguridad para determinar los controles que se implementarán. El resultado final es un plan claro y aplicable para controlar o aceptar cada uno de los riesgos principales identificados en la fase de evaluación de riesgos.
Capítulo 6: Implementación de controles y medición de la efectividad del programa En este capítulo se tratan las dos últimas fases del proceso de administración de riesgos de seguridad de Microsoft: la implementación de controles y la medición de la efectividad del programa. La fase de implementación de controles se explica por sí misma: los responsables de mitigación crean y ejecutan planes en función de la lista de soluciones de control surgida durante el proceso de apoyo a la toma de decisiones para mitigar los riesgos identificados en la fase de evaluación de riesgos. En este capítulo se proporcionan vínculos a indicaciones normativas que los responsables de mitigación de su organización pueden considerar útiles para responder a distintos riesgos. La fase de medición de la efectividad del programa es un proceso continuo en el que el
equipo de administración de riesgos de seguridad comprueba periódicamente que los controles implementados durante la fase anterior están ofreciendo realmente el nivel de protección previsto. Otro paso de esta fase consiste en valorar el progreso global que la organización está efectuando en relación con la administración de riesgos de seguridad como un conjunto. En el capítulo se introduce el concepto de un "cálculo de riesgos de seguridad" que puede utilizar para realizar el seguimiento de la actuación de su organización. Finalmente, en el capítulo se explica la importancia de vigilar los cambios en el entorno informático, como la adición y eliminación de sistemas y aplicaciones o la aparición de nuevas amenazas y vulnerabilidades. Estos tipos de cambios pueden requerir que la organización adopte acciones inmediatas para protegerse de riesgos nuevos o cambiantes.
Apéndice A: Evaluaciones ad hoc En este apéndice se compara el proceso de evaluación de riesgos de empresa formal con el enfoque ad hoc que muchas organizaciones adoptan. Se destacan las ventajas y las desventajas de cada método y se sugiere cuándo resulta más sensato utilizar uno u otro.
Apéndice B: Activos comunes del sistema de información En este apéndice se enumeran los activos del sistema de información que se encuentran habitualmente en organizaciones de varios tipos. Esta lista no pretende ser exhaustiva y es improbable que represente todos los activos del entorno único de su organización. Por lo tanto, es importante que personalice la lista durante el proceso de evaluación de riesgos. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organización a empezar.
Apéndice C: Amenazas comunes En este apéndice se enumeran las amenazas que probablemente pueden afectar a una amplia gama de organizaciones. La lista no es exhaustiva y, debido a que es estática, no estará actualizada. Por lo tanto, es importante que quite las amenazas que no son relevantes para su organización y agregue las identificadas recientemente durante la fase de evaluación de su proyecto. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organización a empezar.
Apéndice D: Vulnerabilidades En este apéndice se enumeran las vulnerabilidades que probablemente pueden afectar a una amplia gama de organizaciones. La lista no es exhaustiva y, debido a que es estática, no estará actualizada. Por lo tanto, es importante que quite las vulnerabilidades que no son relevantes para su organización y agregue las identificadas recientemente durante el proceso de evaluación de riesgos. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organización a empezar.
Herramientas y plantillas En esta guía se incluye una serie de herramientas y plantillas que facilitarán a su organización la implementación del proceso de administración de riesgos de seguridad de Microsoft. Estas herramientas y plantillas están incluidas en un archivo WinZip autoextraíble que está disponible en el Centro de descarga. Tenga en cuenta que la descarga también contiene una copia de esta guía. Al extraer los archivos del archivo de almacenamiento descargado, se crea la siguiente estructura de carpetas en la ubicación especificada:
•
\Guía de administración de riesgos de seguridad: contiene la versión de esta guía en un archivo de formato de documento portátil (PDF).
•
\Guía de administración de riesgos de seguridad\Herramientas y plantillas: contiene los siguientes archivos:
• Plantilla de recopilación de datos (GARSHerramienta1-Herramienta de recopilación de
datos.doc). Puede utilizar esta plantilla en la fase de evaluación de riesgos durante los talleres que se describen en el capítulo 4, "Evaluación del riesgo".
• Hoja de trabajo Análisis de riesgos de nivel de resumen (GARSHerramienta2-Nivel de riesgo de resumen.xls). Esta hoja de trabajo de Microsoft® Excel ayudará a su organización a realizar el primer paso del análisis de riesgos: el análisis de nivel de resumen.
• Hoja de trabajo Análisis de riesgos de nivel de detalle (GARSHerramienta3-Asignación de
prioridades a los riesgos de nivel detallado.xls). Esta hoja de trabajo de Excel ayudará a su organización a realizar un análisis más exhaustivo de los riesgos principales identificados durante el análisis de nivel de resumen.
• Programa de ejemplo (GARSHerramienta4-Programa de proyecto de ejemplo.xls). Esta hoja de trabajo de Excel muestra un programa de proyecto de alto nivel para el proceso de
administración de riesgos de seguridad. Incluye las fases, los pasos y las tareas descritos a lo largo de la guía.
Claves para el éxito
Siempre que una organización emprende una nueva iniciativa importante, deben existir varios elementos fundamentales si se desea que el esfuerzo tenga éxito. Microsoft ha identificado los componentes que deben existir antes de la implementación de un proceso de administración de riesgos de seguridad con éxito y que deben seguir existiendo una vez se ha puesto en marcha. Se trata de:
•
Patrocinio ejecutivo.
•
Lista bien definida de los participantes en la administración de riesgos.
•
Madurez organizativa en administración de riesgos.
•
Ambiente de comunicaciones abiertas.
•
Espíritu de trabajo en equipo.
•
Visión holística de la organización.
•
Autoridad de equipo de administración de riesgos de seguridad.
En las siguientes secciones se tratan estos elementos necesarios en todo el proceso de administración de riesgos; los adicionales que resulten pertinentes para fases específicas se indican en los capítulos donde se explican dichas fases.
Patrocinio ejecutivo Los directivos deben apoyar de forma clara y con entusiasmo el proceso de administración de riesgos de seguridad. Sin este patrocinio, los participantes pueden oponerse o socavar los esfuerzos para utilizar la administración de riesgos con el fin de lograr que la organización sea más segura. Asimismo, sin un patrocinio ejecutivo claro, los empleados pueden hacer caso omiso a las directivas acerca del modo de llevar a cabo su trabajo o no ayudar a proteger los activos organizativos. Existen numerosos motivos posibles por los que los empleados no colaboren. Entre otros, se puede mencionar la resistencia generalizada a los cambios, la falta de consideración
acerca de la importancia de una administración de riesgos eficaz, la creencia no exactamente cierta de que ellos, como individuos, poseen unos conocimientos sólidos acerca de cómo proteger los activos de negocios aunque su punto de vista pueda no ser tan amplio o profundo como el del equipo de administración de riesgos de seguridad o la creencia de que su parte de la organización nunca será objetivo de los posibles piratas informáticos. El patrocinio implica lo siguiente:
•
Delegación de autoridad y responsabilidad al equipo de administración de riesgos de seguridad para un alcance de proyecto articulado de forma clara.
•
Apoyo a la participación de todo el personal según sea necesario.
•
Asignación de recursos suficientes, como personal y recursos financieros.
•
Apoyo claro y enérgico al proceso de administración de riesgos de seguridad.
•
Participación en la revisión de los resultados y las recomendaciones del proceso de administración de riesgos de seguridad.
Lista bien definida de los participantes en la administración de riesgos En esta guía con frecuencia se hace referencia al término participantes, que en este contexto significa miembros de la organización que están interesados en los resultados del proceso de administración de riesgos de seguridad. El equipo de administración de riesgos de seguridad tiene que saber quiénes son todos los participantes, incluido el propio equipo nuclear así como los patrocinadores ejecutivos. También se incluyen las personas que se encargan de los activos de negocios que se evaluarán. El personal de TI responsable de diseñar, implementar y administrar los activos de negocios también son participantes clave. Los participantes se deben identificar para que se puedan incorporar al proceso de administración de riesgos de seguridad. El equipo de administración de riesgos de seguridad debe dedicar tiempo en ayudarles a comprender el proceso y el modo en que pueden colaborar para proteger sus activos y ahorrar dinero a largo plazo.
Madurez organizativa en administración de riesgos Si una organización no dispone actualmente de un proceso de administración de riesgos de seguridad, el proceso de Microsoft puede implicar demasiados cambios para implementarlo por completo. Aunque una organización tenga algunos procesos informales, como esfuerzos ad hoc que se ponen en marcha como respuesta a problemas de seguridad específicos, el proceso puede parecer abrumador. No obstante, puede resultar eficaz en organización con más madurez en administración de riesgos; la madurez se hace patente en cuestiones como procesos de seguridad bien definidos y un conocimiento y aceptación sólidos de la administración de riesgos de seguridad en muchos niveles de la organización. En el capítulo 3, "Información general acerca de la administración de riesgos de seguridad", se trata el concepto de madurez de administración de riesgos de seguridad y cómo calcular el nivel de madurez de su organización.
Ambiente de comunicaciones abiertas Muchas organizaciones y proyectos funcionan exclusivamente sobre la base de "quien necesite saberlo", que con frecuencia provoca equivocaciones y merma la capacidad de un equipo para ofrecer una solución satisfactoria. El proceso de administración de riesgos de seguridad de Microsoft requiere un enfoque abierto y honesto de las comunicaciones, tanto dentro del equipo como con los participantes clave. Un flujo libre de la información no sólo reduce el riesgo de equivocaciones y esfuerzos desperdiciados, sino que también garantiza que todos los miembros
del equipo pueden contribuir para reducir las incertidumbres que rodean al proyecto. Un debate abierto y honesto acerca de los riesgos que se han identificado y los controles que pueden mitigarlos de forma eficaz resulta crucial para el éxito del proceso.
Espíritu de trabajo en equipo La solidez y la validez de las relaciones entre todas las personas que trabajan en el proceso de administración de riesgos de Microsoft tendrán un efecto muy importante en el esfuerzo. Independientemente del apoyo de los directivos, las relaciones establecidas entre el personal y responsables de seguridad y el resto de la organización son fundamentales para el éxito global del proceso. Resulta muy importante que el equipo de administración de riesgos de seguridad fomente un espíritu de trabajo en equipo con cada uno de los representantes de las unidades de negocios con los que trabajen a lo largo del proyecto. El equipo puede facilitar este hecho si demuestra de forma eficaz el valor de negocios de la administración de riesgos de seguridad a los responsables individuales de las unidades de negocios y si muestra al personal el modo en que el proyecto, a largo plazo, puede facilitarles su trabajo.
Visión holística de la organización Todos los participantes implicados en el proceso de Microsoft, en concreto el equipo de administración de riesgos de seguridad, deben tener en cuenta a toda la organización durante su trabajo. Lo que resulta adecuado para un empleado concreto no suele serlo para la organización como un conjunto. Del mismo modo, lo que es más beneficioso para una unidad de negocios puede no corresponder a los mejores intereses de la organización. El personal y los responsables de una determinada unidad de negocios intentarán instintivamente que los resultados del proceso sean beneficiosos para ellos y sus partes de la organización.
Autoridad a través del proceso Los participantes del proceso de administración de riesgos de seguridad de Microsoft aceptan la responsabilidad de identificar y controlar los riesgos de seguridad más importantes para la organización. Con el fin de mitigar de forma eficaz estos riesgos mediante la implementación de controles razonables, también necesitan autoridad suficiente para efectuar los cambios adecuados. Los miembros del equipo deben poder cumplir los compromisos asignados. Para ello, es necesario que a los miembros del equipo se les concedan los recursos necesarios para llevar a cabo su trabajo, que sean responsables de las decisiones que afecten a su trabajo y que comprendan los límites de su autoridad y las rutas de traslado a niveles superiores disponibles para tratar los problemas que trasciendan dichos límites.
Términos y definiciones
En ocasiones, la terminología relacionada con la administración de riesgos de seguridad puede resultar difícil de entender. En otras ocasiones, un término de fácil identificación puede ser interpretado de forma distinta por diferentes personas. Por estos motivos, es importante que comprenda las definiciones que los autores de esta guía han utilizado para los términos importantes que aparecen en ella. Muchas de las definiciones indicadas a continuación proceden de documentos publicados por dos organizaciones: International Standards Organization (ISO) e Internet Engineering Task Force (IETF). Las direcciones Web de dichas organizaciones se proporcionan en la sección "Información adicional" más adelante en este capítulo. En la siguiente lista se proporciona una perspectiva unificada de los componentes clave de la administración de riesgos de seguridad:
•
Expectativa de pérdida anual (ALE): importe monetario total que una organización perderá en un año si no se emprende ninguna acción para mitigar un riesgo.
• • •
Frecuencia anual (ARO): número de veces que se prevé que se produzca un riesgo durante un año. Activo: cualquier elemento de valor para una organización, como componentes de hardware y software, datos, personas y documentación. Disponibilidad: propiedad de un sistema o un recurso del sistema que garantiza que se puede tener acceso y utilizar según lo solicite un usuario de sistema autorizado. La disponibilidad es una de las características básicas de un sistema seguro.
•
CID: consulte confidencialidad, integridad y disponibilidad.
•
Confidencialidad: propiedad de que la información no se revela ni pone a disposición de
•
Control: medio organizativo, de procedimiento o tecnológico para administrar el riesgo; es
personas, entidades o procesos no autorizados (ISO 7498-2). sinónimo de protección o contramedida.
•
Análisis de costo-beneficio: estimación y comparación del valor relativo y el costo asociado
•
Apoyo a la toma de decisiones: asignación de prioridades a los riesgos según el análisis de
a cada control propuesto para que se implementen los más eficaces. costo-beneficio. El costo de la solución de seguridad para mitigar un riesgo se compara con la ventaja para el negocio de mitigar el riesgo.
• • •
Defensa en profundidad: enfoque en el que se utilizan varios niveles de seguridad para protegerse del error de un solo componente de seguridad. Aprovechamiento: medio de utilizar una vulnerabilidad para poner en peligro las actividades de negocios o la seguridad de la información. Exposición: acción de amenaza en la que los datos confidenciales se revelan a una entidad no autorizada (RFC 2828). El proceso de administración de riesgos de seguridad de Microsoft limita esta definición para centrarse en el alcance de los daños en un activo empresarial.
•
Efecto: pérdida de negocios global prevista cuando una amenaza aprovecha una vulnerabilidad
•
Integridad: propiedad de que los datos no se han modificado ni destruido de un modo no
•
Mitigación: solución de un riesgo mediante la adopción de medidas diseñadas para
• •
en un activo. autorizado (ISO 7498-2). contrarrestar la amenaza. Solución de mitigación: implementación de un control (organizativo, de procedimiento o tecnológico) para hacer frente a un riesgo de seguridad. Probabilidad: posibilidad de que se produzca un suceso.
•
Administración de riesgos cualitativa: enfoque de la administración de riesgos en el que los
•
Administración de riesgos cuantitativa: enfoque de la administración de riesgos en el que
participantes asignan valores relativos a activos, riesgos, controles y efectos. los
participantes
intentan
asignar
valores
numéricos
objetivos
(por
ejemplo,
valores
monetarios) a activos, riesgos, controles y efectos.
•
Reputación: opinión que las personas tienen de una organización; la reputación de la mayoría
•
Rendimiento de la inversión en seguridad (ROSI): importe monetario total que una
•
de las organizaciones tiene un valor real aunque sea intangible y difícil de calcular. organización prevé ahorrar en un año si implementa un control de seguridad. Riesgo: combinación de la probabilidad de un suceso y sus consecuencias (guía 73 de ISO).
•
Evaluación de riesgos: proceso mediante el que se identifican los riesgos y se determinan
•
Administración de riesgos: proceso para determinar un nivel de riesgo aceptable, evaluar el
sus efectos. nivel de riesgo actual, adoptar medidas para reducir el riesgo al nivel aceptable y mantener dicho nivel de riesgo.
•
Expectativa de pérdida simple (SLE): importe total de los ingresos que se perderán si se
•
Amenaza: causa posible de un efecto no deseado en un sistema u organización (ISO 13335-
•
Vulnerabilidad: cualquier debilidad, proceso administrativo, acto o exposición física que
produce una vez un riesgo. 1). permita que una amenaza ataque a un activo de información.
Convenciones de estilo
En esta guía se utilizan las siguientes convenciones de estilo y terminología. Tabla 1.1: Convenciones de estilo Elemento
Significado
Nota
Avisa al lector de que hay información adicional.
Ejemplo de
Avisa al lector de que hay contenido relacionado con la empresa ficticia
Woodgrove
de ejemplo, "Woodgrove Bank".
Obtención de ayuda para esta guía
En esta guía se pretende describir de forma clara un proceso que las organizaciones pueden seguir para implementar y mantener un programa de administración de riesgos. Si necesita ayuda para implementar un programa de administración de riesgos, debe ponerse en contacto con su equipo de cuentas de Microsoft. Para este documento no existe asistencia telefónica. Las opiniones y las dudas acerca de esta guía se pueden enviar a
[email protected].
Información adicional
Las siguientes fuentes de información eran las más recientes disponibles acerca de los temas estrechamente relacionados con la administración de riesgos de seguridad en el momento de publicar esta guía. Microsoft Operations Framework (MOF) proporciona orientación que permite a las organizaciones aumentar la confiabilidad, disponibilidad, compatibilidad y manejabilidad de los productos y las tecnologías de Microsoft que resultan fundamentales para su labor. MOF proporciona orientación operativa en notas del producto, guías de operaciones, herramientas de evaluación, prácticas recomendadas, estudios de casos, plantillas, herramientas de asistencia y servicios. El objetivo de esta guía es orientar en todas las cuestiones administrativas, de personal, de proceso y tecnológicas que suelen surgir en cualquier entorno de TI distribuido, heterogéneo y complejo. En www.microsoft.com/mof hay disponible más información acerca de MOF. Microsoft Solutions Framework (MSF) puede ayudarle a llevar a cabo con éxito los planes de acción creados como parte del proceso de administración de riesgos de seguridad de Microsoft. Se ha diseñado para ayudar a las organizaciones a ofrecer soluciones de tecnología de alta calidad puntuales y según lo presupuestado. MSF sintetiza un enfoque bien disciplinado orientado hacia los proyectos tecnológicos basándose en un conjunto definido de principios, modelos, disciplinas, conceptos, orientaciones y prácticas demostradas de Microsoft. Para obtener más información acerca de MSF, consulte www.microsoft.com/msf. El Centro de instrucciones de seguridad de Microsoft (SGC) constituye una colección exhaustiva y bien organizada de documentación que trata una amplia variedad de temas de seguridad. SGC está disponible en www.microsoft.com/security/guidance/default.mspx.
Microsoft Windows 2000 Server Solution for Security es una solución normativa dirigida a reducir las vulnerabilidades de seguridad así como los costos de exposición y la administración de seguridad en entornos de Microsoft Windows® 2000. Los capítulos 2, 3 y 4 de la guía Microsoft Windows 2000 Server Solution for Security contienen la primera guía de administración de riesgos de seguridad que ha publicado Microsoft, que se denomina Disciplina de administración de riesgos de seguridad (SRMD). La guía que está leyendo reemplaza el contenido de administración de riesgos de seguridad de la guía Microsoft Windows 2000 Server Solution for Security.
Esta
guía
esta
disponible
en
http://go.microsoft.com/
fwlink/?LinkId=14837. El instituto National Institute for Standards and Technology (NIST) ofrece una excelente guía acerca de la administración de riesgos titulada Risk Management Guide for Information Technology Systems (enero de 2002). Está disponible http://csrc.nist.gov/publications/nistpubs/800-30/ sp800-30.pdf. NIST también ofrece la guía titulada The Security Self-Assessment Guide for Information Technology Systems (noviembre de 2001) acerca de cómo realizar la evaluación de su organización.
Está
disponible
en
http://csrc.nist.gov/publications/nistpubs/800-26/
sp800-26.pdf. La organización ISO ofrece un código de alto nivel de práctica denominado Information technology — Code of practice for information security management; también se denomina ISO 17799. Se puede
adquirir
en
www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?
CSNUMBER=33441&ICS1=35&ICS2=40&ICS3=. La organización ISO ha publicado varios documentos de estándares, algunos de los cuales se mencionan en esta guía. Se pueden adquirir en www.iso.org. La organización Computer Emergency Response Team (CERT), que se encuentra en el centro Software
Engineering
(Operationally
Critical
autoevaluación
y
Institute Threat,
planeamiento
de
la
Asset, de
universidad and
riesgos.
Carnegie-Mellon,
Vulnerability
ha
creado
SM
Evaluation ),
En www.cert.org/octave
hay
una
OCTAVE®
técnica
disponible
de más
información acerca de OCTAVE. En CobiT (Control Objectives for Information and Related Technology) se ofrecen estándares de aplicación y aceptación general para prácticas recomendadas de seguridad y control de TI que proporcionan un marco de referencia a directivos, usuarios y especialistas de auditoría, control y seguridad de sistemas de información. Se puede adquirir en línea en el instituto IT Governance Institute en www.itgi.org/cobit. La organización IETF ha publicado el documento 2828 de Request for Comments (RFC), que es un memorando disponible públicamente donde se proporcionan definiciones estándar para numerosos términos
de
seguridad
www.faqs.org/rfcs/rfc2828.html.
de
sistemas
de
información.
Está
disponible
en
Guía de administración de riesgos de seguridad Capítulo 2: Estudio de prácticas de administración de riesgos de seguridad Publicado: 15/10/2004
Este capítulo comienza con una revisión de los puntos fuertes y débiles de los enfoques proactivo y reactivo de la administración de riesgos de seguridad. A continuación, en el capítulo se evalúan y se comparan la administración de riesgos de seguridad cualitativa y la cuantitativa, los dos métodos tradicionales. El proceso de administración de riesgos de seguridad de Microsoft se presenta como un método alternativo, que proporciona un equilibrio entre estas metodologías, lo que deriva en un proceso que ha demostrado su eficacia en Microsoft. Nota: es importante sentar las bases del proceso de administración de riesgos de seguridad mediante la revisión de las distintas formas en que las organizaciones han enfocado la administración de riesgos de seguridad en el pasado. Los lectores que ya tengan experiencia en administración de riesgos de seguridad pueden consultar el capítulo rápidamente; se recomienda que los que tengan poca experiencia en la seguridad o la administración de riesgos lo lean detenidamente.
Comparación de los enfoques de administración de riesgos
Muchas organizaciones se han introducido en la administración de riesgos de seguridad debido a la necesidad de responder a una incidencia de seguridad relativamente pequeña. Por ejemplo, el equipo de un empleado se infecta con un virus y un responsable de la oficina convertido en experto informático debe averiguar cómo tiene que erradicar el virus sin destruir el equipo ni los datos que contiene. Independientemente de cuál sea la incidencia inicial, a medida que aparecen cada vez más problemas relacionados con la seguridad y comienzan a tener repercusiones en los negocios, muchas organizaciones sienten frustración al tener que responder a una crisis tras otra. Desean una alternativa a este enfoque reactivo, una alternativa que reduzca la probabilidad de que las incidencias de seguridad se produzcan en primer lugar. Las organizaciones que administran el riesgo de forma eficaz evolucionan a un enfoque más proactivo pero, como se explicará en este capítulo, esto sólo constituye parte de la solución.
Enfoque reactivo Actualmente, muchos profesionales de tecnología de información (TI) sienten una tremenda presión para terminar sus tareas rápidamente y provocar las menos incomodidades posibles a los usuarios. Cuando se produce una incidencia de seguridad, muchos profesionales de TI piensan que lo único para lo que tienen tiempo de hacer es contener la situación, averiguar qué ha sucedido y reparar los sistemas lo más rápidamente posible. Algunos pueden intentar identificar la causa principal, pero esto incluso puede parecer un lujo para los que tienen grandes restricciones de recursos. Aunque un enfoque reactivo puede constituir una respuesta táctica eficaz a los riesgos de seguridad descubiertos y se han convertido en incidencias de seguridad, la imposición de un pequeño nivel de rigor al enfoque reactivo puede permitir que las organizaciones de cualquier tipo utilicen mejor sus recursos. Las incidencias de seguridad recientes pueden servir de ayuda para que una organización se prepare y prevea los problemas futuros. Esto significa que una organización que dedica tiempo a responder a las incidencias de seguridad de un modo calmado y racional mientras determina los motivos subyacentes que han permitido que se produjera la incidencia podrá protegerse mejor de problemas similares en el futuro y responderá con más rapidez a otros problemas que puedan aparecer.
Queda fuera del alcance de esta guía el examen en profundidad de la respuesta a incidencias, pero los siguientes seis pasos al responder a incidencias de seguridad pueden ayudarle a afrontarlos de un modo rápido y eficaz: 1.
Proteger la vida humana y la seguridad de las personas. Ésta debe ser siempre la primera prioridad. Por ejemplo, si los equipos afectados incluyen equipos de mantenimiento de vida, apagarlos puede no ser una opción; tal vez se pueden aislar lógicamente los sistemas en la red cambiando la configuración de enrutadores y conmutadores sin interrumpir su capacidad de ayudar a los pacientes.
2.
Contener el daño. Contener el daño que ha provocado el ataque ayuda a limitar daños adicionales. Proteja rápidamente los datos, el software y el hardware importantes. Minimizar la alteración de los recursos información es una consideración importante, pero mantener los sistemas conectados durante un ataque puede causar más problemas y de mayor difusión a largo plazo. Por ejemplo, si descubre un gusano en su entorno, puede intentar limitar los daños desconectando los servidores de la red. No obstante, desconectar los servidores puede resultar más perjudicial que beneficioso. Utilice su criterio y conocimientos de la red y sistemas para tomar esta decisión. Si determina que no habrá efectos negativos o que estos se verán compensados por las ventajas positivas de la actividad, la contención se debe iniciar lo más pronto posible durante una incidencia de seguridad mediante la desconexión de la red de los sistemas que estén afectados. Si no puede contener el daño mediante el aislamiento de los servidores, supervise activamente las acciones del pirata informático para poder reparar los daños tan pronto como sea posible. Ante cualquier incidencia, asegúrese de que todos los archivos de registro se guardan antes de apagar los servidores con el fin de conservar la información que contienen dichos archivos como prueba si usted (o sus abogados) la necesitan posteriormente.
3.
Evaluar el daño. Cree inmediatamente un duplicado de los discos duros de los servidores atacados y quítelos para realizar un examen forense posterior. A continuación, evalúe los daños. Debe empezar por determinar el alcance de los daños que el ataque ha causado tan pronto como sea posible, inmediatamente después de contener la situación y duplicar los discos duros. Esta acción es importante para poder restaurar las operaciones de la organización tan pronto como sea posible, al mismo tiempo que se conserva una copia de los discos duros para su investigación. Si no se puede evaluar el daño de forma oportuna, debe implementar un plan de contingencias para que las operaciones de negocios normales y la productividad puedan continuar. En este momento las organizaciones pueden establecer contacto con los cuerpos de seguridad en relación con la incidencia; no obstante, debe establecer y mantener relaciones con los cuerpos de seguridad que tengan jurisdicción sobre la actividad de su organización antes de que se produzca una incidencia para que, cuando aparezca un problema grave, sepa con quién debe ponerse en contacto y con quién debe colaborar. También debe avisar inmediatamente al departamento jurídico de su empresa para que pueda determinar si es posible emprender una demanda civil como consecuencia de los daños.
4.
Determinar la causa del daño. Para determinar el origen del asalto, es necesario conocer los recursos a los que iba dirigido el ataque y las vulnerabilidades que se han aprovechado para obtener acceso o interrumpir los servicios. Revise la configuración del sistema, el nivel de revisión, los registros del sistema, los registros de auditoría y las pistas de auditoría en los sistemas afectados directamente y en los dispositivos de red que les enrutan el tráfico. Normalmente, estas revisiones ayudan a descubrir dónde se ha originado el ataque en el
sistema y los demás recursos afectados. Debe llevar a cabo esta actividad en los sistemas informáticos instalados y no en las unidades de copia de seguridad creadas en el paso 3. Dichas unidades deben permanecer intactas con fines forenses de modo que los cuerpos de seguridad o sus abogados puedan utilizarlas para descubrir a los autores del ataque y llevarlos ante la justicia. Si necesita crear una copia de seguridad para efectuar pruebas con el fin de determinar la causa del daño, cree una segunda copia de seguridad del sistema original y no utilice las unidades creadas en el paso 3. 5.
Reparar el daño. Es de suma importancia que se repare el daño tan pronto como sea posible para así restaurar las operaciones de negocios normales y los datos que se han perdido durante el ataque. Los planes y procedimientos de continuidad de negocio de la organización deben cubrir la estrategia de restauración. El equipo de respuesta a incidencias también debe estar disponible para encargarse del proceso de restauración y recuperación, o para proporcionar orientación acerca del proceso al equipo responsable. Durante la recuperación, se ejecutan los procedimientos de contingencias con el fin de evitar una mayor propagación del daño y aislarlo. Antes de devolver los sistemas reparados al servicio, tenga cuidado de que no se vuelvan a infectar inmediatamente; para ello, asegúrese de que ha mitigado las vulnerabilidades que se hayan atacado durante la incidencia.
6.
Revisar las directivas de respuesta y actualización. Después de haber completado las fases de documentación y recuperación, debe revisar a fondo el proceso. Determine con su equipo cuáles son los pasos que se realizaron correctamente y qué errores se cometieron. En casi todos los casos, descubrirá que es necesario modificar los procesos para permitirle administrar mejor las incidencias en el futuro. Inevitablemente encontrará debilidades en su plan de respuesta a incidencias. En esto estriba la cuestión de este ejercicio detallado: se buscan oportunidades de mejora. Cualquier error debe propiciar otra ronda del proceso de plan de respuesta a incidencias para poder afrontar las incidencias futuras con menos problemas.
Esta metodología se ilustra en el siguiente diagrama:
Figura 2.1 Proceso de respuesta a incidencias
Enfoque proactivo La administración de riesgos de seguridad proactiva tiene numerosas ventajas con respecto a un enfoque reactivo. En vez de esperar a que suceda lo peor y, a continuación, llevar a cabo la respuesta, se minimiza la posibilidad de que pase lo peor antes de que se produzca. Se trazan planes para proteger los activos importantes de la organización mediante la implementación de controles que reduzcan el riesgo de que el software malintencionado, los piratas informáticos o un uso incorrecto accidental aprovechen las vulnerabilidades. Esta idea se puede ilustrar con una analogía. La gripe es una enfermedad respiratoria mortal que infecta a millones de personas en Estados Unidos cada año. De ellas, más de 100.000 deben recibir tratamiento en hospitales y cerca de 36.000 mueren. Podría tratar la amenaza de la enfermedad esperando a infectarse y, después, tomar la medicina para tratar los síntomas si enferma. O también podría optar por vacunarse antes de que comenzara la temporada de la gripe. Evidentemente, las organizaciones no debe abandonar por completo la respuesta a incidencias. Un enfoque proactivo puede ayudar a las organizaciones a reducir considerablemente el número de incidencias de seguridad que surjan en el futuro, pero no es probable que dichos problemas desaparezcan por completo. Por lo tanto, las organizaciones deben continuar mejorando sus procesos de respuesta a incidencias mientras desarrollan simultáneamente enfoques proactivos a largo plazo. En las secciones posteriores de este capítulo, y en el resto de los capítulos de esta guía, se examinará la administración de riesgos de seguridad proactiva en profundidad. Todas las metodologías de administración de riesgos de seguridad comparten algunos procedimientos de alto nivel comunes: 1.
Identificar los activos de negocios.
2.
Determinar el daño que un ataque a un activo podría provocar a la organización.
3.
Identificar las vulnerabilidades que aprovechará el ataque.
4.
Determinar el modo de minimizar el riesgo de ataque mediante la implementación de los controles adecuados.
Enfoques de asignación de prioridades a riesgos
Los términos administración de riesgos y evaluación de riesgos se utilizan con frecuencia en esta guía y, aunque están relacionados, no se pueden usar indistintamente. El proceso de administración de riesgos de seguridad de Microsoft define la administración de riesgos como el esfuerzo global para administrar el riesgo hasta alcanzar un nivel aceptable en la empresa. La evaluación de riesgos se define como el proceso de identificar y asignar prioridades a los riesgos para la empresa. Hay numerosas metodologías distintas para asignar prioridades a los riesgos o evaluarlos, pero la mayoría están basadas en uno de estos dos enfoques o en una combinación de ambos: administración de riesgos cuantitativa o administración de riesgos cualitativa. Consulte en la lista de recursos de la sección "Información adicional" al final del capítulo 1, "Introducción a la guía de administración de riesgos de seguridad", los vínculos a otras metodologías de evaluación de riesgos. En las siguientes secciones de este capítulo se ofrecen un resumen y una comparación de la evaluación de riesgos cuantitativa y la cualitativa, seguidos de una breve descripción del proceso de administración de riesgos de seguridad de Microsoft para que pueda apreciar cómo combina aspectos de ambos enfoques.
Evaluación de riesgos cuantitativa En las evaluaciones de riesgos cuantitativas, el objeto es intentar calcular valores numéricos objetos para cada uno de los componentes recopilados durante la evaluación de riesgos y el análisis de costo-beneficio. Por ejemplo, se estima el valor verdadero de cada activo de negocios en función de lo que costaría reemplazarlo, lo que costaría en pérdida de productividad, lo que costaría en reputación de marca y en otros valores de negocios directos e indirectos. Intente emplear la misma objetividad al calcular la exposición de activos, el costo de controles y el resto de los valores que identifique durante el proceso de administración de riesgos. Nota: en esta sección se pretende mostrar a grandes rasgos algunos de los pasos de las evaluaciones de riesgos cuantitativas; no se trata de una guía normativa para utilizar dicho enfoque en proyectos de administración de riesgos de seguridad. Existen algunos puntos débiles importantes que son inherentes a este enfoque y que no se pueden solventar fácilmente. En primer lugar, no existe un modo formal y riguroso de calcular de forma eficaz los valores de los activos y de los controles. Es decir, aunque pueda parecer que ofrece más detalle, en realidad los valores financieros oscurecen el hecho de que las cifras se basan en estimaciones. ¿Cómo es posible calcular de un modo preciso y exacto las repercusiones que una incidencia de seguridad de amplia difusión podría tener en la marca? Se pueden examinar los datos históricos, si están disponibles, pero no suelen estarlo. En segundo lugar, las organizaciones que han intentado aplicar meticulosamente todos los aspectos de la administración de riesgos cuantitativa han comprobado que el proceso es excesivamente costoso. Dichos proyectos suelen tardar mucho tiempo en completar su primer ciclo completo y normalmente implican a muchos miembros del personal con discusiones acerca de cómo se han calculado los valores fiscales específicos. En tercer lugar, en organizaciones con valores de alto valor, el costo de exposición puede ser tan alto que se gastaría una ingente cantidad de dinero en mitigar los riesgos a los que estuvieran expuestas. Pero esto no es realista, una organización no gastaría todo su presupuesto en proteger un solo activo, ni siquiera los cinco principales.
Detalles del enfoque cuantitativo En este punto, puede resultar útil disponer de una descripción general de las ventajas y los inconvenientes de las evaluaciones de riesgos cuantitativas. En el resto de esta sección se examinan algunos de los factores y valores que normalmente se evalúan durante una evaluación de riesgos cuantitativa, como la valoración de activos, el costo de los controles, la determinación del rendimiento de la inversión en seguridad (ROSI) y el cálculo de valores para la expectativa de pérdida simple (SLE), la frecuencia anual (ARO) y la expectativa de pérdida anual (ALE). No se trata en absoluto de un examen exhaustivo de todos los aspectos de la evaluación de riesgos cuantitativa, sino de un breve examen de algunos detalles de dicho enfoque para que compruebe que las cifras que conforman la base de todos los cálculos son subjetivas en sí mismas. Valoración de activos La determinación del valor monetario de un activo es una parte importante de la administración de riesgos de seguridad. A menudo, los directores se basan en el valor de un activo como orientación para determinar el dinero y tiempo que deben invertir para protegerlo. Muchas organizaciones conservan una lista de valores de los activos como parte de los planes de continuidad de negocios. No obstante, las cifras calculadas en realidad son estimaciones subjetivas: no existe ninguna herramienta o método para determinar el valor de un activo. Para asignar un valor a un activo, se deben calcular los tres factores principales siguientes:
•
El valor global del activo en la organización. Calcule o estime el valor del activo en términos financieros directos. Consideremos el ejemplo simplificado de las repercusiones de la
interrupción temporal de un sitio Web de comercio electrónico que normalmente funciona siete días a la semana, 24 horas al día, y que genera un promedio de 2.000 dólares por hora en ingresos procedentes de los pedidos de los clientes. Puede establecer con seguridad que el valor anual del sitio Web en términos de ingresos por ventas es de 17.520.000 dólares.
•
La repercusión financiera inmediata de la pérdida del activo. Si simplificamos deliberadamente el ejemplo anterior y suponemos que el sitio Web genera una tasa constante por hora y el mismo sitio Web deja de estar disponible durante seis horas, la exposición calculada es de un 0,000685% por año. Al multiplicar este porcentaje de exposición por el valor anual del activo, podrá predecir que las pérdidas directamente atribuibles en este caso serían de 12.000 dólares. En realidad, la mayoría de los sitios Web de comercio electrónico generan ingresos con unas tasas muy distintas según la hora del día, el día de la semana, la estación, las campañas de publicidad y otros factores. Además, algunos clientes pueden encontrar un sitio Web alternativo que prefieran al original, por lo que dicho sitio Web puede tener una pérdida de usuarios permanente. En realidad, calcular la pérdida de ingresos resulta bastante complejo si se quiere ser preciso y tener en cuenta todos los tipos posibles de pérdida.
•
La repercusión de negocios indirecta de la pérdida del activo. En este ejemplo, la empresa estima que gastará 10.000 dólares en publicidad para contrarrestar la propaganda negativa de una incidencia. Asimismo, la empresa también estima una pérdida de un 0,01% a un 1% de ventas anuales, o 17.520 dólares. Mediante la combinación de los gastos de publicidad adicionales y de la pérdida ingresos por ventas anuales, en este caso se puede predecir un total de 27.520 dólares en pérdidas indirectas.
Determinación de la expectativa de pérdida simple La expectativa de pérdida simple es la cantidad total de ingresos que se pierde por una única incidencia del riesgo. Se trata de un importe monetario que se asigna a un único suceso que representa la cantidad de pérdida potencial de la empresa, en caso de que una amenaza específica aproveche una vulnerabilidad. (La expectativa de pérdida simple es similar a la repercusión de un análisis de riesgos cualitativo.) Calcule dicha expectativa multiplicando el valor del activo por el factor de exposición. Dicho factor representa el porcentaje de pérdida que una amenaza realizada podría suponer para un determinado activo. Si un conjunto de servidores Web tiene un valor de activo de 150.000 dólares y un incendio provoca daños estimados en el 25% de su valor, en este caso la expectativa de pérdida simple será de 37.500 dólares. No obstante se trata de un ejemplo muy simplificado, ya que es necesario tener en cuenta otros gastos. Determinación de la frecuencia anual La frecuencia anual es la cantidad razonable de veces que se espera que ocurra el riesgo durante el año. La elaboración de estas estimaciones resulta muy difícil; existen muy pocos datos actuariales disponibles. Lo que se ha recopilado hasta ahora parece ser información privada que poseen unas pocas empresas de seguros de bienes. Para estimar la frecuencia anual, recurra a sus experiencias anteriores y consulte a expertos en administración de riesgos, además de consultores de negocios y de seguridad. La frecuencia anual es similar a la probabilidad de un análisis de riesgos cualitativo y va del 0% (nunca) al 100% (siempre). Determinación de la expectativa de pérdida anual La expectativa de pérdida anual es la cantidad total de dinero que la organización perderá en un año si no se toman medidas para mitigar el riesgo. Para calcular este valor multiplique la expectativa de pérdida simple por la frecuencia anual. La expectativa de pérdida anual es similar al intervalo relativo de un análisis de riesgo cualitativo. Por ejemplo, si un incendio en el conjunto de servidores Web de la misma empresa provoca daños valorados en 37.500 dólares y la probabilidad, o frecuencia anual, de que se produzca un incendio tiene un valor 0,1 (lo que indica una vez cada diez años), en este caso el valor de frecuencia anual sería 3.750 dólares (37.500 x 0,1 = 3.750).
La expectativa de pérdida anual proporciona un valor con el que la organización puede trabajar para presupuestar cuánto costará establecer controles o protecciones para prevenir este tipo de daño (en este caso, 3.750 dólares o menos al año) y brindar un nivel adecuado de protección. Es importante cuantificar la posibilidad real de un riesgo y el daño, en términos monetarios, que puede causar la amenaza para determinar la cantidad que se puede destinar en la protección contra la posible consecuencia de la amenaza. Determinación del costo de los controles Determinar el costo de los controles requiere estimaciones precisas de cuánto costará adquirir, probar, implementar, poner en funcionamiento y mantener cada control. Dichos costos deben incluir la compra o desarrollo de la solución de control, la implementación y configuración de la solución de control, el mantenimiento de la misma, la notificación de nuevas directivas o procedimientos relacionados con el nuevo control a los usuarios, los cursos para usuarios y personal de TI acerca de cómo utilizar y dar soporte al control, supervisarlo y combatir la pérdida de comodidad o productividad que el control pueda imponer. Por ejemplo, para reducir el riesgo de que un incendio dañe el conjunto de servidores Web, la organización ficticia puede implementar un sistema de extinción de incendios automatizado. Será necesario contratar a un contratista para que diseñe e instale el sistema y, después, se tiene que supervisar continuamente. También será necesario comprobar el sistema periódicamente y, en ocasiones, recargarlo con los retardantes químicos que utilice. Rendimiento de la inversión en seguridad Estime el costo de los controles mediante la siguiente ecuación: (Expectativa de pérdida anual antes del control) – (Expectativa de pérdida anual después del control) – (costo anual del control) = rendimiento de la inversión en seguridad Por ejemplo, la expectativa de pérdida anual de la amenaza de que un pirata informático inutilice un servidor Web es de 12.000 dólares y después de implementar la protección sugerida se valora en 3.000 dólares. El costo anual del mantenimiento de la protección es de 650 dólares, por lo que el rendimiento de la inversión en seguridad es de 8.350 dólares al año, tal como se expresa en la siguiente ecuación: 12.000 - 3.000 - 650 = 8.350. Resultados de los análisis de riesgos cuantitativos Los elementos de entrada de los análisis de riesgos cuantitativos proporcionan objetivos y resultados claramente definidos. Los siguientes elementos normalmente se derivan de los resultados de los pasos anteriores:
•
Valores monetarios asignados de los activos
•
Una lista completa de amenazas importantes
•
La probabilidad de que cada amenaza ocurra
•
El potencial de pérdida para la empresa, por amenaza, cada 12 meses
•
Protecciones, controles y acciones recomendados
Ha podido comprobar que todos estos cálculos se basan en estimaciones subjetivas. Las cifras clave que proporcionan los resultados no se obtienen de ecuaciones objetivas o de conjuntos de datos actuariales bien definidos sino de las opiniones de los que realizan la evaluación. El valor del activo, la expectativa de pérdida simple, la frecuencia anual y el costo de los controles son cifras que incorporan los propios participantes (normalmente después de mucho debate y compromiso).
Evaluación de riesgos cualitativa La diferencia entre la evaluación de riesgos cualitativa y la cuantitativa estriba en que en la primera no se intentan aplicar valores financieros puros a los activos, pérdidas previstas y costo de controles. En su lugar se calculan valores relativos. El análisis de riesgos normalmente se lleva a cabo mediante la combinación de cuestionarios y talleres colaborativos que implican a personas de varios grupos de la organización, como expertos en seguridad de información, responsables y personal de tecnología de la información, responsables y usuarios de activos de negocios y directivos. Si se utilizan, los cuestionarios normalmente se distribuyen unos días, o unas semanas, antes del primer taller. Los cuestionarios están diseñados para descubrir los activos y controles que ya están implementados, y la información recopilada puede resultar muy útil durante los talleres posteriores. En los talleres, los participantes identifican los activos y estiman sus valores relativos. A continuación, intentan determinar las amenazas a las que se enfrenta cada activo y los tipos de vulnerabilidades que pueden aprovechar dichas amenazas en el futuro. Los expertos en seguridad de información y los administradores del sistema normalmente proponen controles con el fin de mitigar los riesgos para el grupo en consideración y el costo aproximado de cada control. Finalmente, los resultados se presentan a los directivos para que los tengan en cuenta durante un análisis de costo-beneficio. Como se puede comprobar, el proceso básico de las evaluaciones cualitativas es muy similar a lo que sucede en el enfoque cuantitativo. La diferencia se encuentra en los detalles. Las comparaciones entre el valor de un activo y otro son relativas, y los participantes no dedican demasiado tiempo en intentar calcular cifras financieras exactas para la valoración de activos. Lo mismo sucede en el cálculo de las repercusiones posibles si se produce un riesgo y el costo de la implementación de controles. Las ventajas de un enfoque cualitativo estriban en que se supera la dificultad de calcular cifras exactas para el valor de activos, costo de control, etc., y el proceso exige menos personal. Los proyectos de administración de riesgos cualitativa normalmente empiezan a arrojar resultados importantes al cabo de pocas semanas, mientras que en las organizaciones que optan por un enfoque cuantitativo se aprecian pocas ventajas durante meses, y en ocasiones años, de esfuerzos. El inconveniente de un enfoque cualitativo reside en que las cifras resultantes son vagas; algunos de los responsables de la toma de decisiones, en concreto los que disponen de experiencia en cuestiones financieras o contables, pueden no sentirse cómodos con los valores relativos determinados durante un proyecto de evaluación de riesgos cualitativa.
Comparación de los dos enfoques Los enfoques cualitativo y cuantitativo de la administración de riesgos de seguridad tienen sus ventajas e inconvenientes. Determinadas situaciones pueden demandar que las organizaciones adopten el enfoque cuantitativo. Por el contrario, las organizaciones de pequeño tamaño o con recursos limitados normalmente encontrarán más adecuado el enfoque cualitativo. En la siguiente tabla se resumen las ventajas y los inconvenientes de cada enfoque: Tabla 2.1: Ventajas e inconvenientes de cada enfoque de administración de riesgos
Ventajas
Cuantitativo
Cualitativo
– Se asignan prioridades a los
– Permite la visibilidad y la comprensión de
riesgos según las repercusiones
la clasificación de riesgos.
financieras; se asignan
– Resulta más fácil lograr el consenso.
prioridades de los activos según
– No es necesario cuantificar la frecuencia
los valores financieros.
de las amenazas.
Cuantitativo
Cualitativo
– Los resultados facilitan la
– No es necesario determinar los valores
administración del riesgo por el
financieros de los activos.
rendimiento de la inversión en
– Resulta más fácil involucrar a personas
seguridad.
que no sean expertas en seguridad o en
– Los resultados se pueden
informática.
expresar en terminología específica de administración (por ejemplo, los valores monetarios y la probabilidad expresada como un porcentaje específico). – La precisión tiende a ser mayor con el tiempo a medida que la organización crea un registro de historial de los datos mientras gana experiencia. Inconvenientes – Los valores de repercusión
– No hay una distinción suficiente entre los
asignados a los riesgos se basan
riesgos importantes.
en las opiniones subjetivas de
– Resulta difícil invertir en la
los participantes.
implementación de controles porque no
– El proceso para lograr
existe una base para un análisis de costo-
resultados creíbles y el consenso
beneficio.
es muy lento.
– Los resultados dependen de la calidad del
– Los cálculos pueden ser
equipo de administración de riesgos que los
complejos y lentos.
hayan creado.
– Los resultados sólo se presentan en términos monetarios y pueden ser difíciles de interpretar por parte de personas sin conocimientos técnicos. – El proceso requiere experiencia, por lo que los participantes no pueden recibir cursos fácilmente durante el mismo. En el pasado, los enfoques cuantitativos parecían dominar la administración de riesgos de seguridad; sin embargo, esto ha cambiado recientemente a medida que cada vez más especialistas admiten que el seguimiento estricto de los procesos de administración de riesgos cuantitativa da lugar a proyectos difíciles y de larga duración que muestran pocas ventajas tangibles. Como se verá en los capítulos posteriores, el proceso de administración de riesgos de seguridad de Microsoft combina los mejores aspectos de ambas metodologías en un único proyecto híbrido.
Proceso de administración de riesgos de seguridad de Microsoft El proceso de administración de riesgos de seguridad de Microsoft es un enfoque híbrido que combina los mejores elementos de los dos enfoques tradicionales. Como se verá en los capítulos
siguientes, en esta guía se presenta un enfoque único de la administración de riesgos de seguridad que es considerablemente más rápido que un enfoque cuantitativo tradicional. Sin embargo, proporciona resultados que son más detallados y fácilmente justificables a los ejecutivos que un enfoque cualitativo típico. Mediante la combinación de la simplicidad y la elegancia del enfoque cualitativo con parte del rigor del enfoque cuantitativo, en esta guía se ofrece un proceso único para administrar los riesgos de seguridad que es eficaz y útil. El objetivo del proceso es que los participantes puedan comprender cada paso de la evaluación. Este enfoque, considerablemente más simple que la administración de riesgos cuantitativa tradicional, minimiza la oposición a los resultados de las fases de análisis de riesgos y de apoyo a la toma de decisiones, lo que permite que se logre el consenso más rápidamente se mantenga en todo el proceso. El proceso de administración de riesgos de seguridad de Microsoft consta de cuatro fases. La primera, la fase de evaluación de riesgos, combina aspectos de las metodologías de evaluación de riesgos cuantitativa y cualitativa. Se utiliza un enfoque cualitativo para clasificar rápidamente toda la lista de riesgos de seguridad. A continuación, los riesgos más graves identificados durante esta clasificación se examinan más detenidamente mediante un enfoque cuantitativo. El resultado es una lista relativamente corta de los riesgos más importantes que se han examinado con detalle. Esta lista breve se utiliza durante la siguiente fase, Apoyo a la toma de decisiones, en la que se propone las soluciones de control posibles y se evalúan las mejores, que posteriormente se presentan al comité directivo de seguridad de la organización como recomendaciones para mitigar los riesgos principales. Durante la tercera fase, Implementación de controles, los responsables de mitigación implementan realmente las soluciones de control. La cuarta fase, Medición de la efectividad del programa, se utiliza para comprobar que los controles proporcionan el nivel de protección previsto y para examinar los cambios en el entorno, como nuevas aplicaciones de negocios o herramientas de ataque que puedan cambiar el perfil de riesgo de la organización. Debido a que el proceso de administración de riesgos de seguridad de Microsoft es continuo, el ciclo vuelve a comenzar con cada nueva evaluación de riesgos. La frecuencia con la que se repita el ciclo varía de una organización a otra; muchas consideran que una vez al año es suficiente siempre que la organización supervise proactivamente las nuevas vulnerabilidades, amenazas y activos.
Figura 2.2 Fases del proceso de administración de riesgos de seguridad de Microsoft
En la figura 2.2 se ilustran las cuatro fases del proceso de administración de riesgos de seguridad de Microsoft. En el capítulo 3, "Información general acerca de la administración de riesgos de seguridad", se ofrece un examen exhaustivo del proceso. En los capítulos posteriores se explican los pasos y las tareas asociados a cada una de las cuatro fases.
Guía de administración de riesgos de seguridad Capítulo 3: Información general acerca de la administración de riesgos de seguridad Publicado: 15/10/2004
Este capítulo es el primero de la presente guía donde se ofrece un resumen completo del proceso de administración de riesgos de seguridad de Microsoft. Después de esta información general, en el capítulo se tratan varios temas que ayudarán a los lectores a medida que implementen el proceso. Estos temas proporcionan una base sólida para un programa de administración de riesgos de seguridad con éxito y son:
•
Distinguir la administración de riesgos de la evaluación de riesgos.
•
Notificar el riesgo de forma eficaz.
•
Evaluar la madurez de sus prácticas de administración de riesgos actuales.
•
Definir funciones y responsabilidades.
También es importante tener en cuenta que la administración de riesgos constituye sólo una parte de un programa de gobernanza mayor para la directiva corporativa con el fin de supervisar la empresa y tomar decisiones fundadas. Aunque los programas de gobernanza varían mucho, todos ellos requieren un componente de administración de riesgos de seguridad estructurado para asignar prioridades y mitigar los riesgos de seguridad. Los conceptos del proceso de administración de riesgos de seguridad de Microsoft se pueden aplicar a cualquier programa de gobernanza para definir y administrar los riesgos con un nivel aceptable.
Las cuatro fases del proceso de administración de riesgos de seguridad de Microsoft
En el capítulo 2, "Estudio de prácticas de administración de seguridad", se ha presentado el proceso de administración de riesgos de seguridad de Microsoft y se ha definido la administración de riesgos como un proceso continuo con cuatro fases principales: 1.
Evaluación del riesgo: identificar y asignar prioridades a los riesgos para la empresa.
2.
Apoyo a la toma de decisiones: identificar y evaluar las soluciones de control según un proceso definido de análisis de costo-beneficio.
3.
Implementación de controles: implementar y poner en funcionamiento las soluciones con el fin de reducir el riesgo para la empresa.
4.
Medición de la efectividad del programa: analizar la efectividad del proceso de administración de riesgos y comprobar que los controles proporcionan el nivel de protección previsto.
Este ciclo de administración de riesgos en cuatro fases resume el proceso de administración de riesgos de seguridad de Microsoft y también se utiliza para organizar el contenido de esta guía. Antes de definir las prácticas específicas del proceso de administración de riesgos de seguridad de Microsoft, es importante comprender el proceso de administración de riesgos global y sus componentes. Cada fase del ciclo consta de varios pasos detallados. En la siguiente lista se describen los pasos para que comprenda la importancia de cada uno en la guía como un conjunto:
•
Fase de evaluación de riesgos
• Planear
la recopilación de datos: descripción de las claves para el éxito y orientación de
preparación.
• Recopilar datos de riesgos: descripción del proceso de recopilación y análisis de datos. • Asignar prioridades a riesgos: descripción de los pasos normativos para calificar y cuantificar los riesgos.
•
Fase de apoyo a la toma de decisiones
• Definir
los requisitos funcionales: definición de los requisitos funcionales para mitigar los
riesgos.
• Seleccionar
las soluciones de control posibles: descripción del enfoque para identificar las
soluciones de mitigación.
• Revisar la solución: evaluación de los controles propuestos según los requisitos funcionales. • Estimar la reducción del riesgo: intento de comprender la exposición o probabilidad reducida de riesgos.
• Estimar el costo de la solución: evaluación de los costos directos e indirectos asociados a las soluciones de mitigación.
• Seleccionar
la estrategia de mitigación: realización del análisis de costo-beneficio para
identificar la solución de mitigación más asequible.
•
Fase de implementación de controles
• Buscar un enfoque holístico: incorporación de personas, procesos y tecnología en la solución de mitigación.
• Organizar por
defensa en profundidad: organización de las soluciones de mitigación en la
empresa.
•
Fase de medición de la efectividad del programa
• Desarrollar el cálculo de riesgos: comprensión de la posición de riesgo y el progreso. • Medir
la efectividad del programa: evaluación del programa de administración de riesgos
para determinar los aspectos que se deben mejorar.
En la siguiente figura se ilustra cada fase y los pasos asociados.
Figura 3.1 Proceso de administración de riesgos de seguridad de Microsoft
En los capítulos posteriores de esta guía se describe, por orden, cada fase del proceso de administración de riesgos de seguridad de Microsoft. No obstante, hay una serie de cuestiones preliminares que se deben tener en cuenta antes de comenzar la ejecución de este proceso.
Nivel de esfuerzo Si su organización tiene poca experiencia en la administración de riesgos, puede resultar útil conocer los pasos del proceso de Microsoft que requieren más esfuerzo por parte del equipo de administración de riesgos de seguridad. En la siguiente figura, basada en las actividades de administración realizadas en el departamento de TI de Microsoft, se muestran los grados relativos de esfuerzo a lo largo del proceso. Esta perspectiva puede resultar útil al describir el proceso global y el compromiso de tiempo para las organizaciones que no tienen experiencia en la administración de riesgos. Los niveles relativos de esfuerzo también pueden resultar útiles como orientación para evitar dedicar demasiado tiempo a un punto del proceso global. Para resumir el nivel de esfuerzo a lo largo del proceso, en la figura se muestra un nivel moderado de esfuerzo para recopilar datos, un nivel menor para el análisis de resumen seguido de niveles altos de esfuerzo para elaborar listas detalladas de riesgos y llevar a cabo el proceso de apoyo a la toma de decisiones. Para obtener una vista adicional de las tareas y el esfuerzo asociado, consulte el programa de proyecto de ejemplo de la carpeta de herramientas, GARSHerramienta4-Programa de proyecto de ejemplo.xls. En el resto de los capítulos de esta guía se describen cada uno de los pasos mostrados a continuación.
Figura 3.2 Nivel relativo de esfuerzo durante el proceso de administración de riesgos de seguridad de Microsoft
Bases del proceso de administración de riesgos de seguridad de Microsoft Antes de comenzar la administración de riesgos de seguridad, es importante disponer de conocimientos sólidos de las bases, requisitos previos y tareas del proceso de administración de riesgos de seguridad de Microsoft, que son:
•
Distinción entre la administración de riesgos y la evaluación de riesgos.
•
Notificación clara del riesgo.
•
Determinación de la madurez de administración de riesgos de la organización.
•
Definición de las funciones y responsabilidades del proceso.
Administración de riesgos y evaluación de riesgos Tal como se ha indicado en el capítulo 2, los términos administración de riesgos y evaluación de riesgos no se pueden utilizar indistintamente. El proceso de administración de riesgos de seguridad de Microsoft define la administración de riesgos como el proceso global para administrar el riesgo hasta alcanzar un nivel aceptable en la empresa. La evaluación de riesgos se define como el proceso de identificar y asignar prioridades a los riesgos para la empresa. Según se describe en el diagrama anterior, la administración de riesgos se compone de cuatro fases principales: evaluación de riesgos, apoyo a la toma de decisiones, implementación de controles y medición de la efectividad del programa. La evaluación de riesgos, en el contexto del proceso de administración de riesgos de seguridad de Microsoft, sólo hace referencia a la fase de evaluación de riesgos en el ciclo de administración de riesgos global. Otra diferencia entre la administración de riesgos y la evaluación de riesgos la constituye la frecuencia del inicio de cada proceso. La administración de riesgos se define como un ciclo definido, pero normalmente se vuelve a iniciar a intervalos periódicos para actualizar los datos de cada etapa del proceso de administración. El proceso de administración de riesgos habitualmente corresponde al ciclo contable fiscal de una organización para alinear las solicitudes presupuestarias de los controles con los procesos de negocios normales. Un intervalo anual resulta muy habitual en el proceso de administración de riesgos para alinear las nuevas soluciones de control con los ciclos presupuestarios anuales. Aunque la evaluación de riesgos es una fase necesaria y discreta del proceso de administración de riesgos, el grupo de seguridad de información puede llevar a cabo varias evaluaciones de riesgos independientes de la fase de administración de riesgos o ciclo presupuestario actual. El grupo de seguridad de información puede iniciarlas en cualquier momento si se produce un cambio posiblemente relacionado con la seguridad en la empresa, como la introducción de nuevas prácticas de negocios, o si se han detectado nuevas vulnerabilidades o cambios en la infraestructura. Estas evaluaciones frecuentes se suelen denominar evaluaciones de riesgos ad hoc o evaluaciones de riesgos de ámbito limitado y se deben considerar complementarias al proceso de administración de riesgos formal. Las evaluaciones ad hoc normalmente se centran en un área de riesgo en la empresa y no requieren la misma cantidad de recursos que el proceso de administración de riesgos en su totalidad. En el apéndice A, "Evaluaciones ad hoc", se describe este tipo de evaluaciones y se ofrece una plantilla de ejemplo de una evaluación de riesgos ad hoc. Tabla 3.1: Administración de riesgos y evaluación de riesgos
Objetivo
Administración de riesgos
Evaluación de riesgos
Administrar los riesgos en la
Identificar los riesgos y
empresa para lograr un nivel
asignarles prioridades
aceptable Ciclo
Programa global a lo largo de
Fase única del programa de
las cuatro fases
administración de riesgos
Programa
Continuo
Según se necesite
Alineación
Alineado con los ciclos
N/A
presupuestarios
Notificación del riesgo Las distintas personas involucradas en el proceso de administración de riesgos suelen definir el término riesgo de un modo diferente. Para garantizar la coherencia en todas las etapas del ciclo de administración de riesgos, el proceso de administración de riesgos de seguridad de Microsoft requiere que todos los participantes comprendan y acepten una única definición del término riesgo. Tal como se ha definido en el capítulo 1, "Introducción a la Guía de administración de riesgos de seguridad", riesgo es la probabilidad de que se produzca un ataque a la empresa. Esta definición requiere la inclusión de una declaración de repercusiones y una predicción de cuándo se puede producir la repercusión, es decir, la probabilidad de repercusiones. Cuando ambos elementos de riesgo (probabilidad y ataque) están incluidos en una declaración de riesgo, en el proceso se denomina declaración de riesgo bien elaborada. Utilice el término para garantizar una comprensión coherente de la naturaleza compuesta del riesgo. En el siguiente diagrama se describe el riesgo en su nivel más básico.
Figura 3.3 Declaración de riesgo bien elaborada
Resulta importante que todos los implicados en el proceso de administración de riesgos comprendan la complejidad de cada elemento de la definición de riesgo. Sólo un conocimiento exhaustivo del riesgo permitirá a la empresa poder emprender una acción específica al afrontarlo. Por ejemplo, al definir las repercusiones en la empresa se necesita información acerca del activo afectado, el tipo de daño que se puede producir y el alcance del daño en el activo. A continuación, para determinar la probabilidad de que se produzca el ataque, se debe comprender el modo en que se puede producir cada ataque y la manera en que el entorno de controles actual reducirá la probabilidad del riesgo. Según los términos definidos en el capítulo 1, "Introducción a la Guía de administración de riesgos de seguridad", la siguiente declaración de riesgo proporciona orientación al demostrar los elementos de repercusión y la probabilidad de repercusión: Riesgo es la probabilidad de que se aproveche una vulnerabilidad en el entorno actual, provocando un nivel de pérdida de confidencialidad, integridad o disponibilidad de un activo. El proceso de administración de riesgos de seguridad de Microsoft proporciona las herramientas para comunicar y medir de forma coherente la probabilidad y el nivel de pérdida de cada riesgo. En los capítulos de esta guía se recorre el proceso para establecer cada componente de la declaración de riesgo bien elaborada para identificar y asignar prioridades a los riesgos en la empresa. El siguiente diagrama se basa en la declaración de riesgo básica descrita anteriormente para mostrar las relaciones de cada elemento de riesgo.
Figura 3.4 Componentes de la declaración de riesgo bien elaborada
Para facilitar la notificación del alcance del ataque y el nivel de probabilidad en la declaración de riesgo, el proceso de administración de riesgos de seguridad de Microsoft comienza la asignación de prioridades mediante el uso de términos relativos como alto, moderado y bajo. Aunque esta terminología básica simplifica la selección de los niveles de riesgo, no proporciona detalles suficientes cuando se lleva a cabo un análisis de costo-beneficio para seleccionar la opción de mitigación más eficaz. Para solventar este punto débil del enfoque cualitativo básico, el proceso ofrece herramientas para generar una comparación de riesgos de nivel detallado. El proceso también incorpora atributos cuantitativos para contribuir al análisis de costo-beneficio con el fin de seleccionar controles. Un error habitual de las disciplinas de administración de riesgos consiste en que normalmente no tienen en cuenta las definiciones cualitativas como riesgos altos, moderados o bajos para la empresa. En el programa de administración de riesgos de seguridad se identificarán numerosos riesgos. Aunque el proceso de administración de riesgos de seguridad de Microsoft proporciona orientación para aplicar de forma coherente las estimaciones de riesgos cualitativos y cuantificables, corresponde al equipo de administración de riesgos de seguridad definir el significado de cada valor en términos de negocio específicos. Por ejemplo, un riesgo alto para la empresa puede significar una vulnerabilidad que se produzca en un año, lo que conlleva la pérdida de integridad de la propiedad intelectual más importante de la organización. El equipo de administración de riesgos de seguridad debe asignar las definiciones de cada elemento de la declaración de riesgo bien elaborada. En el siguiente capítulo se ofrece orientación normativa acerca de la definición de los niveles de riesgo. Debe servirle de ayuda para definir los niveles de riesgo para su empresa. El proceso simplemente facilita la tarea, contribuyendo a lograr coherencia y visibilidad en todo el proceso.
Determinación de la madurez de administración de riesgos de la organización Antes de que una organización intente implementar el proceso de administración de riesgos de seguridad de Microsoft, es importante que examine su nivel de madurez en lo que se refiere a la administración de riesgos de seguridad. Para una organización que no disponga de directivas o
procesos formales para la administración de riesgos será excesivamente difícil poner en práctica todos los aspectos del proceso a la vez. Incluso para las organizaciones con directivas y directrices formales que siguen la mayoría de los empleados, el proceso puede ser un poco abrumador. Por estos motivos, es importante que realice una estimación del nivel de madurez de su organización. Si considera que su organización todavía es relativamente inmadura, puede introducir el proceso en etapas incrementales durante varios meses, tal vez mediante pruebas piloto en una sola unidad de negocios hasta que el ciclo se haya realizado varias veces. Después de demostrar la eficacia del proceso de administración de riesgos de seguridad de Microsoft mediante este programa piloto, el equipo de administración de riesgos de seguridad podría introducirlo lentamente en otras unidades de negocios hasta que toda la organización lo utilizase. ¿Cómo determinar el nivel de madurez de su organización? Como parte de CobiT (Control Objectives for Information and Related Technology, Objetivos de control para la información y tecnología relacionada), el instituto IT Governance Institute (ITGI) incorpora un modelo de madurez de gobernanza de TI. Puede adquirir y consultar CobiT para obtener un método detallado con el fin de determinar el nivel de madurez de su organización. El proceso de administración de riesgos de seguridad de Microsoft resume los elementos empleados en CobiT y presenta un enfoque simplificado que se basa en modelos desarrollados también por Microsoft Services. Las definiciones de nivel de madurez presentadas aquí se basan en Information technology — Code of practice
for
information
security
management,
también
denominado
ISO
17799,
de
la
organización International Standards Organization (ISO). Puede estimar el nivel de madurez de su organización si lo compara con las definiciones presentadas en la siguiente tabla. Tabla 3.2: Niveles de madurez de la administración de riesgos de seguridad Nivel
Estado
0
No existe
Definición La directiva (o el proceso) no está documentada y la organización, anteriormente, no ha tomado conciencia del riesgo de negocios asociado a esta administración de riesgos. Por lo tanto, no ha habido comunicados al respecto.
1
Ad hoc
Es evidente que algunos miembros de la organización han llegado a la conclusión de que la administración de riesgos tiene valor. No obstante, los esfuerzos de administración de riesgos se han llevado a cabo de un modo ad hoc. No hay directivas o procesos documentados y el proceso no se
puede
repetir
por
completo.
En
general,
los
proyectos
de
administración de riesgos parecen caóticos y sin coordinación; los resultados no se han medido ni auditado. 2
Repetible
Hay una toma de conciencia de la administración de riesgos en la organización. El proceso de administración de riesgos es repetible aunque inmaduro. El proceso no está totalmente documentado; no obstante, las actividades se realizan periódicamente y la organización está trabajando en establecer un proceso de administración de riesgos exhaustivo con la participación de los directivos. No hay cursos formales ni comunicados acerca
de la
administración
de
riesgos;
la responsabilidad
de
la
adoptar
la
implementación está en manos de empleados individuales. 3
Proceso
La
organización
ha
tomado
una
decisión
formal
de
Nivel
Estado
Definición
definido
administración de riesgos incondicionalmente con el fin de llevar a cabo su programa de seguridad de información. Se ha desarrollado un proceso de línea de base en el que se han definido los objetivos de forma clara con procesos documentados para lograr y medir el éxito. Además, todo el personal dispone de algunos cursos de administración de riesgos rudimentaria. Finalmente, la organización está implementando de forma activa sus procesos de administración de riesgos documentados.
4
Administrado
Hay un conocimiento extendido de la administración de riesgos en todos los niveles de la organización. Los procedimientos de administración de riesgos existen, el proceso está bien definido, la comunicación de la toma de conciencia es muy amplia, hay disponibles cursos rigurosos y se han implementado algunas formas iniciales de medición para determinar la efectividad. Se han dedicado recursos suficientes al programa de administración de riesgos, muchas partes de la organización disfrutan de sus ventajas y el equipo de administración de riesgos de seguridad puede mejorar
continuamente
sus
procesos
y
herramientas.
Se
utilizan
herramientas de tecnología como ayuda para la administración de riesgos, pero la mayoría de los procedimientos, si no todos, de evaluación de riesgos, identificación de controles y análisis de costo-beneficios son manuales. 5
Optimizado
La organización ha dedicado recursos importantes a la administración de riesgos de seguridad y los miembros del personal miran al futuro intentando determinar los problemas y soluciones que habrá en los meses y años venideros. El proceso de administración de riesgos se ha comprendido bien y se ha automatizado considerablemente mediante el uso
de
herramientas
(desarrolladas
internamente
o
adquiridas
a
proveedores de software independientes). La causa principal de todos los problemas de seguridad se ha identificado y se han adoptado medidas adecuadas para minimizar el riesgo de repetición. El personal dispone de cursos en distintos niveles de experiencia.
Autoevaluación del nivel de madurez de la administración de riesgos organizativos En la siguiente lista de preguntas se ofrece una forma más rigurosa de medir el nivel de madurez organizativa. Las preguntas conllevan respuestas subjetivas, pero si se considera sinceramente cada una de ellas se puede determinar el nivel de preparación de la organización para la implementación del proceso de administración de riesgos de seguridad de Microsoft. Puntúe su organización en una escala de 0 a 5, guiándose por las definiciones de nivel de madurez anteriores. 1.
Las directivas y procedimientos de seguridad son claros, concisos, completos y están bien documentados.
2.
Todos los cargos con responsabilidades que impliquen seguridad de información están articulados de forma clara y sus funciones y responsabilidades se conocen bien.
3.
Las directivas y procedimientos para proteger el acceso de terceros a los datos de negocios están bien documentados. Por ejemplo, los proveedores remotos que llevan a cabo el desarrollo de aplicaciones para una herramienta de negocios interna disponen de suficiente acceso a los recursos de red para colaborar y realizar su trabajo de una forma eficaz, pero sólo tiene el acceso mínimo que necesitan.
4.
Existe un inventario preciso y actualizado de los activos de tecnología de información (TI), como hardware, software y repositorios de datos.
5.
Se han implementado controles adecuados para proteger los datos de negocios frente al acceso no autorizado por parte de intrusos o de personas de la organización.
6.
Se han implementado programas de toma de conciencia de usuario eficaces, como cursos y boletines relativos a directivas y prácticas de seguridad de información.
7.
El acceso físico a la red de equipos y otros activos de tecnología de información está restringido mediante el uso de controles eficaces.
8.
Se han incorporado nuevos sistemas informáticos según los estándares de seguridad organizativa de un modo estandarizado mediante herramientas automatizadas como imágenes de disco o secuencias de comandos de creación.
9.
Un
sistema
de administración de revisiones eficaz
puede ofrecer automáticamente
actualizaciones de software de gran parte de los proveedores a la inmensa mayoría de sistemas informáticos de la organización. 10.
Se ha creado un equipo de respuesta a incidencias y se han desarrollado y documentado procesos eficaces para afrontar las incidencias de seguridad y realizar el seguimiento de las mismas. Todas las incidencias se investigan hasta que se identifica la causa principal y se resuelven los problemas.
11.
La organización dispone de un exhaustivo programa antivirus que incluye varios niveles de defensa, cursos de toma de conciencia para los usuarios y procesos eficaces para responder a los ataques de los virus.
12.
Los procesos de creación de usuarios están bien documentados y, como mínimo, parcialmente automatizados para que a los nuevos empleados, proveedores y socios se les pueda proporcionar un nivel de acceso adecuado a los sistemas de información de la organización de un modo oportuno. Estos procesos también deben admitir la deshabilitación y eliminación puntuales de las cuentas de usuario que ya no se necesiten.
13.
El acceso a los equipos y la red se controla mediante autenticación y autorización de usuarios, listas de control de acceso restrictivo a los datos y supervisión proactiva de las infracciones a las directivas.
14.
Los desarrolladores de aplicaciones disponen de cursos y una toma de conciencia clara de los estándares de seguridad para la creación de software y las pruebas de control de calidad del código.
15.
La continuidad de negocios y los programas de continuidad de negocios están definidos de forma clara, bien documentados y se han probado periódicamente mediante simulaciones y
pruebas. 16.
Se han iniciado programas y están en vigor para garantizar que todo el personal desempeña sus tareas conforme a los requisitos legales.
17.
Se
utilizan
periódicamente
revisiones
y
auditorías
de
terceros
para
garantizar
el
cumplimiento con las prácticas estándar para activos de negocios de seguridad. Calcule la puntuación de su organización sumando los puntos de todos los elementos anteriores. En teoría, las puntuaciones van de 0 a 85; no obstante, muy pocas organizaciones se aproximan a un extremo o a otro. Una puntuación de 51 o superior sugiere que la organización está bien preparada para introducir y utilizar el proceso de administración de riesgos de seguridad de Microsoft en todo su alcance. Una puntuación de 34 a 50 indica que la organización ha adoptado muchas medidas importantes para controlar los riesgos de seguridad y está preparada para introducir el proceso gradualmente. Las organizaciones que se encuentren en este intervalo deben considerar la posibilidad de implementar el proceso en unas pocas unidades de negocios durante unos cuantos meses antes de exponer toda la organización al proceso. Las organizaciones con una puntuación inferior a 34 deben considerar la posibilidad de iniciar muy lentamente el proceso de administración de riesgos de seguridad de Microsoft mediante la creación del equipo de administración de riesgos de seguridad básico y la aplicación del proceso a una sola unidad de negocios durante los primeros meses. Después de que dichas organizaciones comprueben el valor del proceso mediante su uso para reducir riesgos satisfactoriamente para dicha unidad de negocios, deben ampliarlo a dos o tres unidades adicionales según sea posible. Aunque el avance debe ser lento, ya que los cambios que introduce el proceso pueden ser importantes. No es recomendable alterar la organización de un modo tal que se interfiera en su capacidad de alcanzar de forma eficaz sus objetivos. Aplique su criterio en este sentido (cada sistema que queda sin proteger es un riesgo de seguridad y responsabilidad potencial) y su conocimiento de sus sistemas es la mejor herramienta que puede utilizar en este sentido. Si considera que es urgente avanzar rápidamente y no tener en cuenta la sugerencia de hacerlo lentamente, hágalo. Debe considerar detenidamente las unidades de negocios que se utilizarán en los programas piloto. Las preguntas que debe tener en cuenta se relacionan con la importancia que representa la seguridad para dicha unidad de negocios, donde la seguridad está definida en términos de disponibilidad, integridad y confidencialidad de información y servicios. Algunos ejemplos son:
•
¿El nivel de madurez de administración de riesgos de seguridad de dicha unidad de negocios está por encima de la media en comparación con la organización?
•
¿El responsable de la unidad de negocios ofrecerá apoyo activo al programa?
•
¿Dispone la unidad de negocios de un alto nivel de visibilidad dentro de la empresa?
•
¿Se notificará el valor del programa piloto del proceso de administración de riesgos de seguridad de Microsoft al resto de la organización si tiene éxito?
Debe tener en cuenta las mismas preguntas al seleccionar las unidades de negocios para ampliar el programa. Nota: el instituto National Institute for Standards and Technology (NIST) de EE.UU. proporciona otro ejemplo de autoevaluación de TI que puede resultar útil para determinar el nivel de madurez; consulte http://csrc.nist.gov/, publicación especial 800-26.
Definición de funciones y responsabilidades El establecimiento de funciones y responsabilidades claras es un factor de éxito fundamental para cualquier programa de administración de riesgos debido al requisito de interacción entre grupos y de
responsabilidades
separadas.
En
la
siguiente
tabla
se
describen
las
funciones
y
responsabilidades principales empleadas en el proceso de administración de riesgos de seguridad de Microsoft: Tabla 3.3: Funciones y responsabilidades principales del proceso de administración de riesgos de seguridad de Microsoft Título
Responsabilidad principal
Patrocinador ejecutivo
Patrocina todas las actividades asociadas a la administración de riesgos para la empresa; por ejemplo, desarrollo, asignación de fondos, autoridad y apoyo al equipo de administración
de
normalmente
la
responsables
de
riesgos lleva la
de
a
seguridad.
cabo
seguridad
un o
Esta
ejecutivo,
responsables
función como de
la
información. Esta función también sirve de último punto de traspaso para definir el riesgo aceptable para la empresa. Responsable de negocios
Se encarga de los activos tangibles e intangibles de la empresa.
Los
responsables
de
negocios
también
se
encargan de la asignación de prioridades a los activos de negocios y de la definición de los niveles de repercusión en los activos. Los responsables de negocios normalmente se encargan de la definición de los niveles de riesgo; no obstante, el patrocinador ejecutivo toma la decisión final de incorporar
comentarios
del
grupo
de
seguridad
de
información. Grupo de seguridad de información
Se encarga del proceso de administración de riesgos global, incluidas las fases de evaluación de riesgos y de medición de
la
efectividad
del
programa.
También
define
los
requisitos de seguridad funcionales y mide los controles de TI y la efectividad global del programa de administración de riesgos de seguridad. Grupo de tecnología de la
Incluye arquitectura, ingeniería y operaciones de TI.
información Equipo de administración de riesgos
Es responsable de dirigir el programa de administración de
de seguridad
riesgos global. También es responsable de la fase de evaluación de riesgos y de asignar prioridades a los riesgos para la empresa. Como mínimo, el equipo consta de un responsable de evaluación y de un responsable de registro.
Responsable de evaluación de
Como función principal del equipo de administración de
riesgos
riesgos de seguridad, dirige los debates de recopilación de datos. Esta función también puede dirigir todo el proceso de administración de riesgos.
Título
Responsabilidad principal
Responsable de registro de
Registra la información de riesgos detallada durante los
evaluación de riesgos
debates de recopilación de datos.
Responsables de mitigación
Se encargan de implementar y sustentar las soluciones de control para administrar el riesgo con un nivel aceptable. Incluye al grupo de TI y, en algunos casos, a los responsables de negocios.
Comité directivo de seguridad
Consta
del
equipo
de
administración
de
riesgos
de
seguridad, representantes del grupo de TI y responsables de
negocios
normalmente
específicos. dirige
este
El
patrocinador
comité.
Es
ejecutivo
responsable
de
seleccionar las estrategias de mitigación y de definir el riesgo aceptable para la empresa. Participante
Término general que hace referencia a los participantes directos
e
indirectos
en
un
determinado
proceso
o
programa; se utiliza en todo el proceso de administración de riesgos de seguridad de Microsoft. Los participantes también pueden ser grupos ajenos a TI, por ejemplo, finanzas, relaciones públicas y recursos humanos. El equipo de administración de riesgos de seguridad encontrará participantes que intervengan por primera vez en el proceso de administración de riesgos que no comprendan por completo sus funciones. Aproveche siempre la oportunidad para proporcionar un resumen del proceso y de sus participantes. El objetivo es lograr el consenso y destacar el hecho de que cada participante tiene su responsabilidad en la administración de riesgos. El siguiente diagrama, donde se resumen los participantes clave y se muestran sus relaciones de alto nivel, puede resultar útil para comunicar las funciones y responsabilidades definidas anteriores y debe ofrecer un resumen del proceso de administración de riesgos. Para resumir, el patrocinador ejecutivo es el último responsable de definir el riesgo aceptable y proporciona orientación al equipo de administración de riesgos de seguridad en cuanto a la clasificación de riesgos para la empresa. El equipo de administración de riesgos de seguridad es responsable de evaluar el riesgo y de definir los requisitos funcionales para mitigar el riesgo a un nivel aceptable. Posteriormente, el equipo de administración de riesgos de seguridad colabora con los grupos de TI que se encargan de la selección, la implementación y las operaciones de mitigación. La relación final definida a continuación es el control del equipo de administración de riesgos de seguridad de la medición de la efectividad del control. Normalmente se realiza mediante informes de auditoría, que también se notifican al patrocinador ejecutivo.
Figura 3.5 Resumen de las funciones y responsabilidades empleadas en el proceso de administración de riesgos de seguridad de Microsoft
Creación del equipo de administración de riesgos de seguridad Antes de iniciar el proceso de evaluación de riesgos, no pase por alto la necesidad de definir de forma clara las funciones en el equipo de administración de riesgos de seguridad. Debido a que el ámbito de la administración de riesgos incluye a toda la empresa, personas que no sean del grupo de seguridad de información pueden solicitar formar parte del equipo. En este caso, describa funciones claras para cada miembro y alinéelas con las funciones y responsabilidades definidas en el programa de administración de riesgos global. Si se dedica tiempo en la definición de funciones al principio, se reduce la confusión y contribuye a la toma de decisiones durante el proceso. Todos los miembros del equipo deben comprender que el grupo de seguridad de información se encarga del proceso global. Es importante definir la responsabilidad porque el grupo de información de seguridad es el único que es un participante clave en todas las etapas del proceso, incluida la elaboración de informes ejecutivos. Funciones y responsabilidades del equipo de administración de riesgos de seguridad Después de establecer el equipo de administración de riesgos de seguridad, es importante crear funciones específicos y mantenerlas a lo largo de todo el proceso. Las funciones principales del responsable de evaluación de riesgos y del responsable de registro de evaluación de riesgos se describen a continuación. El responsable de evaluación de riesgos debe disponer de amplios conocimientos de todo el proceso de administración de riesgos y de la empresa, así como de los riesgos de seguridad técnicos que subyacen en las funciones de negocios. Debe poder traducir los escenarios de negocios en riesgos técnicos mientras se llevan a cabo los debates acerca de los riesgos. Como ejemplo, el responsable de evaluación de riesgos tiene que conocer las amenazas técnicas y las vulnerabilidades de los empleados móviles, así como el valor de negocio de dichos empleados. Por ejemplo, los pagos de cliente no se procesarán si un empleado móvil no puede tener acceso a la red corporativa. El responsable de evaluación de riesgos debe comprender escenarios de este tipo y poder identificar los riesgos técnicos y los posibles requisitos de control, como la de
configuración y autenticación de dispositivos móviles. Si es posible, seleccione a un responsable de evaluación de riesgos que haya llevado a cabo evaluaciones de riesgos con anterioridad y que comprenda las prioridades globales de la empresa. Si no se puede disponer de un responsable con experiencia en evaluación de riesgos, solicite la ayuda de un socio o consultor cualificado. No obstante, asegúrese de incluir un miembro del grupo de seguridad de información que conozca la empresa y a los participantes implicados. Nota: la subcontratación de la función de responsable de evaluación de riesgos puede ser atractiva, pero tenga en cuenta que se perderán los conocimientos de las relaciones de los participantes, de la empresa y de la seguridad cuando se marchen los consultores. No infravalore el valor que un proceso de administración de riesgos aporta a los participantes así como al grupo de seguridad de información. El responsable de registro de evaluación de riesgos es el encargado de tomar notas y documentar las actividades de planeamiento y recopilación de datos. Esta responsabilidad puede parecer demasiado informal para la definición de funciones en esta etapa; no obstante, la habilidad para tomar notas repercute en los procesos de asignación de prioridades y de apoyo a la toma de decisiones más adelante en el proceso. Uno de los aspectos más importantes de la administración de riesgos es comunicarlos de modo que los participantes los entiendan y puedan aplicarlos a sus actividades de negocios. Un responsable de registro eficaz facilita este proceso ya que proporciona documentación por escrito cuando es necesario.
Resumen
En los capítulos 1 a 3 se proporciona información general acerca de la administración de riesgos y se definen los objetivos y el enfoque para comenzar a sentar las bases para una implementación satisfactoria del proceso de administración de riesgos de seguridad de Microsoft. En el siguiente capítulo se trata en detalle la primera fase, la evaluación del riesgo. En los capítulos posteriores se trata cada una de las fases del proceso de administración de riesgos: apoyo a la toma de decisiones, implementación de controles y medición de la efectividad del programa.
Guía de administración de riesgos de seguridad Capítulo 4: Evaluación del riesgo Publicado: 15/10/2004
Descripción general
El proceso de administración de riesgos global consta de cuatro fases principales: evaluación de riesgos, apoyo a la toma de decisiones, implementación de controles y medición de la efectividad del programa. El proceso de administración de riesgos ilustra el modo en que un programa formal proporciona un método coherente de organización de recursos limitados para afrontar los riesgos en una organización. Las ventajas se aprecian mediante el desarrollo de un entorno de control asequible que afronte y mida el riesgo a un nivel aceptable. La fase de evaluación de riesgos representa un proceso formal para identificar y asignar prioridades a los riesgos en la organización. El proceso de administración de riesgos de seguridad de Microsoft proporciona indicaciones detalladas acerca de cómo realizar las evaluaciones de riesgos y divide el proceso de la fase de evaluación de riesgos en los tres pasos siguientes: 1.
Planeamiento: establecer las bases para una evaluación de riesgos correcta.
2.
Recopilación de datos facilitados: recopilar información de riesgos mediante los debates sobre riesgos facilitados.
3.
Asignación de prioridades a riesgos: clasificar los riesgos identificados en un proceso coherente y repetible.
El resultado de la fase de evaluación de riesgos es una lista de prioridades de los riesgos que proporciona la información para la fase de apoyo a la toma de decisiones, que se trata en detalle en el capítulo 5, "Apoyo a la toma de decisiones". En el siguiente diagrama se proporciona un resumen del proceso de administración de riesgos global y se muestra la función de la evaluación de riesgos en el conjunto del programa. También se destacan los tres pasos de la fase de evaluación de riesgos.
Figura 4.1 Proceso de administración de riesgos de seguridad de Microsoft: fase de evaluación de riesgos
En esta sección se proporciona un breve resumen de los tres pasos de la fase de evaluación de riesgos, la recopilación de datos facilitados y asignación de prioridades de riesgos. A continuación, se incluyen secciones con tareas específicas para llevar a cabo una evaluación de riesgos real en su entorno.
Planeamiento El planeamiento correcto de la evaluación de riesgos es fundamental para el éxito de todo el programa de administración de riesgos. Si no se llevan a cabo adecuadamente las tareas de alineación, definición de ámbito y obtención de aceptación de la fase de evaluación de riesgos, se reduce la eficacia de las demás fases del programa global. La elaboración de las evaluaciones de riesgos puede ser un proceso complicado que requiere una inversión importante para llevarlo a cabo. En la siguiente sección de este capítulo se tratan las tareas y las indicaciones fundamentales para el paso de planeamiento.
Recopilación de datos facilitados Después del planeamiento, el siguiente paso consiste en recopilar la información relacionada con riesgos de los participantes de toda la organización; esta información también se utilizará en la fase de apoyo a la toma de decisiones. Los elementos de datos principales recopilados durante el paso de recopilación de datos facilitados son:
• •
Activos organizativos: cualquier elemento que represente un valor para la empresa. Descripción de los activos: breve explicación de cada activo, su valor y responsabilidad para facilitar la comprensión común en la fase de evaluación de riesgos.
•
Amenazas de seguridad: causas o sucesos que pueden afectar negativamente a un activo,
•
Vulnerabilidades: puntos débiles o ausencia de controles que se pueden aprovechar para
•
Entorno de controles actual: descripción de los controles actuales y su eficacia en la
•
representados por su pérdida de confidencialidad, integridad o disponibilidad. atacar un activo. organización. Controles propuestos: ideas iniciales para reducir el riesgo.
El paso de recopilación de datos facilitados representa el grueso de la colaboración e interacción entre grupos durante la fase de evaluación de riesgos. En la tercera sección de este capítulo se tratan las tareas y las indicaciones de recopilación de datos en detalle.
Asignación de prioridades a riesgos Durante el paso de recopilación de datos facilitados, el equipo de administración de riesgos de seguridad comienza por la clasificación de grandes cantidades de información recopiladas para asignar prioridades a los riesgos. El paso de asignación de prioridades a riesgos es el primero de la fase que implica un elemento de subjetividad. La asignación de prioridades es subjetiva porque, después de todo, el proceso implica esencialmente la predicción del futuro. Debido a que el resultado de la evaluación de riesgos conduce a las inversiones en tecnología de la información (TI), el establecimiento de un proceso transparente con funciones y responsabilidades definidas resulta crucial para obtener la aceptación de los resultados y motivar que se emprendan acciones para mitigar los riesgos. El proceso de administración de riesgos de seguridad de Microsoft proporciona orientación para identificar y asignar prioridades a los riesgos de un modo coherente y repetitivo. Un enfoque abierto y repetitivo ayuda al equipo de administración de riesgos de seguridad a lograr el consenso rápidamente, lo que reduce los posibles retardos provocados por la naturaleza subjetiva de la asignación de prioridades a los riesgos. En la cuarta sección de este capítulo se tratan las tareas y las indicaciones de asignación de prioridades en detalle.
Información necesaria para la fase de evaluación de riesgos Cada paso de la fase de evaluación de riesgos contiene una lista específica de tareas normativas y la información asociada. La fase en sí misma requiere una base sólida a diferencia de informaciones específicas. Tal como se ha descrito en el capítulo 1, la fase de evaluación de riesgos requiere liderazgo de seguridad materializado en apoyo ejecutivo, aceptación de los participantes y funciones y responsabilidades definidas. En las siguientes secciones se tratan estas áreas en detalle.
Participantes en la fase de evaluación de riesgos La evaluación de riesgos requiere interacción entre los grupos y que los distintos participantes sean responsables de tareas a lo largo de proceso. Una práctica recomendada para reducir la confusión de funciones en el proceso consiste en notificar las comprobaciones y los balances incorporados en las funciones y responsabilidades de administración. Mientras se está efectuando la evaluación, comunique las funciones que desempeñan los participantes y asegúreles que el equipo de administración de riesgos de seguridad respeta dichos límites. En la siguiente tabla se resumen las funciones y las responsabilidades principales de los participantes en esta fase del proceso de administración de riesgos. Tabla 4.1: Funciones y responsabilidades en el programa de administración de riesgos Función
Responsabilidad
Función
Responsabilidad
Responsable de negocios
Determina el valor de los activos de negocios.
Grupo de seguridad de información
Determina la probabilidad de repercusión en los activos de negocio.
Tecnología de la información: ingeniería
Diseña las soluciones técnicas y estima los costos de ingeniería.
Tecnología de la información: operaciones
Diseña
los
componentes
operativos
de
la
solución y estima los costos operativos. Las comprobaciones tácticas y los balances incorporados surgirán durante las siguientes secciones donde se examinan detenidamente los pasos de planeamiento, recopilación de datos facilitados y asignación de prioridades a los riesgos de la fase de evaluación de riesgos.
Herramientas proporcionadas para la fase de evaluación de riesgos Durante este proceso de evaluación de riesgos se recopilarán datos acerca de los riesgos y, posteriormente, se utilizarán para asignar prioridades a los riesgos. Como ayuda para esta fase se incluyen tres herramientas. Las encontrará en la carpeta Herramientas y plantillas creada al desempaquetar el archivo de almacenamiento que contiene esta guía y sus archivos relacionados.
•
Plantilla de recopilación de datos (GARSHerramienta1-Herramienta de recopilación de
•
Lista de valores de activos (SRAPPB.doc). Lista de algunos activos que normalmente se
•
Plantillas de asignación de prioridades a los riesgos (GARSHerramienta2-Nivel de riesgo
datos.doc). Plantilla para facilitar los debates con el fin de recopilar datos de riesgos. encuentran en las organizaciones. de resumen.xls y GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls). Plantillas de Microsoft® Excel para facilitar la asignación de prioridades a los riesgos.
•
Programa de ejemplo (GARSHerramienta4-Programa de proyecto de ejemplo.xls). Este programa puede ayudarle a planear las actividades de esta fase.
Resultado necesario para la fase de evaluación de riesgos El resultado de la fase de evaluación de riesgos es una lista con prioridades de los riesgos, incluida la clasificación cualitativa y las estimaciones cuantitativas empleadas en la fase de apoyo a la toma de decisiones que se describe en el siguiente capítulo.
Planeamiento
El paso de planeamiento es, indiscutiblemente, el más importante para garantizar la aceptación y el apoyo de los participantes a lo largo del proceso de evaluación de riesgos. La aceptación de los participantes es crucial porque el equipo de administración de riesgos de seguridad requiere una intervención activa del resto de los participantes. El apoyo también es fundamental porque los resultados de la evaluación pueden influir en las actividades de creación de presupuestos de los participantes si se precisan nuevos controles para reducir el riesgo. Las tareas principales del paso de planeamiento están enfocadas a alinear correctamente la fase de evaluación con los procesos de negocios, definir el ámbito de la evaluación de forma precisa y obtener la aceptación de los participantes. En la siguiente sección se examinan estas tres tareas más detalladamente y trata los factores de éxito relacionados con dichas tareas.
Alineación Resulta idóneo comenzar la fase de evaluación de riesgos antes del proceso de creación de presupuestos de la organización. La alineación facilita el apoyo ejecutivo y aumenta la visibilidad en la organización y los grupos de TI mientras desarrollan presupuestos para el siguiente ejercicio fiscal. Unos plazos correctos también ayudan a generar consenso durante la evaluación porque permite que los participantes desempeñen funciones activas en el proceso de planeamiento. El grupo de seguridad de información normalmente se considera como un equipo reactivo que interrumpa la actividad de la organización y sorprenda a las unidades de negocio con nuevos errores de control o interrupciones de trabajo. Unos plazos razonables de la evaluación resultan cruciales para generar apoyo y ayudar a la organización a comprender que la seguridad es responsabilidad de todos y que es inherente a la organización. Otra ventaja de efectuar una evaluación de riesgos radica en demostrar que el grupo de seguridad de información se puede considerar un socio proactivo en vez de un mero ejecutor de directivas durante las emergencias. En esta guía se proporciona un calendario de proyecto de ejemplo como ayuda para alinear el proceso
de
evaluación
de
riesgos
para
su
organización.
Evidentemente,
el
equipo
de
administración de riesgos de seguridad no debe retener la información de riesgo mientras se espera el ciclo de creación de presupuestos. La alineación del calendario de la evaluación simplemente es una práctica recomendada aprendida de las evaluaciones efectuadas en el departamento de TI de Microsoft. Nota: la correcta alineación del proceso de administración de riesgos con el ciclo de planeamiento presupuestario también puede beneficiar a las actividades de auditoría interna o externa; no obstante, la coordinación y la definición del ámbito de las actividades de auditoría quedan fuera del ámbito de esta guía.
Definición del ámbito Durante las actividades de planeamiento, articule de forma clara el ámbito de la evaluación de riesgos. Para administrar el riesgo de forma eficaz en la organización, el ámbito de la evaluación de riesgos debe documentar todas las funciones de la organización incluidas en la evaluación de riesgos. Si el tamaño de su organización no permite una evaluación de riesgos en toda la empresa, articule de forma clara las partes de la organización que están dentro del ámbito y defina los participantes asociados. Tal como se ha descrito en el capítulo 2, si su organización no tiene experiencia en los programas de administración de riesgos, puede comenzar a practicar el proceso de evaluación de riesgos con unidades de negocios de las que se tenga un buen conocimiento. Por ejemplo, seleccionar una aplicación de recursos humanos específica o un servicio de TI, como el acceso remoto, puede contribuir a demostrar el valor del proceso y facilitar la creación del impulso para una evaluación de riesgos en toda la organización. Nota: las organizaciones normalmente no definen de forma precisa el ámbito de una evaluación de riesgos. Defina de forma clara las áreas de la organización que se evaluarán y obtenga la aprobación ejecutiva antes de continuar. El ámbito se debe tratar con frecuencia y comprenderse en todas las reuniones de los participantes a lo largo del proceso. En el paso de planeamiento también debe definir el ámbito de la evaluación de riesgos. En el sector de la seguridad de la información se utiliza el término evaluación de tantas formas que puede confundir a los participantes sin conocimientos técnicos. Por ejemplo, las evaluaciones de vulnerabilidades se llevan a cabo para identificar la configuración específica de tecnología o puntos débiles operativos. El término evaluación de cumplimiento se puede utilizar para comunicar una auditoría o una medición de los controles actuales según la directiva formal. El proceso de administración de riesgos de seguridad de Microsoft define la evaluación de riesgos como el proceso para identificar y asignar prioridades a los riesgos de seguridad de TI para la
organización. Puede ajustar esta definición según resulte adecuado para su organización. Por ejemplo, algunos equipos de administración de riesgos de seguridad también pueden incluir la seguridad del personal en el ámbito de sus evaluaciones de riesgos.
Aceptación de los participantes La evaluación de riesgos requiere una participación activa de los participantes. Como práctica recomendada, trabaje con los participantes de modo informal y al principio del proceso para garantizar que comprenden la importancia de la evaluación, sus funciones y el compromiso de tiempo que se les ha solicitado. Cualquier responsable de evaluación de riesgos puede indicarle que hay diferencias entre la aprobación del proyecto por parte de los participantes y la aceptación de los participantes del tiempo y la prioridad del proyecto. Una práctica recomendada para solicitar el apoyo de los participantes es vender previamente el concepto y las actividades de la evaluación de riesgos. Esta venta previa puede incluir una reunión informal con los participantes antes de que solicitar un compromiso formal. Haga hincapié en los motivos por los que una evaluación proactiva ayuda al participante a largo plazo mediante la identificación de los controles que pueden evitar las interrupciones derivadas de las incidencias de seguridad en el futuro. La inclusión de incidencias de seguridad anteriores como ejemplos en el debate es un modo eficaz de recordar a los participantes los posibles ataques a la organización. Nota: para facilitar a los participantes la comprensión del proceso, prepare un breve resumen en el que se indique la justificación y el valor de la evaluación. Comparta el resumen todo lo que pueda. Sabrá que ha sido eficaz cuando vea que los participantes se describen la evaluación entre sí. Este resumen ejecutivo de la guía ofrece un buen punto de partida para comunicar el valor del proceso de evaluación de riesgos.
Preparación para el éxito: definición de expectativas En una definición de expectativas correcta no se puede exagerar. La definición de expectativas razonables es fundamental si se desea que la evaluación de riesgos tenga éxito, ya que el proceso requiere aportaciones importantes de los distintos grupos que posiblemente representen toda la organización. Además, los participantes tienen que estar de acuerdo y comprender los factores de éxito de su función y del proceso en su conjunto. Si alguno de estos grupos no comprende o participa activamente, la eficacia de todo el programa puede estar en peligro. Mientras logra el consenso durante el paso de planeamiento, defina las expectativas de las funciones, las responsabilidades y los niveles de participación solicitados de los demás participantes. También debe compartir los retos que entraña la evaluación. Por ejemplo, describa de forma clara los procesos de la identificación y asignación de prioridades a los riesgos para evitar posibles malentendidos.
Aceptación de la subjetividad Los responsables de negocios a veces se ponen nerviosos cuando un grupo externo (en este caso, el grupo de seguridad de información) predice posibles riesgos de seguridad que puedan afectar a las prioridades fiscales. Puede reducir esta tensión natural si define expectativas para los objetivos del proceso de evaluación de riesgos y para garantizar a los participantes que las funciones y responsabilidades se respetarán a lo largo del proceso. En concreto, el grupo de seguridad de información debe aceptar que los responsables de negocios definan el valor de los activos de negocios. Esto también significa que los participantes deben confiar en la experiencia del grupo de seguridad de información para estimar el riesgo de las amenazas que afectan a la organización. La predicción del futuro es subjetiva por naturaleza. Los responsables de negocios deben reconocer y apoyar el hecho de que el grupo de seguridad de información utilizará su experiencia para estimar las probabilidades de los riesgos. Destaque estas relaciones y exponga las credenciales,
experiencia y objetivos compartidos del grupo de seguridad de información y los responsables de negocios. Después de llevar a cabo el paso de planeamiento, articular las funciones y las responsabilidades y definir correctamente las expectativas, estará preparado para comenzar las acciones de trabajo del proceso de evaluación de riesgos: recopilación de datos facilitados y asignación de prioridades a los riesgos. En las dos secciones siguientes se explican detalladamente estos pasos antes de pasar al capítulo 5 para describir la fase de apoyo a la toma de decisiones.
Recopilación de datos facilitados
En la sección de información general de este capítulo se proporciona una introducción al proceso de evaluación de riesgos, donde se tratan los tres pasos principales: planeamiento, recopilación de datos facilitados y asignación de prioridades a los riesgos. Tras terminar las actividades de planeamiento, se recopilan los datos de riesgo de los participantes de la organización. Esta información se utiliza para identificar y, finalmente, asignar prioridades a los riesgos. Esta sección está organizada en tres partes. En la primera se describe detalladamente el proceso de recopilación de datos y se centra en los factores de éxito al recopilar la información de riesgos. En la segunda parte se explican los pasos detallados de la recopilación de datos de riesgos mediante las reuniones facilitadas con los participantes con conocimientos técnicos y sin dichos conocimientos. En la tercera parte se describen los pasos para consolidar esta compilación de datos en un conjunto de declaraciones de repercusiones, según lo descrito en el capítulo 3. Para concluir el proceso de evaluación de riesgos, esta lista de declaraciones de repercusiones proporciona la información para el proceso de asignación de prioridades que se explica detalladamente en la siguiente sección.
Claves para el éxito de la recopilación de datos Puede cuestionar la ventaja de realizar preguntas detalladas de seguridad acerca de los riesgos relacionados con la tecnología de la información a personas sin experiencia profesional. La experiencia obtenida en las evaluaciones de riesgos que se han efectuado en el departamento de TI de Microsoft demuestra que hay un increíble valor en preguntar a los participantes con conocimientos técnicos y sin dichos conocimientos lo que piensan acerca de los riesgos para los activos organizativos que administran. Los profesionales de seguridad de información también deben conocer en detalle las preocupaciones de los participantes para traducir la información acerca de sus entornos en riesgos con prioridades. Las reuniones colaborativas con los participantes les ayudan a entender el riesgo en términos que puedan comprender y valorar. Además, los participantes controlan o influyen en el gasto de TI. Si no comprenden las posibles repercusiones en la organización, el proceso de asignación de recursos es más difícil. Los responsables de negocios también dirigen la cultura de la empresa e influyen en el comportamiento de los usuarios. Esto solo puede constituir una herramienta eficaz al administrar el riesgo. Cuando se descubren los riesgos, el grupo de seguridad de información requiere el apoyo de los participantes en cuanto a asignación de recursos y el consenso en la definición y asignación de prioridades a los riesgos. Algunos grupos de seguridad de información sin un programa de administración de riesgos proactivo pueden fundamentarse en el miedo para motivar a la organización. En el mejor de los casos, es una estrategia a corto plazo. El grupo de seguridad de información debe aprender a buscar el apoyo de la organización si se desea que el programa de administración de riesgos continúe a lo largo del tiempo. El primer paso para generar este apoyo son las reuniones cara a cara con los participantes.
Generación de apoyo Los responsables de negocios tienen funciones explícitas en el proceso de evaluación de riesgos. Son los responsables de identificar sus activos organizativos y de estimar los costos de las posibles repercusiones en dichos activos. Si se formaliza esta responsabilidad, el grupo de seguridad de información y los responsables de negocios comparten por igual el éxito de la administración de riesgos. La mayoría de los profesionales de seguridad de información y los participantes sin conocimientos técnicos no aprecian esta conexión automáticamente. Como expertos en la administración de riesgos, los profesionales de seguridad de información deben tomar la iniciativa para suplir los vacíos de conocimientos durante los debates acerca de los riesgos. Tal como se ha mencionado en el capítulo anterior, la incorporación de un patrocinador ejecutivo que comprenda la organización facilita mucho el establecimiento de esta relación.
Debate e interrogatorio En muchos métodos de administración de riesgos de seguridad se requiere que el grupo de seguridad de información haga preguntas explícitas a los participantes y catalogue sus respuestas. Algunos ejemplos de estas preguntas son "¿puede describir sus directivas para garantizar una segmentación correcta de las responsabilidades?" y "¿cuál es su proceso para revisar las directivas y los procedimientos?". Tenga en cuenta el tono y el curso de la reunión. Es recomendable centrarse en preguntas abiertas que faciliten los debates en los dos sentidos. Esto también permite que los participantes comuniquen el verdadero espíritu de las respuestas en vez de indicar simplemente al responsable de evaluación de riesgos lo que creen que desea oír. El objetivo del debate acerca de los riesgos es comprender la organización y sus riesgos de seguridad, no el llevar a cabo una auditoría de la directiva documentada. Aunque la aportación de los participantes sin conocimientos técnicos es valiosa, normalmente no es exhaustiva. El equipo de administración de riesgos de seguridad, independientemente del responsable de negocios, necesita analizar, investigar y tener en cuenta todos los riesgos para cada activo.
Generación de buena voluntad La seguridad de información es una función de negocios difícil ya que la reducción de riesgos se suele considerar como una reducción de la capacidad de uso o de la productividad de los empleados. Utilice los debates facilitados como herramienta para establecer una alianza con los participantes. La legislación, las preocupaciones de privacidad, la presión de la competencia y una mayor toma de conciencia por parte de los consumidores han provocado que los ejecutivos y los responsables de la toma de decisiones reconozcan que la seguridad es un componente de negocios muy importante. Ayude a los participantes a comprender la importancia de administrar el riesgo y sus funciones en el programa global. En ocasiones resulta más productivo establecer relaciones entre el grupo de seguridad de información y los participantes que los datos reales recopilados durante la reunión. Es una pequeña pero importante victoria en el esfuerzo global de la administración de riesgos.
Preparación del debate acerca de los riesgos Antes de que comiencen los debates acerca de los riesgos, el equipo de administración de riesgos de seguridad debe dedicar tiempo en investigar y comprender de forma clara cada elemento que se tratará. La siguiente información cubre las prácticas recomendadas y precisa la definición de cada elemento de la declaración de riesgo bien elaborada como preparación para facilitar los debates con los participantes.
Identificación de la información de la evaluación de riesgos El equipo de evaluación de riesgos debe prepararse exhaustivamente antes de reunirse con los participantes. El equipo resulta más eficaz y los debates son más productivos cuando el equipo dispone de conocimientos claros de la organización, su entorno técnico y la actividad de evaluación del pasado. Utilice la siguiente lista como ayuda para recopilar el material que se utilizará como información del proceso de evaluación de riesgos:
•
Nuevas motivaciones de negocios: actualice sus conocimientos acerca de las prioridades de la organización o los cambios que se hayan producido desde la última evaluación. Preste una atención especial a las fusiones y adquisiciones.
•
Evaluaciones de riesgos anteriores: revise las evaluaciones anteriores, las cuales ofrecen perspectiva. Puede que el equipo de evaluación de riesgos tenga que reconciliar la nueva evaluación con el trabajo anterior.
•
Auditorías: recopile los informes de auditoría pertinentes al ámbito de la evaluación de riesgos. Los resultados de auditoría se deben tener en cuenta en la evaluación y al seleccionar las nuevas soluciones de control.
•
Incidencias de seguridad: utilice las incidencias anteriores para identificar los activos clave, comprender el valor de los activos, identificar las vulnerabilidades predominantes y resaltar las definiciones de control.
•
Sucesos del sector: identifique las nuevas tendencias en la organización y las influencias externas. La normativa gubernamental, las leyes y la actividad internacional pueden afectar considerablemente a la posición de riesgo. La identificación de nuevas tendencias puede requerir investigación y evaluación considerables por parte de la organización. Puede resultar útil dedicar personal a la revisión durante el año.
•
Boletines: revise los problemas de seguridad conocidos que se hayan identificado en el Web,
•
Guía de información de seguridad: lleve a cabo investigaciones para determinar si hay
en grupos de noticias y directamente por parte de los proveedores. disponibles nuevas tendencias, herramientas o enfoques en la administración de riesgos. Los estándares del sector se pueden aprovechar para mejorar o justificar el proceso de evaluación de riesgos o bien para identificar las nuevas estrategias de control. Los estándares internacionales también constituyen otra información clave.
En esta guía se incorporan conceptos de numerosos estándares, como el 17799 de la organización International Standards Organization (ISO). La evaluación y aplicación meticulosas de los estándares permiten utilizar el trabajo de otros profesionales y ofrecer credibilidad a los participantes de la organización. Puede resultar útil hacer referencia específica a estándares durante los debates acerca de los riesgos para garantizar que la evaluación cubre todas las áreas de seguridad de información correspondientes.
Identificación y clasificación de activos El ámbito de la evaluación de riesgos define las áreas de la organización que se revisarán en los debates de recopilación de datos. Se deben identificar los activos de negocios que estén en este ámbito para llevar a cabo los debates acerca de los riesgos. Los activos se definen como cualquier elemento que represente un valor para la organización. Esto incluye activos intangibles como la reputación de la empresa e información digital y activos tangibles como la infraestructura física. El enfoque más eficaz tiene que ser lo más específico posible al definir los activos de negocios, por ejemplo, la información de cuentas en una aplicación de administración de clientes. No se deben tratar las declaraciones de repercusiones cuando se están definiendo los activos. Las declaraciones de repercusiones definen la pérdida o los daños posibles para la organización. Un ejemplo de una declaración de repercusiones puede ser la disponibilidad de los datos de cuentas en la aplicación
de administración de clientes. Las declaraciones de repercusiones se amplían posteriormente en el debate acerca de los riesgos. Tenga en cuenta que cada activo puede tener definidas varias repercusiones durante el debate. Mientras identifica los activos, también identifique o confirme el responsable del activo. Normalmente es más difícil identificar a la persona o el grupo responsable de un activo de lo que pueda parecer. Documente los responsables de activos específicos durante los debates de riesgos facilitados. Esta información puede resultar útil durante el proceso de asignación de prioridades para confirmar la información y comunicar los riesgos directamente a los responsables de activos. Como ayuda para clasificar los activos, puede resultar útil agruparlos en escenarios de negocios, por ejemplo, transacciones bancarias en línea o desarrollo de código fuente. Al trabajar con participantes sin conocimientos técnicos, comience el debate acerca de los activos con escenarios de negocios. A continuación, documente activos específicos en cada escenario. Una vez identificados los activos, la segunda responsabilidad del responsable de negocios consiste en clasificar cada activo en lo que se refiere al efecto posible en la organización. La clasificación de activos es un componente crucial en la ecuación de riesgo global. La siguiente sección facilita este proceso.
Activos Los activos de negocios pueden ser tangibles o intangibles. Debe definir cada tipo de activo de forma suficiente para que los responsables de negocios puedan estipular el valor del activo para la organización. Ambas categorías de activos requieren que el participante proporcione estimaciones en forma de pérdida monetaria directa o repercusiones financieras indirectas. Los activos tangibles incluyen la infraestructura, como centros de datos, servidores y propiedad. Los activos intangibles incluyen datos u otra información digital que resulte valiosa para la organización,
por
ejemplo,
transacciones
bancarias,
cálculos
de
intereses
y
planes
y
especificaciones de desarrollo de productos. Según resulte adecuado para su organización, una tercera definición de activo de servicio de TI puede ser útil. El servicio de TI es una combinación de activos tangibles e intangibles. Por ejemplo, un servicio de correo electrónico de TI corporativo contiene servidores físicos y utiliza la red física; sin embargo, el servicio puede contener datos digitales confidenciales. También debe incluir el servicio de TI como un activo ya que, por lo general, tiene distintos responsables de datos y activos físicos. Por ejemplo, el responsable del servicio de correo electrónico es el encargado de la disponibilidad para tener acceso y enviar correo electrónico. No obstante, el servicio de correo electrónico puede no ser responsable de la confidencialidad de los datos financieros del correo electrónico o los controles físicos que rodean a los servidores de correo electrónico. Otros ejemplos de servicios de TI son: uso compartido de archivos, almacenamiento, redes, acceso remoto y telefonía.
Clases de activos Los activos que se encuentren en el ámbito de la evaluación de riesgos se deben a una clase o grupo cualitativo. Las clases facilitan la definición de las repercusiones globales de los riesgos de seguridad. También ayudan a la organización a centrarse en primer lugar en los activos más cruciales. Los distintos modelos de evaluación de riesgos definen una serie de clases de activos. El proceso de administración de riesgos de seguridad de Microsoft utiliza tres clases de activos que facilitan la cuantificación del valor del activo para la organización. ¿Por qué sólo tres clases? Estas tres agrupaciones permiten una diferenciación suficiente y reducir el tiempo de debate y selección de la denominación de clase adecuada. El proceso de administración de riesgos de seguridad de Microsoft define las tres clases de activos cualitativos siguientes: alta repercusión en la empresa, repercusión moderada en la empresa y
repercusión baja en la empresa. Durante el paso de asignación de prioridades a los riesgos, el proceso también proporciona orientación para cuantificar los activos. Según resulte adecuado para la organización, puede optar por cuantificar los activos durante los debates de riesgos facilitados. Si lo hace, tenga en cuenta el tiempo necesario para lograr el consenso en la cuantificación de los valores monetarios durante el debate acerca de los riesgos. El proceso recomienda esperar hasta que se hayan identificado todos los riesgos y posteriormente se les haya asignado prioridades para reducir el número de riesgos que necesitan más análisis. Nota: para obtener información adicional acerca de la definición y clasificación de la información y los sistemas de información consulte los talleres de la publicación especial 800-60 de National Institute of Standards and Technology (NIST), "Mapping Types of Information and Information Systems to Security Categories" y la publicación 199 de Federal Information Processing Standards (FIPS), "Security Categorization of Federal Information and Information Systems". Repercusión alta en la empresa Las repercusiones en la confidencialidad, la integridad o la disponibilidad de estos activos provocan pérdidas graves o catastróficas para la organización. Las repercusiones se pueden expresar en términos financieros puros o pueden reflejar pérdida indirecta o robo de instrumentos financieros, productividad de la organización, daños a la reputación o responsabilidad legal o normativa importante. En la siguiente lista se ofrecen unos cuantos ejemplos de la clase de repercusión alta en la empresa:
• •
Credenciales de autenticación: contraseñas, claves de cifrado privadas y testigos (tokens) de hardware. Material de negocios muy confidencial: datos financieros y propiedad intelectual.
•
Activos sometidos a requisitos normativos específicos: GLBA, HIPAA, CA SB1386 y
•
Información de identificación personal: información que permita a un pirata informático
•
Datos de autorización de transacciones financieras: números de tarjeta de crédito y
directiva de protección de datos de UE. identificar a sus clientes o empleados, o bien conocer alguna característica personal. fechas de caducidad.
•
Perfiles financieros: informes de crédito de clientes o extractos de ingresos personales.
•
Perfiles médicos: números de registro médico o identificadores biométricos.
Para proteger la confidencialidad de los activos de esta clase, el acceso está restringido al uso organizativo limitado sobre la base de "quien necesite saberlo". El número de personas con acceso a estos datos lo debe administrar explícitamente el responsable del activo. Se debe prestar la misma atención a la integridad y la disponibilidad de los activos de esta clase. Repercusión moderada en la empresa Las repercusiones en la confidencialidad, la integridad o la disponibilidad de estos activos provocan pérdidas moderadas para la organización. La pérdida moderada no constituye una repercusión grave o catastrófica, pero altera las funciones organizativas normales hasta el punto de que son necesarios controles proactivos para minimizar las repercusiones en esta clase de activos. La pérdida moderada se puede expresar en términos financieros puros o puede incluir pérdida indirecta o robo de instrumentos financieros, productividad de la empresa, daños a la reputación o responsabilidad legal o normativa importante. Estos activos están pensados para que los utilicen determinados grupos de empleados o personas ajenas a la empresa con una necesidad de negocios legítima. A continuación se ofrecen ejemplos de la clase de repercusión moderada en la empresa:
•
Información de negocios interna: directorio de empleados, datos de pedidos, diseños de infraestructura de red, información acerca de sitios Web internos y datos en recursos compartidos de archivos internos únicamente para uso de negocios interno.
Repercusión baja en la empresa Los activos que no son de repercusión alta o de repercusión moderada tienen la clasificación de repercusión baja en la empresa y no tienen requisitos de protección formales ni controles adicionales aparte de las prácticas recomendadas estándar para proteger la infraestructura. Estos activos normalmente son información de amplia difusión pública en los que una revelación no autorizada no daría lugar a una pérdida financiera importante, problemas legales o normativos, interrupciones operativas o desventaja competitiva de negocios. La siguiente es una lista no exhaustiva de algunos ejemplos de activos de repercusión baja en la empresa:
•
Estructura de alto nivel de la organización.
•
Información básica acerca de la plataforma operativa de TI.
•
Acceso de lectura a páginas Web de acceso público.
•
Claves de cifrado privadas.
• •
Notas de prensa publicadas, folletos de producto, notas del producto y documentos incluidos en los productos publicados. Información de negocios o activos tangibles obsoletos.
Organización de la información de riesgos El riesgo implica muchos componentes en activos, amenazas, vulnerabilidades y controles. El responsable de evaluación de riesgos debe poder determinar el componente de riesgo del que se trata sin interferir en el flujo de la conversación. Para organización el debate, utilice la plantilla de discusión de riesgos (GARSHerramienta1-Herramienta de recopilación de datos.doc) incluida en la sección Herramientas para facilitar a los asistentes la comprensión de los componentes en riesgo. La plantilla también facilita al responsable de registro de evaluación de riesgos la obtención de información de riesgos de forma coherente en las reuniones. Los datos de la plantilla se pueden rellenar en cualquier secuencia. Sin embargo, la experiencia demuestra que si se sigue la secuencia según las siguientes preguntas, se facilita a los participantes del debate la comprensión de los componentes de riesgo y revela más información:
•
¿Qué activo se va a proteger?
•
¿Cuál es el valor del activo para la organización?
•
¿Qué se intenta evitar que le suceda al activo (amenazas conocidas y posibles)?
•
¿Cómo se pueden producir la pérdida o las exposiciones?
•
¿Cuál es el alcance de la exposición potencial para el activo?
• •
¿Qué se está haciendo actualmente para reducir la probabilidad o el alcance del daño en el activo? ¿Cuáles son las acciones que se pueden adoptar para reducir la probabilidad en el futuro?
Para el profesional de seguridad de información, las preguntas anteriores se traducen en terminología y categorías de evaluación de riesgos específicas que se emplean para asignar prioridades a los riesgos. No obstante, es posible que el participante no esté familiarizado con dichos términos y no esté encargado de asignar prioridades a los riesgos. La experiencia demuestra que si se evita terminología de seguridad de información, como amenazas, vulnerabilidades y contramedidas, se mejora la calidad del debate y permite que los participantes sin conocimientos técnicos no se sientan intimidados. Otra ventaja de utilizar términos funcionales para debatir el riesgo radica en que se reduce la posibilidad de que otros técnicos discutan sutilezas de términos específicos. En este punto del proceso es mucho más importante comprender las áreas de mayor riesgo que debatir definiciones opuestas de amenaza y vulnerabilidad. El responsable de evaluación de riesgos debe esperar hasta el final del debate para resolver dudas acerca de las definiciones y terminología de los riesgos.
Organización por niveles de defensa en profundidad El responsable de registro y el responsable de evaluación de riesgos recopilarán grandes cantidades de información. Utilice el modelo de defensa en profundidad para facilitar la organización de los debates correspondientes a todos los elementos de riesgo. Esta organización proporciona una estructura y ayuda al equipo de administración de riesgos de seguridad a recopilar información de riesgos en la organización. En la plantilla de debate de riesgos se incluye un ejemplo de niveles de defensa en profundidad y se ilustra en la figura 4.2. En la sección titulada "Organización de las soluciones de control" del capítulo 6, "Implementación de controles y medición de la efectividad del programa", se incluye una descripción más detallada del modelo de defensa en profundidad.
Figura 4.2 Modelo de defensa en profundidad
Otra herramienta útil para complementar el modelo de defensa en profundidad es hacer referencia al estándar ISO 17799 para organizar las preguntas y respuestas relativas a los riesgos. Hacer referencia a un estándar exhaustivo como ISO 17799 también facilita los debates acerca de los riesgos en relación con áreas adicionales, por ejemplo, jurídica, directiva, proceso, personal y desarrollo de aplicaciones.
Definición de amenazas y vulnerabilidades La información acerca de las amenazas y vulnerabilidades proporciona la prueba técnica que se emplea para asignar prioridades a los riesgos en una empresa. Debido a que muchos participantes sin conocimientos técnicos pueden no estar familiarizados con las exposiciones detalladas que afectan a su empresa, es posible que el responsable de evaluación de riesgos tenga que ofrecer ejemplos que contribuyan a iniciar el debate. Ésta es un área en la que resulta muy valiosa una investigación previa para ayudar a los responsables de negocios a detectar y comprender el riesgo en sus propios entornos. Como referencia, en ISO 17799 se definen las amenazas como una causa de repercusiones posibles en la organización. NIST define una amenaza como un suceso o entidad con posibilidad de dañar el sistema. Las repercusiones derivadas de una amenaza normalmente se definen con conceptos como confidencialidad, integridad y disponibilidad. Hacer referencia a estándares del sector resulta muy útil al investigar amenazas y vulnerabilidades. Para el debate de riesgos facilitado puede resultar útil traducir las amenazas y vulnerabilidades en términos conocidos para los participantes sin conocimientos técnicos. Por ejemplo, ¿qué se intenta evitar? o ¿qué se teme que le suceda al activo? La mayoría de las repercusiones en la empresa se pueden clasificar en confidencialidad del activo, integridad o disponibilidad del activo para la realización de las actividades. Intente utilizar este enfoque si los participantes tienen dificultades para entender el significado de las amenazas para los activos organizativos. Un ejemplo habitual de una amenaza para la organización es un ataque a la integridad de los datos financieros. Después de haber articulado lo que intenta evitar, la siguiente tarea consiste en determinar el modo en que las amenazas se producen en la organización. Una vulnerabilidad es un punto débil de un activo o grupo de activos que una amenaza puede atacar. De un modo simplificado, las vulnerabilidades proporcionan el mecanismo o el modo en que se pueden producir las amenazas. Como referencia adicional, NIST define la vulnerabilidad como una situación o punto débil en (o la ausencia de) los procedimientos de seguridad, controles técnicos, controles físicos u otros controles que puede aprovechar una amenaza. Como ejemplo, una vulnerabilidad habitual de los osas es la ausencia de actualizaciones de seguridad. La incorporación de los ejemplos de amenaza y vulnerabilidad indicados anteriormente genera la siguiente declaración: "los osas sin revisiones pueden provocar un ataque a la integridad de la información financiera que se encuentra en ellos". Un error habitual al llevar a cabo una evaluación de riesgos es centrarse en vulnerabilidades técnicas. La experiencia demuestra que las vulnerabilidades más importantes se suelen producir debido a la ausencia de un proceso definido o un control no adecuado de la seguridad de información. No pase por alto los aspectos organizativos y de liderazgo de la seguridad durante el proceso de recopilación de datos. Por ejemplo, retomando la vulnerabilidad de actualizaciones de seguridad anterior, la imposibilidad de aplicar actualizaciones en sistemas administrados puede conllevar un ataque a la integridad de la información financiera que se encuentra en dichos sistemas. El control claro y la aplicación de directivas de seguridad de información suelen ser un problema organizativo en muchas empresas. Nota: durante el proceso de recopilación de datos puede reconocer grupos comunes de amenazas y vulnerabilidades. Realice un seguimiento de estos grupos para determinar si con controles similares se puede reducir la probabilidad de varios riesgos.
Estimación de exposición de los activos Después de que el responsable de evaluación de riesgos dirija el debate por la identificación de activos, amenazas y vulnerabilidades, la siguiente tarea consiste en recopilar las estimaciones de los participantes acerca del alcance de los daños posibles al activo, independientemente de su definición de clase. El alcance de daños posibles se define como exposición del activo.
Tal como se ha descrito anteriormente, el responsable de negocios es el encargado de identificar los activos y estimar la pérdida posible para el activo o la organización. A modo de revisión, la clase de activos, la exposición y la combinación de amenaza y vulnerabilidad definen las repercusiones globales en la organización. A continuación, las repercusiones se combinan con la probabilidad para realizar la declaración de riesgo bien elaborada, tal como se ha definido en el capítulo 3. El responsable de evaluación de riesgos inicia el debate con los siguientes ejemplos de categorías cualitativas de exposición posible para cada combinación de amenaza y vulnerabilidad asociada a un activo:
•
Ventaja competitiva
•
Legal/normativo
•
Disponibilidad operativa
•
Reputación en el mercado
Por cada categoría, ayude a los participantes a situar las estimaciones en los tres grupos siguientes:
•
Exposición alta: pérdida grave o completa del activo.
•
Exposición moderada: pérdida limitada o moderada.
•
Exposición baja: pérdida menor o no hay pérdida.
En la sección de asignación de prioridades de este capítulo se ofrecen indicaciones para incorporar detalles a las categorías de exposición anteriores. Al igual que en la tarea de cuantificar los activos, el proceso de administración de riesgos de seguridad de Microsoft recomienda esperar hasta el paso de asignación de prioridades para precisar los niveles de exposición. Nota: si los participantes tienen dificultades para seleccionar los niveles de exposición durante los debates facilitados, retome los detalles de amenaza y vulnerabilidad para facilitar la indicación del nivel posible de daños o pérdida del activo. Los ejemplos públicos de ataques de seguridad también constituyen otra herramienta útil. Si se necesita ayuda adicional, introduzca el máximo de niveles detallados de exposición según lo definido en la sección de asignación de prioridades detalladas más adelante en este capítulo.
Estimación de la probabilidad de las amenazas Después de que los participantes hayan proporcionado las estimaciones de las posibles repercusiones en los activos organizativos, el responsable de evaluación de riesgos recopila sus opiniones acerca de la probabilidad de que las repercusiones se produzcan. De este modo se cierra el debate acerca de los riesgos y se permite que el participante comprenda el proceso de identificar los riesgos de seguridad. Recuerde que el grupo de seguridad de información se encarga de la decisión final acerca de la estimación de probabilidad de que se produzcan repercusiones en la organización. Este debate se puede considerar de cortesía y un modo de generar buena voluntad en los participantes. Utilice las siguientes indicaciones para estimar la probabilidad de cada amenaza y vulnerabilidad identificada en el debate:
•
Alta: muy probable, previsión de uno o varios ataques en un año.
•
Media: probable, previsión de ataque en dos a tres años.
•
Baja: no probable, no se prevé ningún ataque en tres años.
Normalmente se incluye la revisión de las incidencias que se han producido recientemente. Según resulte adecuado, debata estas indicaciones en orden para que los participantes comprendan la importancia de la seguridad y el proceso de administración de riesgos global. El proceso de administración de riesgos de seguridad de Microsoft asocia un intervalo de un año a la categoría de probabilidad alta porque los controles de seguridad de información normalmente tardan períodos largos en implementarse. Seleccionar la probabilidad de un año llama la atención del riesgo y anima a tomar una decisión de mitigación en el siguiente ciclo presupuestario. Una probabilidad alta, combinada con una repercusión alta, exige un debate acerca de los riesgos entre los participantes y el equipo de administración de riesgos de seguridad. El grupo de seguridad de información debe tomar conciencia de esta responsabilidad al estimar la probabilidad de las repercusiones. La siguiente tarea es recopilar las opiniones de los participantes acerca de los posibles controles que puedan reducir la probabilidad de las repercusiones identificadas. Trate este debate como una sesión de lluvia de ideas y no critique ni rechace ninguna idea. De nuevo, el objetivo principal de este debate es demostrar todos los componentes de riesgo para facilitar la comprensión. La selección de mitigación real se produce en la fase de apoyo a la toma de decisiones. Por cada posible control identificado, revise el debate de probabilidad para estimar el nivel de aparición reducida mediante las mismas categorías cualitativas descritas anteriormente. Indique a los participantes que el concepto de reducción de probabilidad del riesgo es la variable principal para administrar el riesgo a un nivel aceptable.
Facilitar los debates acerca de los riesgos En esta sección se describe la preparación de las reuniones de debate acerca de los riesgos y se definen las cinco tareas del debate de recopilación de datos (determinar los activos y escenarios organizativos, identificar las amenazas, identificar las vulnerabilidades, estimar la exposición de activos, identificar los controles existentes y la probabilidad de un ataque).
Preparación de las reuniones Un factor sutil, pero importante, de éxito es el orden en que se llevan a cabo los debates acerca de los riesgos. La experiencia en Microsoft demuestra que cuanta más información aporta el equipo de administración de riesgos de seguridad a cada reunión, más productivo es su resultado. Una estrategia consiste en crear una base de conocimientos de los riesgos en la organización para aprovechar la experiencia de los equipos de seguridad de información y de TI. Celebre una reunión con el grupo de seguridad de información en primer lugar y, a continuación, con los equipos de TI para actualizar los conocimientos acerca del entorno. De este modo, el equipo de administración de riesgos de seguridad puede disponer de una mayor comprensión del área de la organización de cada participante. También permite que dicho equipo comparta los avances de la evaluación de riesgos con los participantes según resulte adecuado. Según esta práctica recomendada, lleve a cabo los debates acerca de los riesgos con la dirección ejecutiva hacia el final del proceso de recopilación de datos. Los ejecutivos normalmente desean obtener un avance de la dirección que toma la evaluación de riesgos. No lo confunda con el patrocinio y el apoyo ejecutivo. La
participación de los ejecutivos es necesaria al principio y durante el proceso de evaluación de riesgos. Dedique tiempo a crear la lista de invitados a cada debate acerca de los riesgos. Se recomienda llevar a cabo reuniones con grupos de participantes que dispongan de responsabilidades y conocimientos técnicos similares. El objetivo es que los asistentes se sientan cómodos con el nivel técnico del debate. Aunque un conjunto variado de participantes puede suponer una ventaja al ofrecer otros puntos de vista acerca del riesgo de la organización, el proceso de evaluación de riesgos debe permanecer centrado en recopilar todos los datos pertinentes en el tiempo asignado. Después de programar los debates acerca de los riesgos, investigue el área de organización de cada participante para familiarizarse con los activos, las amenazas, las vulnerabilidades y los controles. Tal como se ha indicado anteriormente, esta información permite al responsable de evaluación de riesgos mantener el debate encauzado y a un ritmo productivo.
Facilitar los debates El debate dirigido debe tener un tono informal; no obstante, el responsable de evaluación de riesgos debe mantener el debate en orden para tratar todo el material pertinente. La experiencia demuestra que el debate normalmente no se ajusta a la agenda. Los errores probables se producen
cuando
los
participantes
inician
discusiones
técnicas
acerca
de
las
nuevas
vulnerabilidades o tienen soluciones de control preconcebidas. El responsable de evaluación de riesgos debe utilizar la investigación previa a la reunión y su experiencia para elaborar un resumen de la discusión técnica y hacer que la reunión avance. Con la suficiente preparación, una reunión con cuatro a seis participantes debe durar aproximadamente 60 minutos. Dedique unos minutos al principio para tratar la agenda y hacer hincapié en las funciones y responsabilidades en el programa de administración de riesgos. Los participantes deben comprender de forma clara sus funciones y las aportaciones que se esperan de ellos. Otra práctica recomendada es proporcionar a todos los participantes una hoja de trabajo de debate de riesgos de ejemplo para que tomen notas personales. De este modo también se ofrece una referencia a medida que el responsable de evaluación de riesgos dirige el debate de riesgos. Otra práctica recomendada es llegar antes y anotar la plantilla de riesgos en una pizarra para registrar datos durante la reunión. Para una reunión de 60 minutos, la distribución del tiempo debe ser parecida a la siguiente:
•
Presentaciones e información general acerca de la administración de riesgos: 5 minutos
•
Funciones y responsabilidades: 5 minutos
•
Debate acerca de los riesgos: 50 minutos
El debate acerca de los riesgos se divide en las siguientes secciones:
•
Determinar los activos organizativos y los escenarios
•
Identificar las amenazas
•
Identificar las vulnerabilidades
•
Estimar la exposición de los activos
•
Estimar la probabilidad de las amenazas
•
Debates de los controles propuestos
•
Resumen de la reunión y pasos siguientes
El flujo real de la reunión varía según el grupo de participantes, el número de riesgos debatidos y la experiencia del responsable de evaluación de riesgos. Utilice éste como guía en cuanto a la dedicación de tiempo relativo a cada tarea de la evaluación. Asimismo, considere la posibilidad de enviar la plantilla de recopilación de datos antes de la reunión si los participantes tienen experiencia en el proceso de evaluación de riesgos. Nota: en las secciones restantes de este capítulo se incluye información de ejemplo para demostrar el uso de las herramientas a las que se ha hecho referencia en la fase de evaluación de riesgos. La empresa de ejemplo es ficticia y el contenido relacionado con el riesgo sólo representa una parte de los datos necesarios para una evaluación de riesgos completa. El ejemplo se centra en mostrar únicamente el modo en que se puede recopilar y analizar la información mediante las herramientas proporcionadas con esta guía. Una demostración completa de todos los aspectos del proceso de administración de riesgos de seguridad de Microsoft genera una cantidad considerable de datos y queda fuera del ámbito de esta guía. La empresa ficticia es un banco que ofrece servicios a particulares denominado Woodgrove Bank. El contenido relacionado con el ejemplo se puede identificar mediante el encabezado "Ejemplo de Woodgrove" que antecede a cada tema de ejemplo.
Tarea 1: Determinar los activos organizativos y los escenarios La primera tarea consiste en recopilar las definiciones de los participantes de los activos organizativos en el ámbito de la evaluación de riesgos. Utilice la plantilla de recopilación de datos, mostrada a continuación, para asignar los activos tangibles, intangibles o de servicio de TI según resulte adecuado (GARSHerramienta1-Herramienta de recopilación de datos.doc también se incluye como herramienta con esta guía). Por cada activo, ayude a los participantes a seleccionar una clase de activos y a registrarla en la plantilla. Según resulte adecuado, registre también el responsable del activo. Si los participantes tienen dificultades para seleccionar una clase de activos, compruebe que el activo está definido en un nivel detallado para facilitar el debate. Si los participantes siguen teniendo dificultades, omita esta tarea y espere hasta los debates acerca de las amenazas y las vulnerabilidades. La experiencia demuestra que los participantes pueden clasificar los activos más fácilmente cuando aprecian las amenazas posibles para el activo y toda la empresa. El debate en relación con los activos organizativos se puede limitar a unas preguntas simples. Por ejemplo, ¿el activo es crucial para el éxito de la empresa? y ¿el activo puede tener repercusiones materiales en los resultados? Si las respuestas son afirmativas, el activo puede tener repercusiones altas en la organización.
Figura 4.3 Instantánea de la plantilla de recopilación de datos (GARSHerramienta1)
Ejemplo de Woodgrove: Woodgrove Bank dispone de numerosos activos de alto valor que van desde sistemas de cálculo de intereses e información personal de clientes hasta datos financieros de consumidor y reputación como institución de confianza. Este ejemplo sólo se centra en uno de estos activos, datos financieros de consumidor, para demostrar el uso de las herramientas incluidas en esta guía. Después de tratar la responsabilidad del activo en la reunión de debate acerca de los riesgos, el equipo de administración de riesgos de seguridad ha identificado al vicepresidente de servicios al consumidor como el responsable del activo. Si se identifica un riesgo controvertido o una estrategia de mitigación cara, este responsable de negocios será un participante clave al decidir el riesgo aceptable para Woodgrove Bank. Al hablar con los representantes de los servicios al consumidor, el equipo de administración de riesgos de seguridad ha confirmado que los datos financieros de consumidor son un activo de alto valor para la empresa.
Tarea 2: Identificar las amenazas Utilice terminología común para facilitar el debate acerca de las amenazas, por ejemplo, ¿qué desean evitar los participantes que les suceda a los distintos activos? Centre los debates en qué puede suceder en vez de cómo puede suceder. Plantee las preguntas en términos de confidencialidad, integridad o disponibilidad del activo y registre la información en la plantilla de recopilación de datos. Ejemplo de Woodgrove: según los activos tratados anteriormente, se pueden identificar numerosas amenazas. Para abreviar, este ejemplo sólo se centra en la amenaza de una pérdida de integridad de los datos financieros de consumidor. También puede haber amenazas adicionales en cuanto a la disponibilidad y la confidencialidad de los datos de consumidor; no obstante, quedan fuera del ámbito de este ejemplo básico.
Tarea 3: Identificar las vulnerabilidades Por cada amenaza identificada, ofrezca ideas acerca de las vulnerabilidades, por ejemplo, cómo se podría producir la amenaza. Anime a los participantes a ofrecer ejemplos técnicos específicos al documentar las vulnerabilidades. Cada amenaza puede tener varias vulnerabilidades. Esto es normal y sirve de ayuda en las etapas posteriores de identificación de controles en la fase de apoyo a la toma de decisiones del proceso de administración de riesgos. Ejemplo de Woodgrove: teniendo en cuenta la amenaza de pérdida de integridad en los datos financieros de consumidor, el equipo de administración de riesgos de seguridad ha condensado la información recopilada durante los debates acerca de los riesgos en las tres vulnerabilidades siguientes:
1.
Robo de credenciales de asesor financiero por parte de empleados de confianza mediante ataques no técnicos, por ejemplo, ingeniería social o escuchas.
2.
Robo de credenciales de asesor financiero a través de hosts de la red de área local (LAN) mediante el uso de configuraciones de seguridad obsoletas.
3.
Robo de credenciales de asesor financiero a través de hosts remotos, o móviles, como resultado de configuraciones de seguridad obsoletas.
Tenga en cuenta que puede haber muchas más vulnerabilidades en este escenario. El objetivo es demostrar el modo en que las vulnerabilidades se asignan a amenazas específicas. Tenga también en cuenta que es posible que los participantes no designen las vulnerabilidades en términos técnicos. El equipo de administración de riesgos de seguridad debe precisar las declaraciones de amenazas y vulnerabilidades según sea necesario.
Tarea 4: Estimar la exposición de los activos El responsable de evaluación de riesgos dirige el debate para estimar la exposición de cada combinación de amenaza y vulnerabilidad. Pida a los participantes que seleccionen un nivel de exposición alta, moderada o baja y lo registren en la plantilla. En el caso de activos y sistemas digitales, una directriz útil consiste en clasificar la exposición como alta si la vulnerabilidad permite un control de nivel administrativo, o raíz, del activo. Ejemplo de Woodgrove: después de identificar las amenazas y las vulnerabilidades, el responsable de evaluación de riesgos dirige el debate para recopilar información acerca del nivel posible de daños que las combinaciones de amenaza y vulnerabilidad tratadas anteriormente pueden producir a la empresa. Tras debatirlo, el grupo determina lo siguiente:
•
Un ataque de integridad por parte de un empleado de confianza puede provocar daños a la empresa, pero probablemente no sean demasiado graves. En este escenario, el alcance del daño es limitado porque cada asesor financiero sólo puede tener acceso a los datos de cliente que administra. Por lo tanto, el grupo de debate reconoce que un número menor de credenciales robadas provoca menos daños que un número mayor.
•
Un ataque de integridad mediante el robo de credenciales en los hosts de la LAN puede provocar un nivel grave, o alto, de daños. Esto es así, especialmente, en el caso de un ataque automatizado que pueda recopilar varias credenciales de asesor financiero en un breve período de tiempo.
•
Un ataque de integridad mediante el robo de credenciales en los hosts móviles también puede tener un nivel grave, o alto, de daños. El grupo de debate anota que las configuraciones de seguridad en los hosts remotos normalmente van por detrás de los sistemas LAN.
Tarea 5: Identificar los controles existentes y la probabilidad de un ataque Utilice el debate acerca de los riesgos para comprender mejor los puntos de vista de los participantes del entorno de controles actual, sus opiniones acerca de la probabilidad de un ataque y sus sugerencias de controles propuestos. Los puntos de vista de los participantes pueden diferir de la implementación real, pero proporcionan una referencia valiosa al grupo de seguridad de información. Utilice este punto del debate para recordar a los participantes sus funciones y responsabilidades en el programa de administración de riesgos. Documente los resultados en la plantilla. Ejemplo de Woodgrove: después del debate acerca de la exposición posible para la empresa con las amenazas y vulnerabilidades identificadas, los participantes sin conocimientos técnicos no disponen de suficiente experiencia para comentar la probabilidad de que un host esté en peligro en relación a otro. Sin embargo, están de acuerdo en que los hosts remotos, o los hosts móviles,
no reciben el mismo nivel de administración que los de la LAN. Se debate la necesidad de que los asesores
financieros
revisen
periódicamente
los
informes
de
actividad
para
detectar
comportamientos no autorizados. Estos comentarios se recopilan y los tendrá en cuenta el equipo de administración de riesgos de seguridad durante la fase de apoyo a la toma de decisiones.
Resumen del debate acerca de los riesgos Al final del debate acerca de los riesgos, resuma brevemente los riesgos identificados para facilitar el cierre de la reunión. Asimismo, recuerde a los participantes el proceso de administración de riesgos global y calendario. La información recopilada en el debate acerca de los riesgos otorga a los participantes una función activa en el proceso de administración de riesgos y ofrece información valiosa al equipo de administración de riesgos de seguridad. Ejemplo de Woodgrove: el responsable de evaluación de riesgos resume el debate y destaca los activos, amenazas y vulnerabilidades que se han tratado. También describe el proceso de administración de riesgos global e informa al grupo de debate el hecho de que el equipo de administración de riesgos de seguridad hará uso de su información, y la de otros, al estimar la probabilidad de cada amenaza o vulnerabilidad.
Definición de las declaraciones de consecuencias La última tarea del paso de recopilación de datos facilitados consiste en analizar la cantidad posiblemente grande de información recopilada durante los debates acerca de los riesgos. El resultado de este análisis es una lista de declaraciones que describen el activo y la exposición posible debido a una amenaza y vulnerabilidad. Tal como se ha definido en el capítulo 3, estas declaraciones se denominan declaraciones de repercusiones. Las repercusiones se determinan mediante la combinación de la clase de activos con el nivel de exposición posible para el activo. Recuerde que las repercusiones son la mitad de la declaración de riesgo; las repercusiones se combinan con la probabilidad de que suceda para completar la declaración de riesgo. El equipo de administración de riesgos de seguridad crea las declaraciones de repercusiones mediante la consolidación de la información recopilada en los debates acerca de los riesgos, la incorporación de las repercusiones identificadas anteriormente y, también, la inclusión de datos de repercusiones de sus propias observaciones. El equipo de administración de riesgos de seguridad es responsable de esta tarea, pero debe solicitar información adicional a los participantes según sea necesario. La declaración de repercusiones contiene el activo, la clase de activos, el nivel de defensa en profundidad, la descripción de la amenaza, la descripción de la vulnerabilidad y la clasificación de exposición. Utilice la información registrada en la plantilla de recopilación de datos para definir las declaraciones de repercusiones para todos los debates facilitados. En la figura 4.4 se muestran los encabezados de columna correspondientes de la plantilla de riesgo de nivel de resumen para recopilar los datos específicos de repercusiones.
Figura 4.4 Hoja de trabajo de nivel de riesgo de resumen: columnas Activo y Exposición (GARSHerramienta2)
Ejemplo de Woodgrove: la información de ejemplo recopilada durante los debates acerca de los riesgos se puede organizar mediante el desarrollo de declaraciones de repercusiones. El equipo de administración de riesgos de seguridad puede documentar las declaraciones de repercusiones mediante frases; por ejemplo, "La integridad de los datos de cliente de alto valor puede estar amenazada por el robo de credenciales de hosts administrados de forma remota". Aunque este enfoque es preciso, la elaboración de frases no sirve para una gran cantidad de riesgos debido a las incoherencias en la redacción, la comprensión y la ausencia de datos de organización (clasificación o consulta de riesgos). Un enfoque más eficaz consiste en asignar los datos de repercusiones a la tabla de nivel de resumen tal como se muestra a continuación.
Figura 4.5 Ejemplo de Woodgrove: Información obtenida durante el proceso de recopilación de datos (GARSHerramienta2)
Nota: en la siguiente sección, titulada "Asignación de prioridades a los riesgos", se proporcionan indicaciones adicionales acerca de la selección y documentación de la clasificación de efecto empleadas en el proceso de riesgos de nivel de resumen.
Resumen de recopilación de datos Mediante la consolidación de la información obtenida durante los debates de recopilación de datos en declaraciones de repercusiones individuales, el equipo de administración de riesgos de seguridad ha concluido las tareas del paso de recopilación de datos facilitados de la fase de evaluación de riesgos. En la siguiente sección, "Asignación de prioridades a los riesgos", se detallan las tareas de la asignación de prioridades a los riesgos. Durante la asignación de prioridades, el equipo de administración de riesgos de seguridad se encarga de estimar la
probabilidad de cada declaración de repercusiones. A continuación, dicho equipo combina las declaraciones de repercusiones con sus estimaciones de probabilidad de que suceda. El resultado es una lista exhaustiva de riesgos con prioridades, lo que concluye la fase de evaluación de riesgos. Al analizar los riesgos se pueden identificar riesgos que dependen de que otros se produzcan. Por ejemplo, si se produce un incremento de privilegio en un activo de repercusión baja en la empresa, se puede quedar expuesto un activo de repercusión alta en la empresa. Este ejercicio es válido; no obstante, las dependencias de los riesgos pueden llegar a generar una cantidad ingente de datos que se tienen que recopilar, administrar y hacer un seguimiento de ellos. El proceso de administración de riesgos de seguridad de Microsoft recomienda destacar las dependencias según sea factible, pero normalmente no es rentable administrar todas las dependencias de los riesgos. El objetivo global es identificar y administrar los riesgos de máxima prioridad para la empresa.
Asignación de prioridades a los riesgos
Tal como se ha tratado en la sección anterior, el paso de recopilación de datos facilitados define las tareas para elaborar una lista de declaraciones de repercusiones para identificar los activos organizativos y sus posibles repercusiones. En esta sección se describe el siguiente paso de la fase de evaluación de riesgos: la asignación de prioridades a los riesgos. El proceso de asignación de riesgos incorpora el elemento de probabilidad a la declaración de repercusiones. Recuerde que una declaración de riesgo bien elaborada requiere tanto las repercusiones para la organización como la probabilidad de que se produzcan. El proceso de asignación de prioridades se puede considerar como el último paso en la "definición de los riesgos más importantes para la organización". Su resultado final es una lista de prioridades de riesgos que se utilizará como la información para el proceso de apoyo a la toma de decisiones que se describe en el capítulo 5, "Apoyo a la toma de decisiones". El grupo de seguridad de información es el único responsable del proceso de asignación de prioridades. El equipo puede consultar a participantes con conocimientos técnicos y sin dichos conocimientos, pero es su responsabilidad determinar la probabilidad de las repercusiones posibles para la organización. Mediante la aplicación del proceso de administración de riesgos de seguridad de Microsoft, el nivel de probabilidad tiene la capacidad de incrementar la toma de conciencia de un riesgo a los máximos niveles de la organización o puede reducirla tanto que el riesgo se pueda aceptar sin más debate. La estimación de la probabilidad de riesgo requiere que el equipo de administración de riesgos de seguridad dedique mucho tiempo a evaluar exhaustivamente cada combinación de amenaza y vulnerabilidad de prioridad. Cada combinación se evalúa según los controles actuales para tener en cuenta la eficacia de dichos controles que pueda influir en la probabilidad de repercusiones para la organización. Este proceso puede resultar abrumador para organizaciones grandes y puede comprometer la decisión inicial de invertir en un programa de administración de riesgos formal. Para reducir el tiempo dedicado a la asignación de prioridades a los riesgos, el proceso se puede dividir en dos tareas: un proceso de nivel de resumen y otro de nivel detallado. En el proceso de nivel de resumen se genera una lista de riesgos con prioridades muy rápidamente, similar a los procedimientos de selección que se utilizan en las habitaciones de urgencias hospitalarias para garantizar que se ofrece ayuda a los pacientes que más la necesitan en primer lugar. No obstante, el inconveniente es que se produce una lista que sólo contiene comparaciones de alto nivel entre los riesgos. Una larga lista de nivel de resumen de los riesgos en que cada uno se considere alto no proporciona suficientes indicaciones al equipo de administración de riesgos de seguridad ni le permite asignar prioridades a las estrategias de mitigación. En todo caso, los equipos pueden clasificar rápidamente los riesgos para identificar los
riesgos altos y moderados, lo que permite que el equipo de administración de riesgos de seguridad centre sus esfuerzos sólo en los riesgos que parecen más importantes. En el proceso de nivel detallado se elabora una lista con más detalle que permite diferenciar fácilmente los riesgos entre sí. La vista de riesgos detallada permite la clasificación apilada de los riesgos y también incluye una vista más detallada del posible efecto financiero derivado del riesgo. Este elemento cuantitativo facilita el cálculo de costos de los debates de controles en el proceso de apoyo a la toma de decisiones, que se describe en el siguiente capítulo. Algunas organizaciones pueden optar por no elaborar una lista de riesgos de nivel de resumen. Si no se analiza, puede parecer que esta estrategia ahorra tiempo, pero no es así. Minimizar el número de riesgos en la lista de nivel detallado, en última instancia, hace que el proceso de evaluación de riesgos sea más eficaz. Un objetivo principal del proceso de administración de riesgos de seguridad de Microsoft es simplificar el proceso de evaluación de riesgos mediante el equilibrio entre la granularidad agregada al análisis de riesgos y el esfuerzo necesario para calcular el riesgo. Simultáneamente, intenta promover y conservar la claridad en relación con la lógica inherente para que los participantes dispongan de una comprensión clara de los riesgos para la organización. Algunos riesgos pueden tener la misma clasificación en la lista de resumen y en la detallada; no obstante, las clasificaciones ofrecen suficiente información para determinar si el riesgo es importante para la organización y si debe pasar al proceso de apoyo a la toma de decisiones. Nota: el objetivo final de la fase de evaluación de riesgos es definir los más importantes para la organización. El objetivo de la fase de apoyo a la toma de decisiones es determinar lo que se debe hacer para solucionarlos. Los equipos normalmente se estancan en esta etapa mientras los participantes debaten la importancia de varios riesgos. Para reducir los posibles retardos, aplique las siguientes tareas según resulte adecuado para su organización: 1.
Sin emplear términos técnicos, defina los riesgos de nivel alto y medio para la organización antes de iniciar el proceso de asignación de prioridades.
2.
Centre la atención en los riesgos que están en el límite entre los niveles alto y medio.
3.
Evite debatir el modo de afrontar los riesgos antes de decidir si es importante. Preste atención a los participantes que tengan soluciones preconcebidas en mente y busquen resultados para proporcionar justificación al proyecto.
En el resto de esta sección se tratan los factores de éxito y las tareas para crear las clasificaciones de riesgos de nivel de resumen y detallado. En las siguientes tareas y en la figura 4.6 se ofrece información general de la sección y los componentes clave del proceso de asignación de prioridades a los riesgos.
Tareas y componentes principales
•
Tarea 1: elaborar la lista de nivel de resumen mediante clasificaciones amplias para estimar la probabilidad de repercusiones para la organización.
• Resultado:
lista de nivel de resumen para identificar rápidamente la prioridad de los
riesgos para la organización.
•
Tarea 2: revisar la lista de nivel de resumen con los participantes para empezar a alcanzar
•
Tarea 3: elaborar la lista de nivel detallado mediante el examen de los atributos detallados del
consenso en la prioridad de los riesgos y seleccionar los riesgos para la lista de nivel detallado. riesgo en el entorno de negocios actual. Esto incluye indicaciones para determinar la estimación cuantitativa de cada riesgo.
• Resultado: lista de nivel detallado que proporciona información exhaustiva de los riesgos principales para la organización.
Figura 4.6 Tareas de asignación de prioridades a los riesgos
Nota: el resultado de riesgos de nivel detallado se revisará con los participantes en el proceso de apoyo a la toma de decisiones descrito en el capítulo 5.
Preparación para el éxito La asignación de prioridades a los riesgos para la organización no es una mera propuesta. El equipo de administración de riesgos de seguridad debe intentar predecir el futuro mediante la estimación de cuándo y cómo las posibles repercusiones pueden afectar a la organización y, a continuación, debe justificar estas predicciones ante los participantes. Un error habitual que cometen muchos equipos es "ocultar" las tareas empleadas para determinar la probabilidad y utilizar cálculos para representar la probabilidad en porcentajes u otras cifras de resultados a las que suponen que los responsables de negocios responderán más rápidamente. Pero la experiencia al desarrollar el proceso de administración de riesgos de seguridad de Microsoft ha demostrado que los participantes son más propensos a aceptar los análisis del equipo de administración de riesgos de seguridad si la lógica es clara durante el proceso de asignación de prioridades. El proceso se centra en la comprensión por parte de los participantes a lo largo del mismo. La lógica de asignación de prioridades debe ser lo más simple posible para lograr el consenso rápidamente y reducir los malentendidos. La experiencia en elaboración de evaluaciones de riesgos en el departamento de TI de Microsoft y otras empresas ha demostrado que las siguientes prácticas recomendadas resultan útiles para el equipo de administración de riesgos de seguridad durante el proceso de asignación de prioridades:
•
Analizar los riesgos durante el proceso de recopilación de datos. Debido a que la asignación de prioridades a los riesgos puede ocupar mucho tiempo, intente anticiparse a los riesgos controvertidos e inicie el proceso de asignación de prioridades lo más pronto posible. Este método abreviado es posible debido a que el equipo de administración de riesgos de seguridad es el único responsable del proceso de asignación de prioridades.
•
Lleve a cabo la investigación para generar credibilidad para estimar la probabilidad. Utilice los informes de auditoría anteriores y tenga en cuenta las tendencias del sector así como las incidencias de seguridad internas según resulte adecuado. Vuelva a consultar a los participantes según sea necesario para obtener información acerca de los controles actuales y la toma de conciencia de los riesgos específicos en sus entornos.
•
Programe tiempo suficiente en el proyecto para llevar a cabo investigaciones y realizar análisis
•
Recuerde a los participantes que el equipo de administración de riesgos de seguridad tiene la
de la efectividad y las capacidades del entorno de controles actual. responsabilidad de determinar la probabilidad. El patrocinador ejecutivo también debe reconocer esta función y apoyar el análisis del equipo de administración de riesgos de seguridad.
•
Comunicar el riesgo en términos de negocios. Evite utilizar expresiones relacionadas con el miedo o jerga técnica en el análisis de asignación de prioridades. El equipo de administración de riesgos de seguridad debe comunicar el riesgo en unos términos que la organización comprenda y evitar la tentación de exagerar el nivel de peligro.
•
Reconciliar los nuevos riesgos con los anteriores. Al crear la lista de nivel de resumen, incorpore los riesgos de las evaluaciones anteriores. Esto permite que el equipo de administración de riesgos de seguridad realice un seguimiento de los riesgos en varias evaluaciones y proporcione la ocasión de actualizar los elementos de riesgo anteriores según sea necesario. Por ejemplo, si un riesgo anterior no se ha mitigado debido a los altos costos de mitigación, revise la probabilidad de que el riesgo se produzca y vuelva a tener en cuenta los cambios en la solución o costos de mitigación.
Asignación de prioridades a los riesgos de seguridad En la siguiente sección se explica el proceso de elaboración de las listas de riesgos de nivel de resumen y detallado. Puede resultar útil imprimir las plantillas de apoyo para cada proceso que se encuentran en la sección de herramientas.
Asignación de prioridades a riesgos de nivel de resumen La lista de nivel de resumen utiliza la declaración de repercusiones generada durante el proceso de proceso de recopilación de datos. La lista de declaración de repercusiones es el primero de los dos elementos de información de la vista de resumen. El segundo elemento de información es la estimación de probabilidades que ha determinado el equipo de administración de riesgos de seguridad. En las siguientes tres tareas se proporciona información general acerca del proceso de asignación de prioridades de nivel de resumen:
• • •
Tarea 1: determinar el valor de las repercusiones a partir de las declaraciones de repercusiones elaboradas en el proceso de recopilación de datos. Tarea 2: estimar la probabilidad de las repercusiones para la lista de nivel de resumen. Tarea 3: completar la lista de nivel de resumen mediante la combinación de los valores de repercusiones y de probabilidad por cada declaración de riesgo.
Tarea 1: Determinar el nivel de las repercusiones La información de clase de activos y de exposición de activo obtenida en el proceso de recopilación de datos se debe resumir en un solo dato para determinar las repercusiones. Recuerde que las repercusiones son la combinación de la clase de activos y el alcance de exposición al activo. Utilice la siguiente figura para seleccionar el nivel por cada declaración de repercusiones.
Figura 4.7 Hoja de trabajo de análisis de riesgos: clase de activos y nivel de exposición (GARSHerramienta2)
Ejemplo de Woodgrove: recuerde que el ejemplo de Woodgrove tenía tres declaraciones de repercusiones. En la siguiente lista se resumen estas declaraciones mediante la combinación de la clase de activos y el nivel de exposición: 1.
Repercusión de robo por parte de empleados de confianza: clase de activos de repercusión alta en la empresa y exposición baja. Según la figura anterior, esto implica una repercusión moderada.
2.
Repercusión de peligro de los hosts de la LAN: clase de activos de repercusión alta en la empresa y exposición alta causan una repercusión alta.
3.
Repercusión de peligro de los hosts remotos: clase de activos de repercusión alta en la empresa y exposición alta causan una repercusión alta.
Tarea 2: Estimar la probabilidad de nivel de resumen Utilice las mismas categorías de probabilidad descritas en el proceso de recopilación de datos. Las categorías de probabilidad se incluyen a continuación como referencia:
•
Alta: muy probable, previsión de uno o varios ataques en un año.
•
Media: probable, previsión de ataque una vez al menos en dos a tres años.
•
Baja: no probable, no se prevé ningún ataque en tres años.
Ejemplo de Woodgrove: la asignación de prioridades a riesgos de nivel de resumen es el primer documento formal de la estimación del equipo de administración de riesgos de seguridad acerca de la probabilidad de riesgo. El equipo de administración de riesgos de seguridad debe estar preparado para proporcionar pruebas o casos que justifiquen sus estimaciones; por ejemplo, referencias a incidencias anteriores o a la efectividad de los controles actuales. En la siguiente lista se resumen los niveles de probabilidad para el ejemplo de Woodgrove: 1.
Probabilidad de robo por parte de empleados de confianza: baja. Woodgrove National Bank se enorgullece de contratar a empleados de confianza. El equipo directivo comprueba esta confianza mediante comprobaciones de antecedentes y efectúa auditorías aleatorias de la actividad de los asesores financieros. En el pasado no se han identificado incidencias relacionadas con el abuso por parte los empleados.
2.
Probabilidad de peligro de los hosts de la LAN: media. El departamento de TI ha formalizado recientemente su proceso de revisiones y configuración en la LAN debido a incoherencias en años anteriores. Debido a la naturaleza descentralizada del banco, en ocasiones los sistemas se han identificados como no conformes; no obstante, no se ha informado de incidencias en los últimos meses.
3.
Probabilidad de peligro de los hosts remotos: alta. Los hosts remotos normalmente no son compatibles durante largos períodos de tiempo. También se han identificado incidencias recientes relacionadas con infecciones de virus y gusanos en los hosts remotos.
Tarea 3: Completar la lista de nivel de resumen Después de que el equipo de administración de riesgos de seguridad estime la probabilidad, utilice la siguiente figura para seleccionar la clasificación de riesgo de nivel de resumen.
Figura 4.8 Hoja de trabajo de análisis de riesgos: repercusiones y probabilidad (GARSHerramienta2)
Nota: según resulte adecuado para su organización, el nivel de riesgo de una repercusión media combinada con una probabilidad media se puede definir como riesgo alto. Definir los niveles de riesgo independientemente del proceso de evaluación de riesgos proporciona las indicaciones necesarias para tomar esta decisión. Recuerde que la guía de administración de riesgos de seguridad es una herramienta para facilitar el desarrollo de un programa de administración de riesgos exhaustivo y coherente. Cada organización debe definir lo que significa riesgo alto para su propia empresa. Ejemplo de Woodgrove: la combinación de las clasificaciones de repercusiones y de probabilidad da como resultado las siguientes clasificaciones de riesgos: 1.
Riesgo de robo por parte de empleados de confianza: bajo (repercusión media, probabilidad baja)
2.
Riesgo de peligro de los hosts de la LAN: alto (repercusión alta, probabilidad media)
3.
Riesgo de peligro de los hosts remotos: alto (repercusión alta, probabilidad alta)
Como revisión, en la siguiente figura se representan todas las columnas de la lista de nivel de resumen, que también está incluida en GARSHerramienta2-Nivel de riesgo de resumen.xls
Figura 4.9 Hoja de trabajo de análisis de riesgos: lista de nivel de resumen (GARSHerramienta2)
Según resulte adecuado para su organización, agregue columnas para incluir información de apoyo, por ejemplo, la columna "Fecha de identificación" para diferenciar los riesgos identificados en evaluaciones anteriores. También puede agregar columnas para actualizar las descripciones de riesgo o destacar cambios en el riesgo que se hayan producido desde la evaluación anterior. Debe adaptar el proceso de administración de riesgos de seguridad de Microsoft, incluidas las herramientas, para ajustarlo a sus necesidades específicas. Ejemplo de Woodgrove: la siguiente figura completa el ejemplo de la lista de riesgos de nivel de resumen para Woodgrove Bank. Tenga en cuenta que las columnas "Probabilidad" y "Nivel de riesgo de resumen" se han agregado a la información de declaración de repercusiones para completar los elementos de una declaración de riesgo bien elaborada.
Figura 4.10 Ejemplo de lista de riesgos de nivel de resumen de Woodgrove Bank (GARSHerramienta2)
Revisión con los participantes La siguiente tarea del proceso de asignación de prioridades es la revisión de los resultados de resumen con los participantes. Los objetivos son mantener informados a los participantes acerca del proceso de evaluación de riesgos y solicitar su colaboración para seleccionar los riesgos de los que se realizará un análisis más detallado. Utilice los siguientes criterios al seleccionar los riesgos que se incluirá en el proceso de asignación de prioridades de nivel detallado:
•
Riesgos de nivel alto: los riesgos clasificados como altos se deben incluir en la lista detallada. Cada riesgo alto debe tener una resolución después del proceso de apoyo a la toma de decisiones; por ejemplo, aceptar el riesgo o desarrollar una solución de mitigación.
•
Riesgos dudosos: cree el análisis de asignación de prioridades detallado para riesgos moderados que requieren una resolución. En algunas organizaciones se pueden llegar a incluir todos los riesgos moderados en la lista detallada.
•
Riesgos controvertidos: si un riesgo es nuevo, no se ha comprendido bien o los participantes tienen distintos puntos de vista, cree el análisis detallado para que los participantes tenga un conocimiento más preciso del riesgo.
Ejemplo de Woodgrove: tenga en cuenta que el riesgo "Robo por parte de empleados de confianza" se ha clasificado como Bajo en la lista de riesgos de nivel de resumen. En este punto del proceso de asignación de prioridades, todos los participantes comprenden perfectamente este riesgo. En el caso de Woodgrove, sirve de ejemplo de un riesgo que no es necesario graduar en el paso de asignación de prioridades a riesgos de nivel detallado. Para el resto del ejemplo de Woodgrove, sólo se asignan prioridades a los riesgos de peligro de hosts de la LAN y remotos.
Asignación de prioridades a riesgos de nivel detallado La elaboración de la lista de riesgos de nivel detallado es la última tarea del proceso de evaluación de riesgos. La lista detallada también constituye una de las tareas más importantes porque permite que la organización comprenda la lógica subyacente en los riesgos más importantes para la empresa. Después de completar el proceso de evaluación de riesgos, en ocasiones la simple notificación de un riesgo bien documentado a los participantes basta para desencadenar la acción. En el caso de las organizaciones sin un programa de administración de riesgos formal, el proceso de administración de riesgos de seguridad de Microsoft puede suponer una experiencia reveladora. Nota: si todos los participantes comprenden bien un riesgo, el detalle del nivel de resumen puede ser suficiente para determinar la solución de mitigación adecuada. La lista de riesgos detallada aprovecha muchos de los elementos de información de la lista de nivel de resumen; no obstante, la vista detallada requiere que el equipo de administración de riesgos de seguridad sea más específico en sus descripciones de repercusiones y de probabilidad. Por cada riesgo de nivel de resumen, compruebe que cada combinación de amenaza y vulnerabilidad no se repite en los riesgos. Normalmente es posible que los riesgos de nivel de resumen no se describan lo suficiente como para que se asocien a controles específicos del entorno; en este caso, no podrá estimar la probabilidad de que suceda de forma precisa. Por ejemplo, puede mejorar la descripción de amenaza de la siguiente declaración de riesgo de nivel de resumen para describir dos riesgos distintos: Declaración de riesgo de nivel de resumen: En el plazo de un año, los servidores de alto valor se pueden ver afectados moderadamente por un gusano debido a configuraciones a las que no se han aplicado revisiones. Declaración de nivel detallado 1: En el plazo de un año, los servidores de alto valor pueden no estar disponibles durante tres días debido a una propagación de gusano provocada por configuraciones a las que no se han aplicado revisiones. Declaración de nivel detallado 2: En el plazo de un año, los servidores de alto valor pueden estar en peligro, lo que afectaría a la integridad de los datos, debido a una propagación de gusano provocada por configuraciones a las que no se han aplicado revisiones. Nota: se recomienda familiarizarse con los análisis de riesgos detallados antes del proceso de recopilación de datos. Esto facilita al equipo de administración de riesgos de seguridad el plantear preguntas específicas durante los debates iniciales de recopilación de datos con los participantes y reduce la necesidad de reuniones de seguimiento. La lista de riesgos de nivel detallado también requiere declaraciones específicas acerca de la efectividad del entorno de controles actual. Después de que el equipo de administración de riesgos de seguridad haya adquirido un conocimiento detallado de las amenazas y vulnerabilidades que afectan a la organización, se puede iniciar el trabajo de conocer los detalles de los controles actuales. El entorno de controles actual determina la probabilidad de riesgos para la organización. Si el entorno de controles es suficiente, la probabilidad de un riesgo para la organización es baja. Si no lo es, se debe definir una estrategia de riesgos; por ejemplo, aceptar el riesgo o desarrollar
una solución de mitigación. Como práctica recomendada, se debe realizar un seguimiento de los riesgos independientemente de su nivel de riesgo final. Por ejemplo, si el riesgo se considerable aceptable, guarde esta información para evaluaciones futuras. El último elemento de la lista de riesgos de nivel detallado es una estimación de cada riesgo en términos cuantificables y monetarios. La selección de un valor monetario para el riesgo no se produce hasta que se ha empezado a trabajar en la lista de nivel detallado debido al tiempo necesario para lograr el consenso entre los participantes. Es posible que el equipo de administración de riesgos de seguridad tenga que volver a consultar a los participantes para obtener datos adicionales. Las cuatro tareas siguientes describen el proceso para elaborar una lista de nivel detallado de los riesgos.
Puede
ser
útil
imprimir
la
plantilla
de
la
sección
Herramientas
denominada
"GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls". El resultado es una lista detallada de riesgos que afectan a la organización. La estimación cuantitativa se determina después del valor de riesgo detallado y se describe en la siguiente sección.
•
Tarea 1: determinar las repercusiones y la exposición.
•
Tarea 2: identificar los controles actuales.
•
Tarea 3: determinar la probabilidad de repercusiones.
•
Tarea 4: determinar el nivel de riesgo detallado.
Tarea 1: determinar las repercusiones y la exposición En primer lugar incorpore la clase de activos de la tabla de resumen en la plantilla detallada. A continuación, seleccione la exposición del activo. Tenga en cuenta que la clasificación de exposición de la plantilla detallada contiene granularidad adicional en comparación con el nivel de resumen. La clasificación de exposición de la plantilla detallada es un valor de 1 a 5. Recuerde que la clasificación de exposición define el alcance de los daños en el activo. Utilice las siguientes plantillas como guía para determinar la clasificación de exposición adecuada para su organización. Debido a que cada valor de las cifras de exposición puede afectar al nivel de repercusiones en el activo, inserte el mayor de los valores después de haber asignado las cifras. La primera cifra de exposición ayuda a cuantificar el alcance de las repercusiones de un ataque a la confidencialidad o integridad de los activos de negocios. La segunda cifra ayuda a cuantificar las repercusiones en la disponibilidad de los activos.
Figura 4.11 Hoja de trabajo de análisis de riesgos: clasificaciones de exposición de confidencialidad o integridad (GARSHerramienta3)
Después de tener en cuenta el alcance de los daños producidos por posibles ataques a la confidencialidad y la integridad, utilice la siguiente figura para determinar el nivel de repercusiones
debido a la ausencia de disponibilidad del activo. Seleccione el valor más alto como el nivel de exposición de ambas tablas.
Figura 4.12 Hoja de trabajo de análisis de riesgos: clasificaciones de exposición de disponibilidad (GARSHerramienta3)
Utilice la figura como orientación recopilar clasificaciones de exposición por cada ataque posible. Si los debates de recopilación de datos no han proporcionado suficientes detalles acerca de los posibles niveles de exposición, es posible que tenga revisarlos con el responsable del activo específico. Tal como se ha mencionado en la sección de recopilación de datos, haga referencia a las descripciones de exposición anteriores durante los debates acerca de los riesgos según sea necesario. Ejemplo de Woodgrove: en la siguiente lista se resumen las clasificaciones de exposición para los dos riesgos restantes: 1.
Clasificación de exposición de peligro de los hosts de la LAN: 4. Las repercusiones de negocios pueden ser graves y visibles externamente, pero no deben dañar por completo todos los datos financieros de consumidor. Por lo tanto, se ha seleccionado una clasificación de 4.
2.
Clasificación de exposición de peligro de los hosts remotos: 4 (igual que en el caso anterior).
Después de identificar la clasificación de exposición, estará preparado para determinar el valor de las repercusiones si rellena las columnas correspondientes de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls y calcula el valor. En el proceso de riesgos de nivel detallado, las repercusiones son el producto del valor de clase de repercusión y el factor de exposición. A cada clasificación de exposición se le asigna un porcentaje que refleja el alcance de los daños en el activo. Este porcentaje se denomina factor de exposición. El proceso de administración de riesgos de seguridad de Microsoft recomienda una escala lineal del 100% de exposición al 20%; realice los ajustes pertinentes según su organización. Cada valor de repercusión también se asocia a un valor cualitativo de alto, medio o bajo. Esta clasificación resulta útil para comunicar el nivel de repercusión y realizar el seguimiento de los elementos de riesgo en los cálculos de riesgos detallados. Como ayuda, en la siguiente figura también se muestran los posibles valores de repercusión para cada clase de repercusión.
Figura 4.13 Hoja de trabajo de análisis de riesgos: determinación de los valores de repercusión (GARSHerramienta3)
Ejemplo de Woodgrove: en la siguiente figura se muestra el modo de determinar los valores de clase de repercusión, clasificación de exposición y clasificación de efecto global mediante el ejemplo de Woodgrove.
Figura 4.14 Ejemplo de Woodgrove con valores detallados de clase de repercusión, clasificación de exposición y valor de repercusión (GARSHerramienta3)
Tarea 2: identificar los controles actuales En GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls se describen los controles actuales de la organización que en este momento reducen la probabilidad de la amenaza y la vulnerabilidad definida en la declaración de repercusiones. En los cálculos de probabilidad detallada también se evalúa una clasificación de efectividad de los controles; no obstante, la documentación de los controles aplicables facilita la comunicación de los elementos de riesgo. Puede resultar útil organizar las descripciones de los controles en categorías conocidas de grupos de controles de administración, operaciones o técnicos. Esta información también es útil en el proceso de apoyo a la toma de decisiones descrito en el capítulo 5. Ejemplo de Woodgrove: la siguiente representa una lista de ejemplo de los controles principales para el "riesgo de peligro de los hosts de la LAN". Consulte GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls para obtener descripciones de controles adicionales.
Tenga en cuenta que las descripciones de los controles también se pueden emplear para justificar las clasificaciones de exposición:
•
Los asesores fiscales sólo pueden tener acceso a las cuentas de las que son responsables; por
•
A todos los usuarios se les envían proactivamente avisos por correo electrónico para que se
•
El estado de las actualizaciones de antivirus y de seguridad se mide y aplica en la LAN cada
lo tanto, la exposición es inferior al 100%. apliquen revisiones a los hosts o se actualicen. pocas horas. Este control reduce el intervalo de tiempo en el que los hosts de la LAN son vulnerables a los ataques.
Tarea 3: determinar la probabilidad de repercusiones La clasificación de probabilidad consta de dos valores. El primer valor determina la probabilidad de la vulnerabilidad existente en el entorno según los atributos de la misma y al ataque posible. El segundo valor determina la probabilidad de la vulnerabilidad existente en función de la efectividad de los controles actuales. Cada valor se representa mediante un intervalo de 1 a 5. Utilice las siguientes figuras como orientación para determinar la probabilidad de cada repercusión en la organización. A continuación, la clasificación de probabilidad se multiplicará por la clasificación de efecto para determinar la clasificación de riesgo relativo. Nota: las figuras 4.15 y 4.17 han servido de ayuda al departamento de TI de Microsoft a comprender las probabilidades de que los riesgos se produzcan en sus entornos. Ajuste el contenido según resulte adecuado para su organización. El grupo de seguridad de información se encarga del proceso de asignación de prioridades y debe adaptar los atributos de las prioridades según sea necesario. Por ejemplo, puede modificar las cifras para centrarse en vulnerabilidades específicas de aplicación en vez de en vulnerabilidad de infraestructura empresarial si el ámbito de evaluación está centrado en el desarrollo de aplicaciones. El objetivo es disponer de un conjunto coherente de criterios para evaluar el riesgo en el entorno. En la siguiente figura se incluyen estos atributos de vulnerabilidad:
•
Población de piratas informáticos: la probabilidad de ataque normalmente aumenta a medida que se incrementa el tamaño y el nivel de conocimientos técnicos de la población de piratas informáticos.
•
Acceso remoto y local: la probabilidad normalmente aumenta si una vulnerabilidad se puede
•
Visibilidad de vulnerabilidad: la probabilidad normalmente aumenta si una vulnerabilidad es
•
Automatización de ataque: la probabilidad normalmente aumenta si un ataque se puede
aprovechar de forma remota. conocida y está disponible de forma pública. programar para buscar automáticamente vulnerabilidades en entornos grandes.
Recuerde que la estimación de probabilidad de un ataque es subjetiva por naturaleza. Utilice los atributos anteriores como orientación para determinar y justificar las estimaciones de probabilidad. El equipo de administración de riesgos de seguridad debe basarse y promover su experiencia para seleccionar y justificar sus predicciones.
Figura 4.15 Hoja de trabajo de análisis de riesgos: evaluación de la vulnerabilidad (GARSHerramienta3)
Seleccione la clasificación adecuada en la siguiente figura.
Figura 4.16 Hoja de trabajo de análisis de riesgos: evaluación del valor de probabilidad (GARSHerramienta3)
Ejemplo de Woodgrove: para los hosts de la LAN y remotos, es probable que todos los atributos de vulnerabilidad de la categoría Alta se aprecien dentro y fuera del entorno LAN de Woodgrove en el futuro próximo. Por lo tanto, el valor de vulnerabilidad es de 5 para ambos riesgos. En la siguiente figura se evalúa la efectividad de los controles actuales. Este valor es subjetivo por naturaleza y se basa en la experiencia del equipo de administración de riesgos de seguridad para comprender su entorno de controles. Responda cada pregunta y, después, sume los valores para determinar la clasificación final de los controles. Un valor menor significa que los controles son eficaces y pueden reducir la probabilidad de que se produzca un ataque.
Figura 4.17 Hoja de trabajo de análisis de riesgos: evaluación de la efectividad de los controles actuales (GARSHerramienta3)
Ejemplo de Woodgrove: para mostrar el modo en que se pueden utilizar los valores de efectividad de los controles, en la siguiente tabla se resumen los valores sólo para el riesgo de peligro de los hosts de la LAN; consulte en GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls el ejemplo completo: Tabla 4.2. Ejemplo de Woodgrove: valores de efectividad de los controles Pregunta de efectividad de los controles
Valor
Descripción
¿El control se ha definido y exigido de
0 (sí)
La creación de directivas y el control de
forma eficaz?
cumplimiento de los hosts están bien definidos.
¿La toma de conciencia se comunica y
0 (sí)
sigue de forma eficaz?
Se envían notificaciones periódicas a los usuarios y se llevan a cabo campañas de toma de conciencia generales.
¿Los procesos se han definido y puesto
0 (sí)
en práctica de forma eficaz? ¿La tecnología o los controles existentes
Se han documentado y seguido la medición y la aplicación de conformidad.
1 (no)
reducen la amenaza de forma eficaz?
Los controles actuales seguirán permitiendo un período de tiempo entre la vulnerabilidad y la aplicación de revisiones.
¿Son suficientes las prácticas de
0 (sí)
La medición y la auditoría de conformidad
auditoría actuales para detectar el abuso
son eficaces según las herramientas
o las deficiencias de control?
actuales.
Suma de todos los atributos de
1
control: A continuación, sume la cifra Vulnerabilidad (figura 4.16) al valor de la cifra Control actual (figura 4.17) e incorpórelo a la plantilla de nivel detallado. La plantilla se muestra en la siguiente figura como referencia:
Figura 4.18 Hoja de trabajo de análisis de riesgos: clasificación de probabilidad con control (GARSHerramienta3)
Ejemplo de Woodgrove: la clasificación de probabilidad total para el ejemplo de los hosts de la LAN es de 6 (valor de 5 para la vulnerabilidad más 1 para la efectividad del control). Tarea 4: determinar el nivel de riesgo detallado En la siguiente figura se muestra el resumen de nivel detallado para identificar el nivel de cada riesgo identificado. Aunque la evaluación de riesgos en un nivel detallado pueda parecer complicada, se puede hacer referencia a la lógica subyacente en cada tarea de la clasificación de riesgos mediante las figuras anteriores. Esta posibilidad de realizar el seguimiento de cada tarea en la declaración de riesgo proporciona un valor significativo cuando se ayuda a los participantes a comprender los detalles subyacentes del proceso de evaluación de riesgos.
Figura 4.19 Hoja de trabajo de análisis de riesgos: determinación del nivel de riesgo detallado (GARSHerramienta3)
Ejemplo de Woodgrove: en la siguiente figura se muestra el ejemplo de la lista de riesgos detallada de Woodgrove Bank. Estos datos también se presentan en GARSHerramienta3.
Figura 4.20 Ejemplo de Woodgrove Bank para la lista de riesgos detallada (GARSHerramienta3)
En la figura anterior se muestra el contenido de la clasificación de riesgos y sus elementos de datos. Tal como se ha indicado anteriormente, la clasificación de riesgo es el producto de la clasificación de efecto (con valores de 1 a 10) y la clasificación de probabilidad (con valores de 0 a 10). De este modo se genera un intervalo de valores de 0 a 100. Al aplicar la misma lógica empleada en la lista de riesgos de nivel de resumen, el nivel de riesgo detallado también se puede comunicar en términos cualitativos de alto, medio o bajo. Por ejemplo, una repercusión media y una probabilidad alta generan una clasificación de riesgo alta. No obstante, la lista de nivel detallado ofrece especificidad agregada para cada nivel de riesgo, tal como se muestra en la siguiente figura.
Figura 4.21 Hoja de trabajo de análisis de riesgos: determinación de la clasificación cualitativa de resumen (GARSHerramienta3)
Utilice los niveles de riesgo detallados sólo como referencia. Tal como se ha descrito en el capítulo 3, el equipo de administración de riesgos de seguridad debe poder comunicar a la organización, por escrito, el significado de los riesgos altos, medios y bajos. El proceso de administración de riesgos de seguridad de Microsoft sólo constituye una herramienta para identificar y administrar los riesgos en la organización de un modo coherente y repetible.
Cuantificación del riesgo Tal como se ha descrito en el capítulo 2, el proceso de administración de riesgos de seguridad de Microsoft primero aplica un enfoque cualitativo para identificar y asignar prioridades a los riesgos de un modo oportuno y eficaz. Sin embargo, cuando se selecciona la estrategia de mitigación de riesgos óptima, la estimación del posible costo monetario de un riesgo también resulta una cuestión importante. Así, para los riesgos de prioridad alta o controvertidos, el proceso también proporciona indicaciones para determinar las estimaciones cuantitativas. Las tareas de cuantificación de los riesgos se llevan a cabo después del proceso de riesgos de nivel detallado debido al tiempo y esfuerzos considerables que se necesitan para alcanzar un acuerdo en las estimaciones monetarios. Puede dedicar mucho tiempo en cuantificar los riesgos bajos si ha cuantificado los riesgos al principio del proceso. Como es evidente, una estimación monetaria resulta útil al comparar los distintos costos de las estrategias de mitigación de riesgos; no obstante, debido a la naturaleza subjetiva de la valoración de activos intangibles, no existe un algoritmo exacto para cuantificar el riesgo. El ejercicio de estimar una pérdida monetaria exacta en realidad puede retrasar la evaluación de riesgos debido a los desacuerdos entre los participantes. El equipo de administración de riesgos de seguridad debe estipular las expectativas de que la estimación cuantitativa sólo es uno de los muchos valores para determinar la prioridad o el costo posible de un riesgo. Una ventaja de utilizar el modelo cualitativo para asignar prioridades a los riesgos radica en la posibilidad de aprovechar las descripciones cualitativas para aplicar un algoritmo cuantitativo de forma coherente. Por ejemplo, el enfoque cuantitativo descrito a continuación emplea la clase de
activos y las clasificaciones de exposición identificados en las discusiones de riesgos facilitadas documentadas con los participantes en la sección de recopilación de datos de este capítulo. De forma similar al enfoque cualitativo, la primera tarea del método cuantitativo consiste en determinar el valor total del activo. En la segunda tarea se determina el alcance de daños en el activo, seguido de la estimación de la probabilidad de que suceda. Para contribuir a reducir el grado de subjetividad en la estimación cuantitativa, el proceso de administración de riesgos de seguridad de Microsoft recomienda utilizar las clases de activos para determinar el valor total del activo y el factor de exposición para determinar el porcentaje de daños en el activo. Este enfoque limita el resultado cuantitativo a tres clases de activos y cinco factores de exposición, o 15 posibles valores de activo cuantitativos. Sin embargo, el valor que estima la probabilidad no está limitado. Según resulte adecuado para su organización, puede optar por comunicar la probabilidad en términos de intervalo de tiempo o puede intentar en distribuir anualmente el costo del riesgo. El objetivo es encontrar un equilibrio entre la facilidad de seleccionar una clasificación relativa en el enfoque cualitativo y la dificultad de la valoración monetaria y estimar la probabilidad en el enfoque cuantitativo. Utilice las cinco tareas siguientes para determinar el valor cuantitativo:
•
Tarea 1: asignar un valor monetario a cada clase de activos de la organización.
•
Tarea 2: introducir el valor de activo de cada riesgo.
•
Tarea 3: generar el valor de expectativa de pérdida simple.
•
Tarea 4: determinar la frecuencia anual.
•
Tarea 5: determinar la expectativa de pérdida anual.
Nota: las tareas asociadas a la cuantificación de riesgos de seguridad son similares a los pasos utilizados en el sector de seguros para estimar el valor de activo, el riesgo y la cobertura adecuada. En el momento de redactar esta guía, están empezando a surgir pólizas de seguro para riesgos de seguridad de información. A medida que el sector de seguros adquiera experiencia en la evaluación de los riesgos de seguridad de información, herramientas como tablas actuariales se convertirán en referencias valiosas para cuantificar los riesgos.
Tarea 1: asignar valores monetarios a las clases de activos Mediante las definiciones de las clases de activos descritas en la sección de recopilación de datos facilitados, inicie la cuantificación de los activos que se ajusten a la descripción de la clase de repercusión alta en la empresa. Esto permite que el equipo de administración de riesgos de seguridad se centre primero en los activos más importantes para la organización. Por cada activo, asigne valores monetarios para la valoración tangible e intangible para la organización. Utilice las siguientes categorías como referencia para estimar el costo total de repercusiones para cada activo:
•
Costo de reemplazo
•
Costos de sustentación/mantenimiento
•
Costos de redundancia/disponibilidad
•
Reputación de la organización/mercado
•
Productividad de la organización
•
Ingresos anuales
•
Ventaja competitiva
•
Rendimiento operativo interno
•
Responsabilidad jurídica/normativa
Nota: la hoja de cálculo GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado contiene una hoja de trabajo que puede facilitar este proceso. Después de disponer de las estimaciones monetarias de cada categoría, sume los valores para determinar la estimación del activo. Repita este proceso para todos los activos representados en la clase de repercusión alta en la empresa. El resultado debe ser una lista de activos con prioridades y una estimación aproximada de su valor monetario asociado para la organización. Repita este proceso para los activos de las clases de repercusión moderada y baja en la empresa. Con cada clase de activos, seleccione un valor monetario para representar la valoración de la clase de activos. Un enfoque conservador consiste en seleccionar el valor de activo mínimo en cada clase. Se utilizará para representar el valor de un activo según la clase de activos seleccionada por los participantes durante los debates de recopilación de datos facilitados. Este enfoque simplifica la tarea de asignar valores monetarios a cada activo ya que se emplean las clases de activos seleccionadas en los debates de recopilación de datos. Nota: otro enfoque para valorar los activos consiste en trabajar con el equipo de administración de riesgos financieros que puede disponer de una tasación de seguros y datos de cobertura para activos específicos.
Uso de la importancia relativa como orientación Si tiene dificultades para seleccionar los valores de clase de activos con el método anterior, otro enfoque consiste en emplear las directrices asociadas a la definición de importancia relativa en los estados financieros elaborados por las empresas de EE.UU. con participación en el mercado de valores. La comprensión de las directrices de importancia relativa por parte de su organización puede resultar útil en la selección del valor de activo alto para la estimación cuantitativa. El organismo Financial Accounting Standards Board (FASB) documenta lo siguiente en relación con los estados financieros de las empresas con participación en el mercado de valores: "las disposiciones de este estado no se tienen que aplicar a los elementos inmateriales". Para obtener más información, consulte www.sec.gov/interps/account/sab99.htm. Es importante tener en cuenta este pasaje porque la FASB no dispone de un algoritmo para determinar lo que es material o inmaterial y advierte en contra del uso de métodos cuantitativos estrictos. En su lugar, recomienda específicamente tener en cuenta todas las consideraciones pertinentes: "la FASB rechaza un enfoque formulista como alivio de 'la pesada tarea de tomar decisiones acerca de la importancia relativa' en favor de un enfoque que tenga en cuenta todas las consideraciones pertinentes". Aunque no existe una fórmula, el organismo Security Exchange Commission de EE.UU, en el número 99 de Staff Accounting Bulletin, reconoce el uso de una regla general de referencia en la contabilidad pública que puede servir de ayuda para determinar las declaraciones erróneas de
activos materiales. Para obtener más información, consulte www.sec.gov/interps/account/sab99.htm. La regla general de referencia mencionada es el cinco por ciento de los valores del estado financiero. Por ejemplo, una forma de estimar la importancia relativa de un ingreso neto de ocho mil millones de dólares sería analizar las posibles declaraciones erróneas de 400 millones de dólares o el conjunto de declaraciones erróneas que puedan sumar 400 millones de dólares. Las directrices de importancia material varían considerablemente según la organización. Utilice las directrices de definición de importancia relativa sólo como referencia. El proceso de administración de riesgos de seguridad de Microsoft en modo alguno pretende representar la posición financiera de una organización. El uso de las directrices de importancia relativa puede resultar útil para estimar el valor de los activos de repercusión alta en la empresa. No obstante, dichas directrices pueden no resultar adecuadas al seleccionar estimaciones moderadas y bajas. Se ha de reconocer que la elaboración de la estimación de repercusiones es subjetiva por naturaleza. El objetivo es seleccionar valores que sean significativos para la organización. Para determinar los valores moderados y bajos, es aconsejable seleccionar un valor monetario que sea significativo en relación con el importe dedicado a la tecnología de la información en la organización. También puede optar por hacer referencia a los costos actuales de los controles específicos de seguridad que se aplicarán a cada clase de activos. Por ejemplo, en el caso de los activos de clase de repercusión moderada, se puede comparar el valor con el gasto monetario actual en controles básicos de infraestructura de red. Por ejemplo, ¿cuál es el costo total estimado para software, hardware y recursos operativos para proporcionar servicios antivirus a la organización? Esto proporciona una referencia para comparar los activos con un importe monetario conocido en la organización; otro ejemplo: un valor de clase de repercusión moderada puede valorarse tanto como el gasto actual en servidores de seguridad para proteger los activos. Ejemplo de Woodgrove: el equipo de administración de riesgos de seguridad de Woodgrove ha trabajado con los participantes clave para asignar valores monetarios a las clases de activos. Debido a que en Woodgrove no tenían experiencia en administración de riesgos, la empresa decidió utilizar las directrices de importancia relativa con el fin de elaborar una línea de base para valorar activos. Piensa revisar las estimaciones a medida que adquiera experiencia. Woodgrove genera un ingreso neto aproximado de 200 millones de dólares al año. Al aplicar el 5% de las directrices de importancia relativa, a la clase de activos de repercusión alta en la empresa se le asigna un valor de 10 millones de dólares. Según los gastos en TI anteriores que se han producido en Woodgrove, los participantes han seleccionado un valor de 5 millones de dólares para los activos de repercusión media y 1 millón de dólares para los de repercusión baja. Se han seleccionado estos valores porque los grandes proyectos de TI emprendidos para dar apoyo y proteger los activos digitales en Woodgrove históricamente han estado en estos intervalos. Dichos valores también se volverán a revisar durante el siguiente ciclo de administración de riesgos anual.
Tarea 2: identificar el valor del activo Después de determinar los valores de las clases de activos de la organización, identifique y seleccione el valor adecuado para cada riesgo. El valor de clase de activos debe estar alineado con el grupo de clase de activos seleccionado por los participantes en los debates de recopilación de datos. Se trata de la misma clase que se utiliza en las listas de riesgos de nivel de resumen y detallado. Este enfoque reduce el debate acerca del valor de un activo específico porque el valor de clase de activos ya se ha determinado. Recuerde que el proceso de administración de riesgos de seguridad de Microsoft intenta alcanzar un equilibrio entre precisión y eficacia.
Ejemplo de Woodgrove: los datos financieros de consumidor se han identificado como de repercusión alta en la empresa durante los debates de recopilación de datos; por lo tanto, el valor de activo es de 10 millones de dólares según el valor de repercusión alta definido anteriormente.
Tarea 3: generar el valor de expectativa de pérdida simple A continuación, determinará el alcance de los daños en el activo. Utilice la misma clasificación de exposición identificada en los debates de recopilación de datos para determinar el porcentaje de daños en el activo. Este porcentaje se denomina factor de exposición. Se utiliza la misma clasificación en las listas de riesgos de nivel de resumen y detallado. En enfoque conservador consiste en aplicar una escala móvil lineal para cada valor de clasificación de exposición. El proceso de administración de riesgos de seguridad de Microsoft recomienda una escala móvil de 20% para cada valor de clasificación de exposición. Puede modificarla según resulte adecuado para su organización. La última tarea consiste en multiplicar el valor de activo por el factor de exposición para generar la estimación cuantitativa de las repercusiones. En los modelos cuantitativos clásicos este valor se denomina expectativa de pérdida simple, por ejemplo, el valor de activo multiplicado por el factor de exposición. En la siguiente figura se proporciona como referencia un ejemplo de un enfoque cuantitativo simple. Tenga en cuenta que en el ejemplo siguiente simplemente se divide la clase de repercusión alta en la empresa por la mitad para determinar los valores moderados y bajos. Es posible que tenga que ajustar estos valores a medida que adquiera experiencia en el proceso de evaluación de riesgos.
Figura 4.22 Hoja de trabajo de análisis de riesgos: cuantificación de la expectativa de pérdida simple (GARSHerramienta3)
Ejemplo de Woodgrove: en la siguiente figura se representan los valores para determinar la expectativa de pérdida simple de los dos riesgos de ejemplo.
Figura 4.23 Ejemplo de expectativa de pérdida simple de Woodgrove Bank; nota: el valor en dólares se expresa en millones (GARSHerramienta3)
Tarea 4: determinar la frecuencia anual Después de calcular la expectativa de pérdida simple, se tiene que incorporar la probabilidad para concluir la estimación de riesgo monetario. Un enfoque común consiste en estimar la frecuencia con que se puede producir el riesgo en el futuro. Esta estimación después se convierte en una estimación anual. Por ejemplo, si el grupo de seguridad de información piensa que un riesgo se puede producir dos veces al año, la frecuencia anual es dos. Si un riesgo se puede producir una vez cada tres años, la frecuencia anual es un tercio, 33% o 0,33. Como ayuda para estimar la probabilidad, utilice el análisis cuantitativo anterior en el cálculo de riesgo detallado. Utilice lo siguiente como orientación para identificar y comunicar el valor cuantitativo con el fin de determinar la frecuencia anual.
Figura 4.24 Cuantificación de la frecuencia anual (GARSHerramienta3)
Utilice la figura anterior sólo como orientación. El grupo de seguridad de información debe seleccionar un valor para representar la frecuencia anual. Ejemplo de Woodgrove: el equipo de administración de riesgos de seguridad determina las siguientes frecuencias anuales para los riesgos de ejemplo: 1.
Frecuencia anual de hosts de LAN: según la evaluación cualitativa de probabilidad media, el equipo de administración de riesgos de seguridad estima que el riesgo se presentará al menos una vez cada dos años; por lo tanto, la frecuencia anual estimada es 0,5.
2.
Frecuencia anual de hosts remotos: de nuevo, según la evaluación cualitativa de probabilidad alta, el equipo de administración de riesgos de seguridad estima que el riesgo se presentará al menos una vez al año; por lo tanto, la frecuencia anual estimada es 1.
Tarea 5: determinar la expectativa de pérdida anual Para concluir la ecuación cuantitativa, multiplique la frecuencia anual por la expectativa de pérdida simple. El producto se representa como la expectativa de pérdida anual. Expectativa de pérdida anual = expectativa de pérdida simple * frecuencia anual Con la expectativa de pérdida anual se intenta representar el costo posible del riesgo en términos anuales. Aunque puede servir de ayuda a los participantes con mentalidad financiera para estimar los costos, el equipo de administración de riesgos de seguridad tiene que volver a incidir en el hecho de que las repercusiones en la organización no se ajustan exactamente a los gastos anuales. Si se produce un riesgo, las repercusiones en la organización se pueden producir por completo. Después de determinar la estimación cuantitativa del riesgo, consulte la hoja de trabajo de riesgos detallados, que contiene una columna adicional para documentar referencias o explicaciones que desee incluir con la estimación cuantitativa. Utilice esta columna para facilitar la justificación de la estimación cuantitativa y aportar pruebas según resulte adecuado. Ejemplo de Woodgrove: en la siguiente tabla se muestran los cálculos básicos con el fin de determinar la expectativa de pérdida anual para cada riesgo de ejemplo. Tenga en cuenta que cambiar un valor puede modificar considerablemente el valor de expectativa de pérdida anual.
Utilice los datos cualitativos para facilitar la justificación y la determinación de la estimación cuantitativa.
Figura 4.25 Ejemplo de expectativa de pérdida anual de Woodgrove Bank; nota: los valores en dólares se expresan en millones (GARSHerramienta3)
Resumen
La fase de evaluación de riesgos del ciclo de administración de riesgos es necesaria para administrar los riesgos en la organización. Al llevar a cabo los pasos de planeamiento, recopilación de datos facilitados y asignación de prioridades, recuerde que el propósito de la fase de evaluación de riesgos no es sólo identificar y asignar prioridades a los riesgos, sino hacerlo de un modo eficaz y oportuno. El proceso de administración de riesgos de seguridad de Microsoft utiliza un enfoque híbrido de análisis cualitativo para identificar y clasificar rápidamente los riesgos; a continuación, emplea los atributos financieros del análisis cuantificado para ofrecer una definición más precisa de los riesgos.
Facilitar el éxito en la fase de apoyo a la toma de decisiones Después de que el equipo de administración de riesgos de seguridad asigne prioridades a los riesgos para la organización, debe comenzar el proceso para identificar las estrategias de mitigación de riesgos adecuadas. Con el fin de facilitar a los participantes la identificación de las posibles soluciones de mitigación de riesgos, el equipo debe crear requisitos funcionales que contribuyan a definir el ámbito de la estrategia de mitigación para el responsable de mitigación adecuado. La tarea de definición de requisitos funcionales se describe en el proceso de apoyo a la toma de decisiones global en el capítulo 5, "Apoyo a la toma de decisiones".
Guía de administración de riesgos de seguridad Capítulo 5: Apoyo a la toma de decisiones Publicado: 15/10/2004
Información general
Su organización ya debe haber terminado la fase de evaluación de riesgos y haber desarrollado una lista de prioridades de los riesgos para los activos más valiosos. Ahora debe afrontar los riesgos más importantes mediante la determinación de las acciones adecuadas para mitigarlos. Esta fase se denomina apoyo a la toma de decisiones. Durante la fase anterior, el equipo de administración de riesgos de seguridad ha identificado los activos, las amenazas a dichos activos, las vulnerabilidades que tales amenazas pueden aprovechar para efectuar posibles ataques en los activos y los controles ya establecidos para proteger los activos. A continuación, el equipo de administración de riesgos de seguridad ha elaborado una lista de prioridades de riesgos. El proceso de apoyo a la toma de decisiones incluye un análisis de costo-beneficio formal con funciones y responsabilidades definidas en los límites organizativos. El análisis de costo-beneficio proporciona una estructura coherente y exhaustiva para identificar, determinar el alcance y seleccionar la solución más eficaz y asequible para reducir el riesgo a un nivel aceptable. De forma similar al proceso de evaluación de riesgos, el análisis de costo-beneficio requiere definiciones de función estrictas para que funcione de forma eficaz. Asimismo, antes de efectuar el análisis de costo-beneficio, el equipo de administración de riesgos de seguridad debe garantizar que todos los participantes, incluido el patrocinador ejecutivo, han reconocido y aceptado el proceso. Durante la fase de apoyo a la toma de decisiones, el equipo de administración de riesgos de seguridad debe determinar cómo afrontar los riesgos clave del modo más eficaz y asequible. El resultado final serán planes claros para controlar, aceptar, transferir o evitar cada uno de los riesgos principales identificados en el proceso de evaluación de riesgos. Los seis pasos de la fase de apoyo a la toma de decisiones son: 1.
Definir los requisitos funcionales.
2.
Seleccionar las soluciones de control.
3.
Revisar las soluciones según los requisitos.
4.
Estimar la reducción del nivel de riesgo que cada control proporciona.
5.
Estimar los costos de cada solución.
6.
Seleccionar la estrategia de mitigación de riesgos.
En la figura 5.1, a continuación, se ilustran estos seis pasos y el modo en que la fase de apoyo a la toma de decisiones se relaciona con el proceso de administración de riesgos de seguridad global de Microsoft.
Figura 5.1 Proceso de administración de riesgos de seguridad de Microsoft: Fase de apoyo a la toma de decisiones
A la hora comparar el valor de un determinado control con otro, no hay fórmulas simples. El proceso puede ser complejo por varios motivos. Por ejemplo, algunos controles afectan a varios activos. El equipo de administración de riesgos de seguridad debe ponerse de acuerdo en el modo de comparar los valores de los controles que afectan a distintas combinaciones de activos. Además, existen costos asociados a controles que abarcan más que la implementación de dichos controles. Entre las preguntas relacionadas que se deben plantear se incluyen:
•
¿Cuánto tiempo estará efectivo el control?
•
¿Cuántas horas de mano de obra por año se necesitarán para supervisar y mantener el control?
•
¿Cómo resultará de incómodo el control para los usuarios?
• •
¿Cuántos cursos se necesitarán para los responsables de implementar, supervisar y mantener el control? ¿El costo del control es razonable, en relación con el valor del activo?
En el resto de este capítulo se tratarán las respuestas a estas preguntas. Obtendrá éxito durante el proceso de apoyo a la toma de decisiones si sigue un camino definido y si los participantes comprenden sus funciones correspondientes en cada paso. En el siguiente diagrama se ilustra el modo en que el equipo de administración de riesgos de seguridad lleva a cabo el proceso de apoyo a la toma de decisiones. Los responsables de mitigación son los encargados de proponer controles que reducirán el riesgo y, a continuación, de determinar el costo de cada control. Por cada control propuesto, el equipo de administración de riesgos de seguridad estima la reducción del nivel de riesgo que se espera que el control proporcione. Con
estos elementos de información, el equipo puede llevar a cabo un análisis de costo-beneficio eficaz del control para determinar si recomienda su implementación. Posteriormente, el comité de dirección de seguridad decide los controles que se implementarán.
Figura 5.2 Información general acerca de la fase de apoyo a la toma de decisiones
La definición clara de las funciones reduce las demoras parcialmente porque sólo un grupo es el responsable de la decisión. No obstante, la experiencia demuestra que la efectividad global del programa de administración de riesgos aumenta si cada responsable colabora con el resto de los participantes. Nota: la administración de riesgos es un ciclo perpetuo, por lo que mantener un espíritu cooperativo aumenta la moral de los participantes y puede reducir realmente el riesgo de la empresa si se les permite que reconozcan las ventajas de sus aportaciones y actúan de forma oportuna para reducir el riesgo. Como resulta evidente, debe procurar mantener y promover esta actitud a lo largo de los procesos de administración de riesgos y de apoyo a la toma de decisiones.
Información necesaria para la fase de apoyo a la toma de decisiones Sólo hay un elemento de información de la fase de evaluación de riesgos que se necesita para la fase de apoyo a la toma de decisiones: la lista de prioridades de los riesgos que se tienen que mitigar. Si ha seguido los procedimientos descritos en el capítulo 4, "Evaluación del riesgo", habrá registrado esta información en la hoja de trabajo Riesgo detallado de la hoja de cálculo GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls de Microsoft® Excel, que se encuentra en la carpeta Herramientas y plantillas creada al desempaquetar el archivo que contiene esta guía y los archivos relacionados. Seguirá utilizando la misma hoja de trabajo durante esta fase del proceso.
Participantes de la fase de apoyo a la toma de decisiones Los participantes de la fase de apoyo a la toma de decisiones son similares a los de la fase de evaluación de riesgos; de hecho, la mayoría, si no todos, de los miembros de equipo habrán participado en la fase anterior. El informe de costo-beneficio informa de la mayoría de las tareas del proceso de apoyo a la toma de decisiones. No obstante, antes de iniciar el análisis de costobeneficio, asegúrese de que todos los participantes comprenden sus funciones correspondientes.
En la tabla siguiente se resumen las funciones y las responsabilidades principales de cada grupo en el proceso de apoyo a la toma de decisiones. Tabla 5.1: Funciones y responsabilidades en el programa de administración de riesgos Función Operaciones de negocios
Responsabilidad Identifica los controles de procedimiento disponibles para administrar el riesgo
Responsable de negocios
Se encarga del análisis de costo-beneficio de los activos
Finanzas
Ayuda en el análisis de costo-beneficio, puede ayudar en el desarrollo y control presupuestario
Recursos humanos
Identifica los requisitos de cursos de personal y los controles según sea necesario
Tecnología de la información (TI): arquitectura
Identifica y evalúa las posibles soluciones de control
Tecnología de la información: ingeniería
Determina el costo de las soluciones de control y cómo implementarlas
Tecnología de la información: operaciones
Implementa las soluciones de control técnico
Auditoría interna
Identifica los requisitos de cumplimiento y revisa la efectividad de los controles
Departamento jurídico
Identifica los controles jurídicos, de directiva y contractuales, y valida las estimaciones de valor creadas para las repercusiones en la marca, la responsabilidad jurídica y otros asuntos de negocios
Relaciones públicas
Valida las estimaciones de valor creadas para las repercusiones en la marca, la responsabilidad jurídica y otros asuntos de negocios
Comité directivo de seguridad
Selecciona las soluciones de control en función de las recomendaciones del equipo de proyecto de administración de riesgos de seguridad
Equipo de administración de riesgos de
Define los requisitos funcionales de los controles
seguridad
para cada riesgo, notifica el estado de proyecto a los participantes y usuarios afectados según sea necesario
El equipo de administración de riesgos de seguridad debe asignar un técnico de seguridad para cada riesgo identificado. Un único punto de contacto reduce el riesgo de que el equipo de administración de riesgos de seguridad genere mensajes incoherentes y ofrezca un modelo de compromiso nítido a lo largo del análisis de costo-beneficio.
Herramientas proporcionadas en la fase de apoyo a la toma de decisiones La información recopilada en esta fase del proceso se debe registrar en la hoja de trabajo Riesgo detallado de la hoja de trabajo GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls de Excel, que se encuentra en la carpeta Herramientas y plantillas creada al desempaquetar el archivo que contiene esta guía y los archivos relacionados.
Resultados necesarios para la fase de apoyo a la toma de decisiones Durante esta fase del proceso de administración de riesgos de seguridad de Microsoft, definirá y seleccionará varios elementos clave de información acerca de cada uno de los riesgos principales que se han identificado durante la fase de evaluación de riesgos. En la siguiente tabla se resumen estos elementos clave y en las secciones posteriores de este capítulo se describen en detalle. Tabla 5.2: Resultados necesarios para la fase de apoyo a la toma de decisiones Información que se recopilará
Descripción
Decisión acerca de cómo se afrontará cada
Si se controlará, aceptará, transferirá o evitará
riesgo
cada uno de los riesgos principales
Requisitos funcionales
Declaraciones que describen la funcionalidad necesaria para mitigar el riesgo
Posibles soluciones de control
Lista de controles identificados por los responsables de mitigación y el equipo de administración de riesgos de seguridad que pueden resultar eficaces para mitigar cada riesgo
Reducción de riesgo de cada solución de control
Evaluación de cada solución de control propuestas para determinar en qué medida se reducirá el nivel de riesgo para el activo
Costo estimado de cada solución de control
Todos los costos asociados a la adquisición, implementación, asistencia y medición de cada control propuesto
Lista de soluciones de control que se
Selección efectuada mediante un análisis de
implementarán
costo-beneficio
Consideraciones acerca de las opciones de apoyo a la toma de decisiones Las organizaciones disponen de dos tácticas básicas en lo que se refiere al modo en que afrontan el riesgo: pueden aceptar un riesgo o pueden implementar controles para reducir el riesgo. Si optan por aceptar un riesgo, pueden decidir transferirlo por completo, o una parte de él, a un tercero, como una empresa de seguros o una empresa de servicios administrados. En las dos siguientes secciones se examinarán estos dos enfoques del riesgo: aceptación o implementación de controles que faciliten la reducción del riesgo. Nota: muchos especialistas de administración de riesgos de seguridad creen que existe otra forma de afrontar cada riesgo: evitarlo. Pero es importante tener presente que cuando se opta por evitar un riesgo, se está decidiendo detener cualquier actividad que presente el riesgo. En relación con la administración de riesgos de seguridad, para evitar un riesgo las organizaciones deben dejar de utilizar el sistema de información que incluye el riesgo. Por ejemplo, si el riesgo es que "en un año, los servidores a los que no se hayan aplicado revisiones pueden estar en peligro por el
software malintencionado, lo que puede poner en peligro la integridad de los datos financieros", la única forma de evitar un riesgo es dejar de utilizar los servidores, lo que, con toda probabilidad, no es una opción realista. En el proceso de administración de riesgos de seguridad de Microsoft se supone que las organizaciones sólo están interesadas en examinar activos que proporcionen valor de negocio y permanezcan en servicio. Por lo tanto, en esta guía no se tratará la evitación del riesgo como una opción.
Aceptación del riesgo actual El comité directivo de seguridad debe optar por aceptar un riesgo actual si determina que no hay controles asequibles para reducir productivamente el riesgo. Esto no significa que la organización no puede afrontar de forma eficaz el riesgo mediante la implementación de uno o varios controles, sino que significa que el costo de implementar el control o los controles, o el efecto de dichos controles en la capacidad de desarrollar el negocio de la empresa, es demasiado alto para el valor del activo que necesita protección. Por ejemplo, tenga en cuenta el siguiente escenario: Un equipo de administración de riesgos de seguridad determina que uno de los riesgos más importantes para los activos clave de la organización es la dependencia de las contraseñas para la autenticación de los usuarios cuando inician sesión en la red corporativa. El equipo identifica que la implementación de tecnología de autenticación de dos factores, como las tarjetas inteligentes, sería la forma más eficaz de reducir y, en última instancia, eliminar el uso de contraseñas para la autenticación. A continuación, el responsable de mitigación calcula el costo de la implementación de tarjetas inteligentes en toda la organización y su efecto en los sistemas operativos y aplicaciones existentes de la organización. El costo de la implementación es bastante alto, pero puede estar justificado; sin embargo, el equipo averigua que muchas de las aplicaciones de negocios desarrolladas internamente de la organización se basan en la autenticación basada en contraseña y que la reescritura o reemplazo de dichas aplicaciones resultaría excesivamente caro y se tardarían varios años. Finalmente, el equipo decide no recomendar, en un futuro inmediato, el uso de tarjetas inteligentes para todos los empleados al comité directivo de seguridad. Pero, de hecho, se puede llegar a un compromiso: se puede requerir que los usuarios de cuentas de altos privilegios o confidenciales, como administradores de dominio y ejecutivos, se autentiquen con tarjetas inteligentes. El comité directivo de seguridad toma la decisión final de seguir la recomendación del equipo de administración de riesgos de seguridad: no se requieren tarjetas inteligentes para todos los empleados. Una variación de la aceptación del riesgo es la transferencia del mismo a un tercero. Las pólizas de seguro para los activos de TI están empezando a estar disponibles. Como alternativa, las organizaciones pueden contratar a otras empresas especializadas en los servicios de seguridad administrada; el subcontratista puede asumir toda o parte de la responsabilidad de proteger los activos de TI de la organización.
Implementación de controles para reducir el riesgo Los controles, que en ocasiones se denominan contramedidas o protecciones, son medios organizativos, de procedimiento o técnicos de administrar los riesgos. Los responsables de mitigación, con el apoyo del equipo de administración de riesgos de seguridad, identifican todos los posibles controles, calculan el costo de la implementación de cada control, determinan el resto de los costos relacionados con el control (como las molestias a los usuarios o el costo del mantenimiento continuo del control) y evalúan la reducción del nivel de riesgo posible con cada control. Toda esta información permite que el equipo lleve a cabo un análisis de costo-beneficio para cada control propuesto. Los controles que reduzcan con más eficacia el riesgo para los activos clave a un costo razonable para la organización son los controles cuya implementación el equipo recomendará con más entusiasmo.
Claves para el éxito De forma similar a la fase de evaluación de riesgos, la definición de unas expectativas razonables es fundamental si se desea que la fase de apoyo a la toma de decisiones tenga éxito. El apoyo a la toma de decisiones requiere aportaciones importantes de distintos grupos que representan a toda la empresa. Si alguno de estos grupos no comprende o participa activamente en el proceso, la eficacia de todo el programa puede estar en peligro. Asegúrese de explicar de forma clara lo que se espera de cada participante durante la fase de apoyo a la toma de decisiones, incluidas las funciones, las responsabilidades y el grado de participación.
Creación de consenso Es importante que todo el equipo de administración de riesgos de seguridad tome decisiones por consenso en la medida de lo posible; sin él, los comentarios de los miembros en contra pueden socavar las recomendaciones después de que el equipo las presente al comité directivo de seguridad. Aunque el comité apruebe los controles recomendados, la oposición subyacente puede provocar que los proyectos de implementación de controles de seguimiento no se apliquen. Para que tenga éxito todo el proceso de administración de riesgos, todos los miembros del equipo deben estar de acuerdo y apoyar los controles recomendados.
Evitar las maniobras obstruccionistas Dado que uno de los objetivos de esta fase es crear, mediante consenso, una lista de controles, cualquier participante puede ralentizar o detener el progreso mediante una maniobra obstruccionista. Es decir, cualquier persona que participe en la fase de apoyo a la toma de decisiones puede decidir que no está de acuerdo en recomendar un determinado control. Por otro lado, alguien puede intentar imponer su particular punto de vista a la mayoría si está amenazada la recomendación de cierto control. Es muy importante que el responsable de evaluación de riesgos resuelva las situaciones de obstruccionismo cuando se produzca. Queda fuera del alcance de esta guía las recomendaciones exhaustivas acerca de cómo afrontar este tipo de situaciones, pero una táctica eficaz sería determinar los motivos clave del punto de vista de dicha persona y trabajar con el equipo para encontrar alternativas eficaces o compromisos que todo el equipo considere aceptables.
Identificación y comparación de controles
En esta sección se explica el modo en que el responsable de mitigación identifica las posibles soluciones de control y determina los tipos de costos asociados a cada control propuesto y cómo el equipo de administración de riesgos de seguridad estima la reducción de nivel de riesgo que cada control propuesto proporciona. Los responsables de mitigación y el equipo de administración de riesgos de seguridad presentan sus resultados y soluciones recomendadas al comité directivo de seguridad para que se pueda seleccionar una lista final de soluciones de control para su implementación. En el siguiente diagrama se ofrece un extracto de la hoja de trabajo Riesgo detallado de la hoja de cálculo de Excel que se ha utilizado para realizar la evaluación detallada de los riesgos en el capítulo anterior. Esta hoja de trabajo, GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls, se incluye en esta guía y se encuentra en la carpeta Herramientas y plantillas. En el diagrama se muestran todos los elementos empleados durante el análisis de costo-beneficio. En los pasos siguientes se describe cada columna.
Figura 5.3 Sección de apoyo a la toma de decisiones de la hoja de trabajo Riesgo detallado (GARSHerramienta3)
Nota: la hoja de trabajo se centra en la reducción de la probabilidad de repercusiones al determinar la reducción del nivel de riesgo. Se supone que el valor del activo no cambia en el período de tiempo de la evaluación de riesgos. Normalmente, el nivel de exposición (alcance de daños en el activo) permanece constante. La experiencia demuestra que los niveles de exposición normalmente no cambian si las descripciones de amenaza y de vulnerabilidad se especifican lo suficientemente detalladas.
Paso 1: Definir los requisitos funcionales Los requisitos de seguridad funcionales son declaraciones que describen los controles necesarios para mitigar el riesgo. El término "funcional" es importante: los controles se deben describir según las funciones deseadas en oposición a las tecnologías especificadas. Pueden ser posibles soluciones técnicas alternativas y cualquier resolución es aceptable si cumple los requisitos de seguridad funcionales. El equipo de administración de riesgos de seguridad es el encargado de definir los requisitos funcionales, el primer resultado del proceso del análisis de costo-beneficio. Para identificar correctamente los posibles controles, el equipo de administración de riesgos de seguridad tiene que definir lo que los controles deben realizar para reducir el riesgo para la empresa. Aunque el equipo conserva la responsabilidad, es muy recomendable la colaboración con el responsable de la solución de mitigación. Los requisitos funcionales se deben definir para cada riesgo descrito en el proceso de apoyo a la toma de decisiones; el resultado generado se denomina "Definiciones de requisitos funcionales". La definición y la responsabilidad del requisito funcional resultan muy importantes para el proceso de costo-beneficio. El documento define lo que se tiene que producir para reducir el riesgo pero no especifica cómo se debe reducir ni define controles específicos. Esta distinción concede al equipo de administración de riesgos de seguridad la responsabilidad en su área a la vez que también permite que el responsable de mitigación, que implementa la solución de mitigación, tome decisiones relacionadas con la ejecución y el soporte de la empresa. Las respuestas a cada riesgo se documentan en la columna etiquetada "Requisito de seguridad funcional" de
GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls. Los requisitos funcionales se deben revisar una vez al año como mínimo para determinar si continúan siendo necesarios o se deben modificar.
Figura 5.4 Paso 1 de la fase de apoyo a la toma de decisiones
El trabajo realizado en la fase anterior permite a las organizaciones comprender sus situaciones de riesgo y determinar de un modo racional los controles que se deben implementar para reducir los riesgos más importantes. El patrocinador ejecutivo y los responsables de negocios desean saber lo que piensa el grupo de seguridad de información que debe hacer la organización ante cada riesgo. El grupo de seguridad de información atiende esta demanda mediante la creación de requisitos de seguridad funcionales. Por cada riesgo, el grupo de seguridad de información elabora una declaración clara del tipo de funcionalidad o proceso que se tiene que introducir para mitigar el riesgo. Ejemplo de Woodgrove: a partir del ejemplo de Woodgrove Bank utilizado en el capítulo anterior, se elabora un requisito funcional útil para el riesgo de robo de credenciales de un cliente de red de área local (LAN) administrado debido a una configuración obsoleta de las firmas antivirus, configuraciones de host o revisiones de seguridad obsoletas: DEBE existir la capacidad para autenticar la identidad de los usuarios mediante uno o varios factores cuando inicien sesión en la red local. Un ejemplo de un requisito que no es funcional lo constituye lo siguiente: La solución DEBE utilizar tarjetas inteligentes para autenticar los usuarios. La segunda declaración no es funcional porque describe el uso de una tecnología específica. Corresponde a los responsables de mitigación proporcionar a una lista de soluciones de control específicas que cumplan los requisitos funcionales; es decir, traducen los requisitos funcionales en soluciones de control técnico y/o controles administrativos (directiva, estándares, directrices, etc.). El requisito funcional para el segundo riesgo examinado durante el paso de asignación de prioridades a los riesgos de nivel detallado, el riesgo de robo de credenciales de hosts móviles remotos como resultado de una configuración de seguridad obsoleta:
DEBE existir la capacidad para autenticar la identidad de los usuarios mediante uno o varios factores cuando inicien sesión en la red de forma remota. Registre los requisitos funcionales de cada riesgo en la columna Requisitos de seguridad funcionales de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls. En el documento 2119 de Request for Comments (RFC) de Internet Engineering Task Force (IETF), disponible en www.ietf.org/rfc/rfc2119.txt, se proporciona orientación acerca de las palabras o frases clave que se deben emplear en las declaraciones de requisitos. Dichos términos, que normalmente aparecen en mayúsculas, son "SE TIENE QUE", "NO SE TIENE QUE", "OBLIGATORIO", "SE TENDRÁ QUE", "NO SE TENDRÁ QUE", "SE DEBE", "NO SE DEBE", "RECOMENDADO", "PUEDE" y "OPCIONAL". Microsoft recomienda utilizar estas frases clave en las declaraciones de requisitos funcionales según las definiciones proporcionadas en el documento RFC 2119:
•
SE TIENE QUE: este término, junto con "OBLIGATORIO" o "SE TENDRÁ QUE", significa que la definición es un requisito absoluto de la especificación. Por ejemplo, si en la evaluación de riesgos se identifica un escenario de alto riesgo, probablemente el término "SE TIENE QUE" constituye la mejor descripción mediante palabra clave para el requisito que soluciona dicho escenario.
•
NO SE TIENE QUE: este término, o "NO SE TENDRÁ QUE", significa que la definición es una
•
SE DEBE: este término, o el adjetivo "RECOMENDADO", significa que pueden existir motivos
prohibición absoluta de la especificación. válidos en determinadas circunstancias para omitir un determinado elemento, pero que se deben comprender y sopesar atentamente las implicaciones completas antes de elegir una acción distinta. Por ejemplo, si en la evaluación de riesgos se identifica un escenario de bajo riesgo, el término "SE DEBE" constituye la mejor descripción mediante palabra clave para el requisito que soluciona dicho escenario.
•
NO SE DEBE: este término, o "NO RECOMENDADO", significa que pueden existir motivos válidos en determinadas circunstancias cuando el comportamiento concreto es aceptable o, incluso, útil, pero que se deben comprender las implicaciones completas y el caso se debe analizar cuidadosamente antes de implementar un comportamiento descrito con esta etiqueta.
•
PUEDE: esta palabra, o el adjetivo "OPCIONAL", significa que un elemento es totalmente opcional. Un proveedor puede optar por incluir el elemento porque un determinado mercado lo requiere o porque piensa que mejora el producto, mientras que otro proveedor puede omitir el mismo elemento. Una implementación que no incluya una determinada opción TIENE QUE estar preparada para interoperar con otra implementación que sí la incluya, aunque tal vez con funcionalidad reducida. En el mismo sentido, una implementación que incluya una determinada opción TIENE QUE estar preparada para interoperar con otra implementación que no la incluya (a excepción, como es lógico, de la característica que proporciona la opción).
Después de haber definido y documentado los requisitos funcionales para cada riesgo, puede ir al siguiente paso de la fase de apoyo a la toma de decisiones.
Paso 2: Identificar las soluciones de control En el siguiente paso de esta fase corresponde a los responsables de mitigación elaborar una lista de nuevos posibles controles para cada riesgo que cumplan los requisitos funcionales del mismo. En muchas organizaciones, los miembros del grupo de seguridad de información podrán colaborar mediante la identificación de una serie de posibles controles para cada riesgo identificado y caracterizado durante la fase anterior. Las organizaciones que no dispongan de suficientes especialistas internos para este fin pueden complementar la labor de los responsables de mitigación con consultores.
Figura 5.5 Paso 2 de la fase de apoyo a la toma de decisiones
El proceso de identificar los posibles controles puede parecer complejo, sobre todo si ninguno de los responsables de mitigación, o sólo algunos, no lo han hecho anteriormente. Existen dos enfoques que pueden ayudar a los equipos a pensar en nuevas ideas; muchas organizaciones consideran que resulta más eficaz utilizar ambos. El primero es un enfoque de lluvia de ideas informal; el segundo es más organizado y está basado en el modo en que los controles se pueden clasificar y organizar. El equipo de administración de riesgos de seguridad debe utilizar una combinación de estos dos enfoques. En el enfoque de lluvia de ideas, el responsable de evaluación de riesgos expone la siguiente serie de preguntas al equipo por cada riesgo. El responsable de registro de evaluación de riesgos documenta todas las respuestas en la columna etiquetada "Control propuesto" de la hoja de trabajo Riesgo detallado de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls. Este proceso continúa hasta que todos los riesgos principales se han examinado y el equipo pasa a determinar los costos asociados a cada control.
•
¿Qué medidas debe adoptar la organización para resistir o impedir la aparición del riesgo? Por ejemplo, implementar la autenticación de varios factores para reducir el riesgo de que peligren las contraseñas o implementar una infraestructura de administración de revisiones automatizada para reducir el riesgo de que los sistemas se pongan en peligro debido a código móvil malintencionado.
•
¿Qué puede hacer la organización para recuperarse de un riesgo una vez se ha detectado? Por ejemplo, establecer, destinar fondos y formar un equipo de respuesta a incidencias o implementar y probar los procesos de copia de seguridad y restauración para todos los equipos que ejecutan un sistema operativo de servidor. Es más, una organización puede establecer recursos informáticos redundantes en ubicaciones remotas que se pueden poner en servicio si se produce un desastre en el sitio principal.
•
¿Qué medidas puede adoptar la organización para detectar la aparición del riesgo? Por ejemplo, instalar un sistema de detección de intrusiones basado en red en el perímetro de la red y en las ubicaciones clave de la red interna, o instalar un sistema de detección de intrusiones distribuido y basado en host en todos los equipos de la organización.
•
¿Cómo se puede auditar y supervisar el control para garantizar que se continúa aplicando? Por ejemplo, instalar y observar detalladamente las herramientas de administración adecuadas del proveedor del producto.
• •
¿Cómo puede la organización validar la eficacia del control? Por ejemplo, disponer de un especialista familiarizado con el intento de vulnerabilidad para saltarse el control. ¿Existen otras acciones que se pueden llevar a cabo para afrontarlo? Por ejemplo, transferir el riesgo mediante la adquisición de un seguro que indemnice por las pérdidas relacionadas con dicho riesgo.
El segundo método para identificar los nuevos posibles controles los organiza en tres categorías extensas: organizativa, operativa y tecnológica. Éstos se subdividen en controles que proporcionan prevención, detección y recuperación, así como administración. Los controles preventivos se implementan para impedir que se materialice un riesgo; por ejemplo, detienen las infracciones antes de que se produzcan. Los controles de detección y recuperación ayudan a la organización a determinar cuándo se ha producido un suceso de seguridad y para reanudar las operaciones normales posteriormente. Los controles de administración no proporcionan necesariamente protección por sí mismos, pero son necesarios para implementar otros controles. A continuación se describen estas categorías con más detalle.
Controles organizativos Los controles organizativos son procedimientos y procesos que definen el modo en que las personas de la organización deben llevar a cabo sus tareas. Los controles preventivos de esta categoría son:
•
Funciones y responsabilidades claras. Deben estar definidas y documentadas de forma clara para que los directivos y el personal comprendan sin posibilidad de dudas quién es el responsable de garantizar que se implementa un nivel de seguridad adecuado para los activos de TI más importantes.
•
Separación de responsabilidades y privilegios mínimos. Si se implementan correctamente, garantizan que las personas sólo dispondrán del acceso suficiente a los sistemas de TI para desempeñar sus tareas eficazmente y no más.
•
Planes y procedimientos de seguridad documentados. Se desarrollan para explicar el modo en
•
Cursos de seguridad y campañas de toma de concienciación continuas. Esto resulta necesario
que los controles se han implementado y cómo se deben mantener. para todos los miembros de la organización para que los usuarios y los miembros del equipo de TI comprendan sus responsabilidades y el modo de utilizar correctamente los recursos informáticos a la vez que se protegen los datos de la organización.
•
Sistemas y procesos para crear y eliminar usuarios. Estos controles son necesarios para que los nuevos miembros de la organización puedan ser productivos rápidamente y para que el personal que abandona la empresa pierda el acceso inmediatamente al marcharse. Los procesos de creación también deben incluir transferencias de empleados de los grupos de la empresa donde los privilegios y el acceso cambien de un nivel a otro. Por ejemplo, los funcionarios que cambian de puesto y las clasificaciones de seguridad de Secreto a Confidencial, o viceversa.
•
Procesos establecidos para conceder acceso a contratistas, proveedores, socios y clientes. Normalmente es una variación de la creación de usuarios mencionada anteriormente, pero, en muchos casos, es muy distinta. Compartir datos con un grupo de usuarios externos y compartir un conjunto de datos distinto con otro grupo puede resultar complejo. Normalmente los requisitos legales y normativos influyen en las opciones, por ejemplo cuando se trata de datos sanitarios o financieros.
Los controles de detección de esta categoría son:
• •
Realizar programas continuos de administración de riesgos para evaluar y controlar los riesgos de los activos clave de la organización. Llevar a cabo revisiones periódicas de los controles para comprobar su eficacia.
•
Efectuar periódicamente auditorías del sistema para garantizar que los sistemas no se han
•
Realizar investigaciones de antecedentes de los posibles candidatos a puestos de trabajo. Debe
puesto en peligro o se han configurado incorrectamente. contemplar la posibilidad de implementar investigaciones de antecedentes adicionales de los empleados propuestos para ascensos a puestos con un mayor nivel de acceso a los activos de TI de la organización.
•
Establecer una rotación de responsabilidades, que es una forma eficaz de descubrir actividades malintencionadas de miembros del equipo de TI o de usuarios con acceso a información confidencial.
Los controles de administración de esta categoría son:
•
Planeamiento de la respuesta a incidencias, que proporciona a la organización la capacidad de reaccionar y de recuperarse rápidamente de las infracciones de seguridad a la vez que se reduce su efecto y se impide la propagación de la incidencia a otros sistemas.
•
Planeamiento de la continuidad de la empresa, que permite que la organización se recupere de sucesos catastróficos que afectan a una gran parte de la infraestructura de TI.
Controles operativos Los controles operativos definen el modo en que las personas de la organización deben tratar los datos, el software y el hardware. También incluyen protecciones ambientales y físicas, según se describe a continuación. Los controles preventivos de esta categoría son:
•
Protección de las instalaciones informáticas con medios físicos como barreras, dispositivos y
•
Protección física de los sistemas de los usuarios finales, incluidos dispositivos como bloqueos y
•
Fuente de alimentación de reserva para emergencias, que puede impedir que los sistemas
bloqueos electrónicos, bloqueos biométricos y vallas. alarmas de equipos móviles y cifrado de los archivos almacenados en los dispositivos móviles. eléctricos sensibles se dañen durante cortes de suministro eléctrico y apagones; también pueden garantizar que las aplicaciones y los sistemas operativos se cierran correctamente para conservar los datos y las transacciones.
•
Sistemas contra incendios, como sistemas de extinción de incendios automáticos y extintores,
•
Sistemas de control de temperatura y de humedad que prolongan la duración de los equipos
•
Control de acceso a medios y procedimientos de eliminación para garantizar que sólo el
que constituyen herramientas fundamentales para proteger los activos clave de la organización. eléctricos sensibles y ayudan a proteger los datos almacenados en ellos. personal autorizado tiene acceso a información confidencial y que los medios empleados para almacenar dichos datos no quedan legibles mediante desmagnetización u otros métodos antes de la eliminación.
•
Sistemas de copia de seguridad y disposiciones para el almacenamiento de las copias de seguridad fuera de las instalaciones con el fin de facilitar la restauración de los datos perdidos o dañados. Si se produce una incidencia catastrófica, los medios de copia de seguridad almacenados fuera de las instalaciones permiten almacenar los datos cruciales para el negocio en los sistemas de reemplazo.
Los controles de detección y recuperación de esta categoría son:
•
Seguridad física, que protege a la organización de atacantes que intenten obtener acceso a sus
•
Seguridad ambiental, que protegen a la organización de amenazas ambientales como
instalaciones; algunos ejemplos son: sensores, alarmas, cámaras y detectores de movimiento. inundaciones e incendios; algunos ejemplos son: detectores de humo y fuego, alarmas, sensores y detectores de inundaciones.
Controles de tecnología Los controles de tecnología varían considerablemente en cuanto a su complejidad. Incluyen: diseño de la arquitectura del sistema, ingeniería, hardware, software y firmware. Todos son componentes de tecnología que se utilizan para crear los sistemas de información de una organización. Los controles preventivos de esta categoría son:
•
Autenticación. Proceso de validar las credenciales de una persona, proceso de equipo o dispositivo. En la autenticación se requiere que la persona, el proceso o el dispositivo que efectúa la solicitud proporcione una credencial que demuestre que es quien dice ser. Las formas habituales de las credenciales son las firmas digitales, las tarjetas inteligentes, los datos biométricos y una combinación de nombres de usuario y contraseñas.
•
Autorización. Proceso de conceder a una persona, proceso de equipo o dispositivo acceso a determinada información, servicios o funcionalidad. La autorización se deriva de la identidad de la persona, proceso de equipo o dispositivo que solicita el acceso, que se comprueba mediante autenticación.
•
No rechazo. Técnica empleada para garantizar que quien realiza una acción en un equipo no pueda negar falsamente que ha realizado dicha acción. El no rechazo proporciona una prueba innegable de que un usuario ha realizado una acción específica, como transferir dinero, autorizar una compra o enviar un mensaje.
•
Control de acceso. Mecanismo para limitar el acceso a determinada información en función de la identidad de un usuario y su pertenencia a varios grupos predefinidos. El control de acceso puede ser obligatorio, discrecional o basado en funciones.
•
Comunicaciones protegidas. Estos controles utilizan el cifrado para proteger la integridad y la confidencialidad de la información transmitida por las redes.
Los controles de detección y recuperación de esta categoría son:
•
Sistemas de auditoría. Permiten supervisar y realizar el seguimiento del comportamiento del sistema que se aparte de las normas previstas. Constituyen una herramienta fundamental para detectar, comprender y recuperarse de infracciones de seguridad.
•
Programas antivirus. Diseñados para detectar y responder a software malintencionado, como virus y gusanos. Las respuestas pueden ser el bloqueo del acceso de usuario a los archivos infectados, la limpieza de los archivos o sistemas infectados o la notificación al usuario de que se ha detectado un programa infectado.
•
Herramientas de integridad del sistema. Permiten que el personal de TI determine si se han efectuado cambios no autorizados en un sistema. Por ejemplo, algunas herramientas de integridad del sistema calculan una suma de comprobación para todos los archivos que se encuentran en los volúmenes de almacenamiento del sistema y almacenan la información en una base de datos en otro equipo. La comparación entre el estado actual de un sistema y su configuración válida conocida anteriormente se puede llevar a cabo de un modo confiable y automatizado con una herramienta de este tipo.
Los controles de administración de esta categoría son:
•
Herramientas de administración de seguridad incluidas en numerosos sistemas operativos informáticos y aplicaciones de negocios así como en productos de hardware y software
orientados a la seguridad. Estas herramientas son necesarias para mantener, dar soporte y solucionar problemas de características de seguridad de un modo eficaz en todos estos productos.
•
Criptografía, que es la base de muchos otros controles de seguridad. La creación, el almacenamiento y la distribución seguros de las claves de cifrado permiten tecnologías como redes privadas virtuales (VPN), autenticación de usuarios segura y cifrado de datos en distintos tipos de medios de almacenamiento.
•
Identificación, que proporciona la capacidad de identificar usuarios y procesos únicos. Gracias a esta capacidad, los sistemas pueden incluir características como responsabilidad, control de acceso discrecional, control de acceso basado en funciones y control de acceso obligatorio.
•
Protecciones inherentes al sistema, que son características diseñadas en el sistema para proteger la información procesada o almacenada en dicho sistema. Se ha demostrado que la reutilización segura de objetos, la compatibilidad con memoria de no ejecución (NX) y la separación de procesos son características de protección del sistema.
Cuando evalúe las soluciones de control, también puede resultar útil que consulte la sección "Organización de las soluciones de control" del capítulo 6, "Implementación de controles y medición de la efectividad del programa". En esta sección se incluyen vínculos a orientación normativa escrita para ayudar a las organizaciones a aumentar la seguridad de sus sistemas de información. Ejemplo de Woodgrove: el primer riesgo, el de que las credenciales del usuario asesor financiero se puedan robar durante el inicio de sesión en la LAN, si se puede solucionar si se les pide a los usuarios que se autentiquen con tarjetas inteligentes al conectarse localmente a la red corporativa. El segundo riesgo, el de que las credenciales del usuario asesor financiero se puedan robar durante el inicio de sesión en la red de forma remota, se puede solucionar si se les pide a todos los usuarios que se autentiquen con tarjetas inteligentes al conectarse de forma remota a la red corporativa. Registre cada uno de los controles propuestos para cada riesgo en la columna "Control propuesto" de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls.
Paso 3: Revisar la solución según los requisitos El equipo de administración de riesgos de seguridad debe aprobar la solución de control para garantizar que el control cumple los requisitos funcionales definidos. Otra ventaja de la colaboración en los procesos de costo-beneficio reside en la capacidad de anticipar las comprobaciones y los balances inherentes al proceso; por ejemplo, si el responsable de mitigación está incluido en la definición de requisitos de seguridad, normalmente la solución cumplirá los requisitos. Los controles que no cumplan los requisitos funcionales para un riesgo específico se quitan de la hoja de trabajo Riesgo detallado.
Figura 5.6 Paso 3 de la fase de apoyo a la toma de decisiones
Ejemplo de Woodgrove: el equipo de administración de riesgos de seguridad ha comparado el uso de tarjetas inteligentes para la autenticación de usuario con el fin de determinar si su implementación cumple los requisitos funcionales. En este caso, las tarjetas inteligentes cumplen los requisitos funcionales de los dos riesgos de este ejemplo. Marque cada uno de los controles rechazados con un formato distinto en GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls.
Paso 4: Estimar la reducción del riesgo Después de que el equipo de administración de riesgos de seguridad apruebe la mitigación posible, debe volver a calcular la reducción de riesgo global para la empresa. La cantidad de reducción de riesgo se comparará con el costo de la solución de mitigación. Éste es el primer paso en el que el importe económico puede proporcionar valor al análisis de costo-beneficio. La experiencia demuestra que la reducción de riesgo normalmente se estima ampliando la probabilidad del efecto a la empresa. Recuerde que cada clasificación de probabilidad (alta, media o baja) tiene un intervalo de tiempo previsto en el que es probable que se produzca el ataque.
Figura 5.7 Paso 4 de la fase de apoyo a la toma de decisiones
La ampliación de la estimación de posibilidad de ataque de un año a más de tres proporciona un valor importante al equipo de administración de riesgos de seguridad y al comité directivo de seguridad. Aunque puede que la estimación de pérdida financiera no se reduzca, es menos probable que la pérdida se produzca en un futuro próximo. Es importante tener presente que el objetivo no es reducir el efecto a cero, sino definir un nivel de riesgo aceptable para la empresa. Otra ventaja de reducir el riesgo a corto plazo está relacionada con la tendencia común de los costos de controles técnicos a disminuir con el tiempo y a aumentar su eficacia. Por ejemplo, una mejora en la estrategia actual de administración de revisiones puede reducir considerablemente la probabilidad de riesgos de host hoy en día. Sin embargo, el costo de implementar revisiones y actualizaciones de seguridad puede disminuir a medida que estén disponibles nuevas orientaciones y herramientas para administrar de forma eficaz estas operaciones. La reducción de los costos mediante la autenticación de dos factores ofrece otro ejemplo de esta tendencia. Al determinar el grado relativo de reducción de riesgo de un control asegúrese de contemplar todas las formas en que el control puede afrontar el riesgo. Entre las preguntas que se deben plantear se incluyen:
•
¿El control previene un ataque específico o un conjunto de ataques?
•
¿Minimiza el riesgo de una determinada clase de ataques?
•
¿El control reconoce una vulnerabilidad mientras se está produciendo?
•
Si reconoce una debilidad, ¿puede resistir el ataque o realizar un seguimiento del mismo?
•
¿El control ayuda a recuperar los activos que han sufrido un ataque?
•
¿Qué otras ventajas ofrece?
•
¿Cuál es el costo total del control en relación con el valor del activo?
Estas preguntas pueden resultar complejas cuando un determinado control afecta a varias vulnerabilidades y activos. Por último, el objetivo de este paso es realizar la estimación de la reducción de los niveles de riesgo que efectúa cada control. Registre los nuevos valores de Clasificación de exposición, Clasificación de probabilidad y Clasificación de riesgo en las columnas etiquetadas "Clasificación de exposición con el nuevo control", "Clasificación de probabilidad con el nuevo control" y "Nueva clasificación de riesgo" de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls para cada riesgo. Ejemplo de Woodgrove: en relación con el primer riesgo, el de que se pongan en peligro las contraseñas de los asesores financieros mientras utilizan clientes de LAN, el equipo de administración de riesgos de seguridad puede llegar a la conclusión de que la clasificación de exposición después de implementar tarjetas inteligentes para la autenticación local sería de 8, la clasificación de probabilidad bajaría a 1 y, por lo tanto, la nueva clasificación de riesgo sería de 9. Para el segundo riesgo, el de que se pongan en peligro las contraseñas de los asesores financieros al acceder a la red de forma remota, el equipo de administración de riesgos de seguridad encontraría valores similares. Registre las nuevas clasificaciones de exposición, probabilidad y riesgo para cada control propuesto en las columnas "Clasificación de exposición con el nuevo control", "Clasificación de probabilidad con el nuevo control" y "Nueva clasificación de riesgo" de la hoja de trabajo Riesgo detallado de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls.
Paso 5: Estimar el costo de la solución En la siguiente tarea de esta fase corresponde al responsable de mitigación estimar el costo relativo de cada control propuesto. El equipo de ingeniería de TI debe poder determinar el modo de implementar cada control y proporcionar estimaciones razonablemente precisas acerca de lo que costará la adquisición, la implementación y el mantenimiento de cada uno. Debido a que el proceso de administración de riesgos de seguridad de Microsoft implica un proceso de administración de riesgos híbrido, no es necesario calcular los costos precisos, basta con unas estimaciones. Durante el análisis de costo-beneficio, se compararán los valores y los costos relativos de cada control en vez de las cifras financieras absolutas. Cuando el equipo cree estas estimaciones, debe tener en cuenta todos los gastos directos e indirectos que puedan estar asociados a un control. Registre los costos de cada control en la columna etiquetada "Costo de descripción de controles" de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls.
Figura 5.8 Paso 5 de la fase de apoyo a la toma de decisiones
Costos de adquisición Estos costos abarcan el software, el hardware o los servicios relacionados con un nuevo control propuesto. Puede que algunos controles no tengan costos de adquisición; por ejemplo, la implementación de un nuevo control puede implicar únicamente la habilitación de una característica no utilizada anteriormente en un elemento de hardware de red que ya utiliza la organización. Otros controles pueden requerir la compra de nuevas tecnologías, como software de servidor de seguridad distribuido o hardware de servidor de seguridad dedicado con capacidad de filtrado de niveles de aplicación. Algunos controles pueden no requerir que se compre nada sino que se contrate a otra organización. Por ejemplo, una organización puede contratar a otra empresa para que le proporcione una lista de bloqueo de sistemas de envío de correo no deseado conocidos que se actualice diariamente para poderla aprovechar en sus filtros de correo no deseado que ya están instalados en los servidores de correo de la organización. Puede haber otros controles que la organización decida desarrollar por su cuenta; todos los costos relacionados con el diseño, el desarrollo y la prueba de los controles formarían parte de los controles de adquisición de la organización.
Costos de implementación Estos gastos están relacionados con el personal o los consultores que instalarán y configurarán el nuevo control propuesto. Algunos controles pueden requerir que un equipo grande los especifique, diseñe, pruebe e implemente correctamente. Un administrador de sistemas experto también puede deshabilitar los servicios de sistema no utilizados en todos los equipos de escritorio y móviles en pocos minutos si la organización ya ha implementado herramientas de administración empresarial.
Costos continuos Estos costos están relacionados con las actividades continuas asociadas al nuevo control, como la administración, la supervisión y el mantenimiento. Pueden parecer bastante difíciles de estimar, por lo que intente considerarlos en relación con la cantidad de personas que tienen que participar
y el tiempo que cada semana (mes o año) se necesita dedicar a estas tareas. Piense en un sistema de detección de intrusión basado en red sólido y distribuido para una gran empresa con oficinas en cuatro continentes. Dicho sistema requiere personas que lo supervisen las 24 horas del día, todos los días, y deben poder interpretar y responder a las alertas eficazmente. Se pueden necesitar ocho o diez (tal vez más) empleados a tiempo completo para que la organización desarrolle totalmente el potencial de este control complejo.
Costos de comunicaciones Este gasto está relacionado con la notificación de nuevas directivas o procedimientos a los usuarios. Para una organización con unos cientos de empleados que instale bloqueos electrónicos para su sala de servidores, puede ser suficiente con enviar unos cuantos mensajes de correo electrónico al personal de TI y directores jefe. Pero una organización que, por ejemplo, implemente tarjetas inteligentes necesitará establecer muchas comunicaciones antes, durante y después de la distribución de las tarjetas inteligentes y los lectores, debido a que los usuarios tendrán que aprender una nueva forma de iniciar sesión en sus equipos y, sin duda alguna, se producirán numerosas situaciones nuevas o inesperadas.
Costos de cursos para el personal de TI Estos costos están asociados al personal de TI que tenga que implementar, administrar, supervisar y realizar el mantenimiento del nuevo control. Considere el ejemplo anterior de la organización que ha decidido implementar tarjetas inteligentes. Distintos equipos de la organización de TI tendrán diferentes responsabilidades y, por lo tanto, precisarán distintos tipos de cursos. El personal del servicio de asistencia tendrá que saber cómo ofrecer ayuda a los usuarios finales a superar problemas habituales, como tarjetas o lectores dañados y números de identificación personal olvidados. El personal del servicio de asistencia tendrá que saber cómo instalar, solucionar problemas, diagnosticar y reemplazar los lectores de tarjetas inteligentes. Un equipo de la organización de TI, otro del departamento de recursos humanos o quizás otro del departamento de seguridad física de la organización serán los responsables de proporcionar las tarjetas nuevas y de reemplazo, así como de recuperar las tarjetas de los empleados que se marchen.
Costos de cursos para los usuarios Este gasto está relacionado con los usuarios que tengan que incorporar un nuevo comportamiento para trabajar con el nuevo control. En el escenario de las tarjetas inteligentes mencionado anteriormente, todos los usuarios tendrán que comprender el uso de las tarjetas inteligentes y de los lectores, así como el cuidado correcto de las tarjetas, ya que la mayoría de los diseños son más sensibles a situaciones extremas físicas que las tarjetas de crédito o las bancarias.
Costos para la productividad y la comodidad Estos gastos están asociados a los usuarios cuyo trabajo se verá afectado por el nuevo control. En el escenario de las tarjetas inteligentes, se puede suponer que todo resultará más sencillo para una organización después de las primeras semanas y meses de la implementación de las tarjetas y de los lectores y de ayudar a los usuarios a superar los problemas iniciales. Pero para la mayoría de las organizaciones no sucede así. Por ejemplo, muchas descubrirán que las aplicaciones existentes no son compatibles con las tarjetas inteligentes. En algunos casos esto puede no ser importante, pero ¿qué sucede con las herramientas que el departamento de recursos humanos utiliza para administrar la información confidencial de los empleados? ¿O con el software de administración de relaciones con el cliente que se utiliza en toda la organización para realizar el seguimiento de los datos importantes de todos los clientes?
Si existen aplicaciones de negocios fundamentales como las anteriores que no son compatibles con las tarjetas inteligentes y están configuradas para requerir autenticación de usuario, es posible que la organización se deba enfrentar a una situación difícil. Puede actualizar el software, lo que requerirá todavía más costos para nuevas licencias, la implementación y los cursos. O puede deshabilitar las características de autenticación, pero se reduciría la seguridad de forma considerable. También puede requerir que los usuarios introduzcan nombres de usuario y contraseñas al tener acceso a dichas aplicaciones, pero, de nuevo, los usuarios tendrían que recordar contraseñas, lo que socava una de las ventajas clave de las tarjetas inteligentes.
Costos de auditoría y comprobación de eficacia Una organización puede afrontar estos gastos después de implementar el nuevo control propuesto. Algunos ejemplos de las preguntas que se puede plantear para definir aún más estos controles son:
•
¿Cómo se garantizará que el control realmente hace lo que se supone que debe hacer?
•
¿Realizarán algunos miembros de la organización de TI pruebas de penetración?
•
¿Ejecutarán muestras de código malintencionado en el activo que se supone que debe proteger
•
Después de validar la eficacia del control, ¿cómo comprobará la organización de forma
el control? continuada que el control se sigue aplicando?
La organización debe poder probar que nadie ha modificado o deshabilitado el control de forma accidental o malintencionada y debe determinar a quién se encargará dicha comprobación. Para los activos muy confidenciales, puede ser necesario que varias personas validen los resultados. Ejemplo de Woodgrove: en las tablas 5.3 y 5.4 siguientes los responsables de mitigación han determinado los costos de los riesgos. Registre las estimaciones de costos para cada control propuesto en la columna "Costo de descripción de controles" de GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls. Tabla 5.3: Costos de implementación de tarjetas inteligentes para VPN y el acceso administrativo Categoría
Notas
Estimaciones
Costos de
El costo por tarjeta inteligente es de 15 dólares y por lector
300.000
adquisición
también es de 15 dólares. Sólo 10.000 empleados del banco
dólares
necesitan funciones de red privada virtual (VPN) o acceso administrativo, por lo que el costo total de tarjetas y lectores será de 300.000 dólares. Costos de
El banco contratará a una empresa de consultoría para que
900.000
implementación
le ayude a implementar la solución con un costo de 750.000
dólares
dólares. No obstante, habrá costos considerables por el tiempo invertido por los empleados del banco: 150.000 dólares. Costos de
El banco ya dispone de varios métodos establecidos para
50.000
comunicaciones
comunicar noticias a los empleados, como boletines
dólares
impresos, sitios Web internos y listas de correo electrónico, por lo que los costes para notificar la implementación de las
Categoría
Notas
Estimaciones
tarjetas inteligentes no serán importantes. Costos de cursos
El banco utilizará la misma organización de consultoría para
90.000
para el personal de
impartir cursos al personal de TI que ayudará en la
dólares
TI
implementación; el costo será de 10.000 dólares. La mayoría de los miembros del personal de TI perderán de 4 a 8 horas de trabajo, con un costo global estimado en 80.000 dólares.
Costos de cursos
El banco utilizará los cursos basados en Web del proveedor
300.000
para los usuarios
de las tarjetas inteligentes para enseñar a los empleados a
dólares
utilizarlas; el costo está incluido en el precio del hardware. Cada empleado del banco dedicará aproximadamente una hora en realizar el curso, con un costo global de pérdida de productividad de unos 300.000 dólares. Costos para la
El banco supone que el usuario medio perderá una hora de
400.000
productividad y la
productividad y que uno de cada cuatro llamará al servicio
dólares
comodidad
de asistencia para obtener ayuda relacionada con las tarjetas inteligentes. El costo de la pérdida de productividad será de 300.000 dólares y los gastos de las llamadas al servicio de asistencia serán de 100.000 dólares.
Costos de auditoría
El equipo de administración de riesgos de seguridad cree
50.000
y comprobación de
que puede auditar y comprobar periódicamente la eficacia
dólares
eficacia
del nuevo control con un costo de 50.000 dólares durante el primer año.
Total
2.090.000 dólares
Tabla 5.4: Costos de implementación de tarjetas inteligentes para el acceso local Categoría
Notas
Estimaciones
Costos de
El costo por tarjeta inteligente es de 15 dólares y por lector
1.950.000
adquisición
también es de 15 dólares. Dado que los 15.000 empleados
dólares
del banco necesitarán acceso local, el costo total de las tarjetas y los lectores será de 450.000 dólares. El banco también tendrá que actualizar o reemplazar muchas aplicaciones de negocios a un costo importante: 1.500.000 dólares. Costos de
El banco contratará a una empresa de consultoría para que
900.000
implementación
le ayude a implementar la solución con un costo de 750.000
dólares
dólares. No obstante, habrá costos considerables por el tiempo invertido por los empleados del banco: 150.000 dólares.
Categoría
Notas
Estimaciones
Costos de
El banco ya dispone de varios métodos establecidos para
50.000
comunicaciones
comunicar noticias a los empleados, como boletines
dólares
impresos, sitios Web internos y listas de correo electrónico, por lo que los costes para notificar la implementación de las tarjetas inteligentes no serán importantes. Costos de cursos
El banco utilizará la misma organización de consultoría para
90.000
para el personal de
impartir cursos al personal de TI que ayudará en la
dólares
TI
implementación; el costo será de 10.000 dólares. La mayoría de los miembros del personal de TI perderán de 4 a 8 horas de trabajo, con un costo global estimado en 80.000 dólares.
Costos de cursos
El banco utilizará los cursos basados en Web del proveedor
450.000
para los usuarios
de las tarjetas inteligentes para enseñar a los empleados a
dólares
utilizarlas; el costo está incluido en el precio del hardware. Cada empleado del banco dedicará aproximadamente una hora en realizar el curso, con un costo global de pérdida de productividad de unos 450.000 dólares. Costos para la
El banco supone que el usuario medio perderá una hora de
600.000
productividad y la
productividad y que uno de cada cuatro llamará al servicio
dólares
comodidad
de asistencia para obtener ayuda relacionada con las tarjetas inteligentes. El costo de la pérdida de productividad será de 450.000 dólares y los gastos de las llamadas al servicio de asistencia serán de 150.000 dólares.
Costos de auditoría
El equipo de administración de riesgos de seguridad cree
150.000
y comprobación de
que puede auditar y comprobar periódicamente la eficacia
dólares
eficacia
del nuevo control con un costo de 150.000 dólares durante el primer año.
Total
4.190.000 dólares
Paso 6: Seleccionar la solución de mitigación de riesgo El último paso en el análisis de costo-beneficio consiste en comparar el nivel de riesgo después de la solución de mitigación con el costo de dicha solución. Tanto el riesgo como el costo contienen valores subjetivos que son difíciles de cuantificar en términos financieros exactos. Utilice los valores cualitativos como una prueba razonable de comparación. Evite la tentación de descartar los costos intangibles si se produce el riesgo. Pregunte al responsable del activo qué sucedería si el riesgo se produjera. Pida al responsable que documente su respuesta para evaluar la importancia de la solución de mitigación. Esta táctica puede ser tan persuasiva como una comparación aritmética de valores cuantitativos.
Figura 5.9 Paso 6 de la fase de apoyo a la toma de decisiones
Un error habitual en el análisis de costo-beneficio consiste en centrarse en el nivel de reducción riesgo en vez del nivel de riesgo después de la solución de riesgo. Se suele denominar riesgo residual. Un ejemplo simple con términos cuantitativos: si el riesgo se representa como 1000 dólares actualmente y el control propuesto reduce el riesgo en 400 dólares, el responsable de negocios debe aceptar el riesgo tras la solución de mitigación de 600 dólares. Aunque la solución de mitigación sea menor que 400 dólares, seguirá habiendo un riesgo residual de 600 dólares. Ejemplo de Woodgrove: es muy probable que el banco opte por implementar tarjetas inteligentes sólo para el acceso remoto, ya que el costo para requerirlas en todas las autenticaciones de usuario es bastante alto. Documente las soluciones de seguridad recomendadas que se han seleccionado para su implementación antes de pasar a la siguiente fase del proceso de administración de riesgos de seguridad de Microsoft.
Resumen
Durante la fase de apoyo a la toma de decisiones, el equipo de administración de riesgos de seguridad recopila elementos fundamentales de información adicional acerca de cada uno de los riesgos principales identificados en la fase de evaluación de riesgos. Por cada riesgo se determina si la organización debe optar por controlarlo, aceptarlo, transferirlo o evitarlo. A continuación, el equipo define los requisitos funcionales para cada riesgo. Después, los responsables de mitigación, en coordinación con el equipo de administración de riesgos de seguridad, crean una lista de posibles soluciones de control. Posteriormente, el equipo estima la reducción de nivel de riesgo que cada solución de control proporciona y los costos asociados a cada una. Finalmente, el comité directivo de seguridad selecciona las soluciones de control que los responsables de mitigación deben implementar en la siguiente fase, Implementación de controles, que se describe en el siguiente capítulo.
Guía de administración de riesgos de seguridad Capítulo 6: Implementación de controles y medición de la efectividad del programa Publicado: 15/10/2004
Información general
En este capítulo se explican las dos últimas fases del proceso de administración de riesgos de seguridad de Microsoft: la implementación de controles y la medición de la efectividad del programa. La fase de implementación de controles se explica por sí misma: los responsables de mitigación crean y ejecutan planes en función de la lista de soluciones de control surgida durante el proceso de apoyo a la toma de decisiones para mitigar los riesgos identificados en la fase de evaluación del riesgo. En este capítulo se proporcionan vínculos a indicaciones normativas que los responsables de mitigación de su organización pueden considerar útiles para responder a distintos riesgos. La fase de medición de la efectividad del programa es un proceso continuo en el que el equipo de administración de riesgos de seguridad comprueba periódicamente que los controles implementados durante la fase anterior estén ofreciendo realmente el nivel de protección previsto. Otro paso de esta fase consiste en valorar el progreso global que la organización está efectuando en relación con la administración de riesgos de seguridad como un conjunto. En el capítulo se introduce el concepto de un "cálculo de riesgos de seguridad" que puede utilizar para realizar el seguimiento del rendimiento de su organización. Finalmente, en el capítulo se explica la importancia de vigilar los cambios en el entorno informático, como la adición y eliminación de sistemas y aplicaciones o la aparición de nuevas amenazas y vulnerabilidades. Estos tipos de cambios pueden requerir que la organización adopte acciones inmediatas para protegerse de riesgos nuevos o cambiantes.
Implementación de controles
Durante esta fase, los responsables de mitigación emplean los controles especificados durante la fase anterior. Un factor de éxito fundamental en esta fase del proceso de administración de riesgos de seguridad de Microsoft consiste en que los responsables de mitigación busquen un enfoque holístico al implementar las soluciones de control. Deben tener en cuenta todo el sistema de tecnología de la información (TI), toda la unidad de negocios o, incluso, toda la empresa al crear los planes para adquirir e implementar soluciones de mitigación. En la sección "Organización de controles" de este capítulo se ofrecen vínculos a orientación normativa que pueden resultar útiles para su organización al crear planes para implementar las soluciones de control. Esta sección está organizada en un modelo de defensa en profundidad para facilitarle la búsqueda de orientaciones para solucionar determinados tipos de problemas.
Figura 6.1 Proceso de administración de riesgos de seguridad de Microsoft: fase de implementación de controles
Información necesaria para la fase de implementación de controles Sólo hay una información de la fase de apoyo a la toma de decisiones necesaria para la fase de implementación de controles: la lista de prioridades de soluciones de control que se tienen que implementar. Si ha seguido los procedimientos descritos en el capítulo 5, "Apoyo a la toma de decisiones", el equipo de administración de riesgos de seguridad ha registrado esta información y ha presentado sus resultados al comité directivo de seguridad.
Participantes en la fase de implementación de controles Los participantes de esta fase son, principalmente, los responsables de mitigación; sin embargo, pueden obtener ayuda del equipo de administración de riesgos de seguridad. La fase de implementación de controles incluye las siguientes funciones, que se han definido en el capítulo 3, "Información general acerca de la administración de riesgos de seguridad":
• •
Equipo de administración de riesgos de seguridad (grupo de seguridad de información, responsable de evaluación de riesgos y responsable de registro de evaluación de riesgos) Responsables de mitigación (arquitectura de TI, ingeniería de TI y operaciones de TI)
En la siguiente lista se resumen las responsabilidades específicas:
• •
Ingeniería de TI: determina el modo en que se implementan las soluciones de control Arquitectura de TI: especifica el modo en que las soluciones de control se implementarán de una manera compatible con los sistemas informáticos existentes
• • •
Operaciones de TI: implementa soluciones de control técnico Seguridad de la información: contribuye a resolver los problemas que se puedan producir durante las pruebas y la implementación Finanzas: garantiza que los niveles de gasto estén dentro de los presupuestos aprobados
Como práctica recomendada, el equipo de administración de riesgos de seguridad debe asignar un técnico de seguridad para cada riesgo identificado. Un único punto de contacto reduce el riesgo de que el equipo de administración de riesgos de seguridad genere mensajes incoherentes y ofrezca un modelo de compromiso nítido a lo largo del proceso de implementación.
Herramientas proporcionadas para la fase de implementación de controles No hay herramientas incluidas en esta guía relacionadas con la fase de implementación de controles.
Resultados necesarios para la fase de implementación de controles Durante esta fase del proceso de administración de riesgos de seguridad de Microsoft, creará planes para implementar las soluciones de control especificadas durante la fase de apoyo a la toma de decisiones. En la tabla siguiente se resumen estos elementos clave y en las secciones posteriores de este capítulo también se resumen. Tabla 6.1: Resultados necesarios para la fase de implementación de controles Información que se recopilará Soluciones de control
Descripción Lista de controles seleccionados por el comité directivo de seguridad e implementados por los responsables de mitigación
Informes de la implementación de los controles
Informe o serie de informes creados por los responsables de mitigación donde se describe su progreso en la implementación de las soluciones de control seleccionadas
Organización de las soluciones de control El capítulo anterior se ha centrado en el proceso de apoyo a la toma de decisiones. El resultado del análisis en dicha fase han sido las decisiones que el comité directivo de seguridad ha adoptado en relación con el modo en que la organización responderá a los riesgos de seguridad identificados durante la anterior fase de evaluación de riesgos. Puede que algunos riesgos se hayan aceptado o se hayan derivado a terceros; en el caso de los riesgos que se tengan que contrarrestar, se ha creado una lista de prioridades de las soluciones de control. El siguiente paso consiste en diseñar planes de acción para implementar los controles en un período de tiempo explícito. Estos planes deben ser claros y precisos; además, cada uno se debe asignar a la persona o equipo adecuados para su ejecución. Utilice prácticas de administración de proyectos efectivas para realizar un seguimiento del progreso y garantizar una consecución puntual de los objetivos del proyecto. Nota: Microsoft Solutions Framework (MSF) puede ayudarle a llevar a cabo con éxito los planes de acción creados durante esta fase. Se ha diseñado para ayudar a las organizaciones a ofrecer soluciones de tecnología de alta calidad puntuales y según lo presupuestado. MSF sintetiza un enfoque bien disciplinado orientado hacia los proyectos tecnológicos basándose en un conjunto
definido de principios, modelos, disciplinas, conceptos, orientaciones y prácticas demostradas de Microsoft. Para obtener más información, consulte www.microsoft.com/technet/itsolutions/techguide/msf/default.mspx. Existen varios factores determinantes y fundamentales para el éxito en esta fase del proyecto:
•
Los ejecutivos encargados del proyecto de administración de riesgos deben comunicar de forma clara que dichos miembros del personal están autorizados para implementar los controles. Si no se realiza esta declaración explícita, algunos empleados pueden poner objeciones o incluso resistirse a los esfuerzos de implementar los nuevos controles.
•
Al personal encargado de la implementación de los nuevos controles se le debe permitir cambiar las prioridades de sus responsabilidades existentes. Debe quedar claro a las personas que trabajan en los controles, así como a sus superiores, que este trabajo tiene una alta prioridad. Si no se presupuestan los recursos y el tiempo adecuados, es posible que los controles no se implementen de forma eficaz. Asimismo, una asignación no adecuada de los recursos puede derivar en problemas injustamente atribuidos a la tecnología o el control.
•
Al personal encargado de implementar los controles se le debe ofrecer apoyo financiero, formación, equipos y otros recursos necesarios para implementar cada control de forma eficaz.
El personal que implemente los controles debe registrar su progreso en un informe o serie de informes que se enviarán al equipo de administración de riesgos de seguridad y al comité directivo de seguridad. El Centro de instrucciones de seguridad de Microsoft (SGC), en www.microsoft.com/security/guidance/default.mspx, constituye una colección exhaustiva y bien organizada de documentación que trata una amplia variedad de temas de seguridad. Las orientaciones del sitio pueden ayudar a su organización a implementar controles seleccionados de su lista de prioridades. Nota: gran parte de esta sección se ha elaborado a partir del sitio Web Microsoft Security Content Overview en http://go.microsoft.com/fwlink/?LinkId=20263; visite este sitio para obtener las orientaciones de seguridad normativas de Microsoft más recientes. El resto de esta sección está organizado según el modelo de defensa en profundidad de Microsoft (ilustrado a continuación). De forma similar a los modelos disponibles públicamente que utilizan otras organizaciones, el modelo de varios niveles de Microsoft organiza los controles en varias categorías amplias. La información de cada sección contiene recomendaciones y vínculos a orientaciones normativas y notas del producto que describen los controles para proteger cada nivel de una red. La orientación normativa ofrece ayuda paso a paso para planear e implementar una solución integral. Esta guía se ha probado y validado exhaustivamente en entornos de cliente. Las notas del producto y los artículos normalmente ofrecen buenas referencias técnicas de las características de los productos o de componentes de una solución global; no pueden proporcionar la gran cantidad de información que se halla en las orientaciones normativas. Nota: el elemento "Seguridad física" del siguiente gráfico no dispone de la sección correspondiente en este capítulo en la que se recomienden recursos acerca del tema; Microsoft no ha publicado todavía una guía detallada al respecto.
Figura 6.2 Modelo de defensa en profundidad
Defensas de la red Una arquitectura de red bien diseñada e implementada correctamente proporciona servicios de alta disponibilidad, seguros, escalables, fáciles de administrar y confiables. Puede disponer de varias redes en su organización y debe evaluar cada una individualmente para asegurarse de que tienen una protección correcta o de que las redes de alto valor están protegidas de las redes inseguras. La implementación de defensas de red internas incluye la consideración del diseño de red adecuado, la seguridad de red inalámbrica y, posiblemente, el uso de Seguridad del protocolo de Internet (IPSec) para garantizar que sólo los equipos de confianza tengan acceso a los recursos de red críticos. Orientación normativa Para obtener orientación normativa acerca de cómo proteger las redes con servidores de seguridad, consulte Windows Server System Reference Architecture Enterprise Design for Firewalls, que forma parte de Windows Server System Reference Architecture, en www.microsoft.com/technet/ itsolutions/techguide/wssra/raguide/Firewall_Services_SB_1.mspx. Para obtener orientación normativa adicional, consulte el capítulo 15,"Seguridad en redes", deImproving Web Application Security: Threats and Countermeasures, en http://msdn.microsoft.com/library/default.asp?url=/library/en-us /dnnetsec/html/threatcounter.asp. Para obtener orientación normativa acerca de la implementación de LAN inalámbricas seguras (WLAN) mediante EAP y certificados digitales, consulte Securing Wireless LANs: A Windows Server 2003 Certificate Services Solution en http://go.microsoft.com/fwlink/?LinkId=14843. Para obtener orientación normativa acerca de la implementación de LAN inalámbricas seguras (WLAN) con PEAP y contraseñas, consulte Securing Wireless LANs (WLANs) with PEAP and Passwords en http://go.microsoft.com/fwlink/?LinkId=23459. Para obtener orientación normativa acerca del uso de la segmentación de red para mejorar la seguridad y el rendimiento, consulte Windows Server System Reference Architecture: Enterprise Design, que forma parte de Windows Server System Reference Architecture, en www.microsoft.com/technet/itsolutions/techguide /wssra/raguide/Network_Architecture_1.mspx. Notas del producto y artículos
En el capítulo 6, "Overview of IPSec Deployment", de "Deploying Network Services", uno de los volúmenes incluidos en el Kit de implementación de Microsoft Windows Server 2003, en www.microsoft.com/technet/prodtechnol /windowsserver2003/proddocs/deployguide/dnsbj_ips_agqq.asp hay disponible información acerca de la implementación de IPSec. En las notas del producto "Using Microsoft Windows IPSec to Help Secure an Internal Corporate Network Server", en www.microsoft.com/downloads/details.aspx?FamilyID=a774012a-ac25-4a1d8851-b7a09e3f1dc9&DisplayLang=en, hay disponible información acerca del uso de IPSec. Para obtener una explicación más amplia de la segmentación de red y los problemas que puede solucionar un diseño de red sólido, consulte "Enterprise Design for Switches and Routers", que forma parte de Windows Server System Reference Architecture, en www.microsoft.com/technet/itsolutions/techguide /wssra/raguide/Network_Devices_SB_1.mspx. Para obtener información general acerca de los distintos tipos de servidores de seguridad disponibles y cómo se utilizan habitualmente, consulte "Servidores de seguridad" en www.microsoft.com/technet/security/topics/network/firewall.mspx. En las siguientes notas del producto se puede encontrar más información acerca del control de cuarentena del acceso a la red:
•
"Network Access Quarantine Control in Windows Server 2003" en
•
"Virtual Private Networking with Windows Server 2003: Overview" en
www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx. www.microsoft.com/windowsserver2003/techinfo/overview/vpnover.mspx.
Defensas de host Los hosts son de dos tipos: clientes y servidores. La protección de ambos requiere conseguir un equilibrio entre el grado de protección y el nivel de capacidad de uso. Aunque existen excepciones, la seguridad de un equipo normalmente aumenta a medida que se reduce su capacidad de uso. Las defensas de host pueden incluir deshabilitar servicios, quitar derechos de usuario específicos, mantener actualizado el sistema operativo, así como utilizar antivirus y productos de servidor de seguridad distribuidos. Orientación normativa El sitio Web de administración de revisiones de Microsoft incluye herramientas y guías para ayudar a las organizaciones a probar, implementar y dar soporte técnico a las actualizaciones de software de un modo más eficaz. Consulte: www.microsoft.com/technet/security/topics/patch/default.mspx. Step-by-Step Guide to Securing Windows XP Professional with Service Pack 2 in Small and Medium Businesses se encuentra en http://go.microsoft.com/fwlink/?linkid=19453. Para obtener orientación normativa acerca de cómo proteger Microsoft® Windows® XP, consulte laGuía de seguridad de Windows XP, en http://go.microsoft.com/fwlink/?LinkId=14839. Para obtener orientación normativa acerca de cómo proteger Microsoft Windows Server 2003, consulte laGuía de seguridad de Windows Server 2003, en http://go.microsoft.com/fwlink/?LinkId=14845. Threats and Countermeasures Guide: Security Settings in Windows Server 2003 and Windows XP constituye una guía de referencia de las principales configuraciones y características de seguridad incluidas en Windows Server 2003 y Windows XP. Se ha diseñado para proporcionar información de referencia detallada para su uso con la Guía de seguridad de Windows Server 2003.Está disponible en http://go.microsoft.com/fwlink/?LinkId=15159.
Para obtener orientación normativa acerca de cómo proteger los servidores de Windows 2000, consulteWindows 2000 Security Hardening Guide, en www.microsoft.com/downloads/details.aspx? FamilyID=15E83186-A2C8-4C8F-A9D0-A0201F639A56&DisplayLang=en. Notas del producto y artículos Los sistemas operativos y las aplicaciones de servidor de Microsoft utilizan distintos protocolos de red para establecer comunicación entre sí y los equipos cliente que tienen acceso a ellos, incluidos los puertos TCP (protocolo de control de transmisión) y UDP (protocolo de datagrama de usuario). Muchos de estos puertos están documentados en el artículo 832017 de Microsoft Knowledge Base, "Port Requirements for Microsoft Windows Server System", en http://support.microsoft.com/?kbid=832017. "Preguntas más frecuentes acerca del software antivirus" es un artículo breve que proporciona información general de alto nivel del software antivirus y consejos acerca de cómo adquirir, instalar y mantener estos tipos de productos. Está disponible en www.microsoft.com/security/protect/antivirus.asp. En "Frequently Asked Questions About Internet Firewalls" se describe la importancia de utilizar servidores de seguridad, cuándo resulta apropiado instalar software de servidor de seguridad en equipos de usuario final y cómo resolver algunos de los problemas más habituales relacionados con el uso de este tipo de software. Está disponible en www.microsoft.com/security/protect/firewall.asp.
Defensas de aplicación Las defensas de aplicación son fundamentales para el modelo de seguridad. Las aplicaciones existen en el contexto del sistema global, por lo que debe tener en cuenta la seguridad de todo el entorno al evaluar la seguridad de las aplicaciones. Se debe probar exhaustivamente el cumplimiento de seguridad de cada aplicación antes de ejecutarla en un entorno de producción. La implementación de las defensas de aplicación incluye una arquitectura de aplicaciones correcta, incluida la garantía de que la aplicación se ejecuta con el mínimo nivel de privilegio con la menor superficie de ataque expuesta posible. Orientación normativa En Exchange 2003 Hardening Guide se proporciona información acerca de cómo proteger Microsoft Exchange 2003 Server. Está disponible en www.microsoft.com/downloads/details.aspx? FamilyID=6a80711f-e5c9-4aef-9a44-504db09b9065&displaylang=en. En Security Operations Guide for Exchange 2000se proporciona información acerca de cómo proteger Microsoft Exchange 2000 Server. Está disponible en www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.mspx. En el capítulo 18, "Seguridad en servidores de bases de datos", de la guía de la solución Mejora de la seguridad de aplicaciones Web: Amenazas y contramedidas se incluye información normativa acerca de la protección de Microsoft SQL Server. Está disponible en http://msdn.microsoft.com/ library/default.asp?url=/library/en-us/dnnetsec/html/THCMCh18.asp. En la guía de la solución Mejora de la seguridad de aplicaciones Web: Amenazas y contramedidas se proporciona una base sólida para el diseño, la creación y la configuración de aplicaciones Web ASP.NET seguras. Está disponible en http://msdn.microsoft.com/library/default.asp?url=/ library/en-us/dnnetsec/html/ThreatCounter.asp. En la guía Building Secure ASP .NET Applicationsse presenta un enfoque práctico y basado en escenarios para diseñar y crear aplicaciones ASP.NET seguras para Windows 2000 y la versión 1.0 de Microsoft .NET Framework. Se centra en los elementos clave de autenticación, autorización y comunicación segura dentro de los niveles de las aplicaciones Web .NET distribuidas y entre ellos. Está disponible en http://msdn.microsoft.com/library/ en-us/dnnetsec/html/secnetlpMSDN.asp?frame=true.
Notas del producto y artículos En las notas del producto "Building and Configuring More Secure Web Sites" se incluye información detallada acerca de las lecciones que el equipo de seguridad de Microsoft ha aprendido durante el concurso de seguridad en línea OpenHack 4 de 2002 patrocinado por eWeek. La solución implementada para el concurso incluía .NET Framework, Microsoft Windows 2000 Advanced Server, la versión 5.0 de Servicios de Internet Information Server (IIS) y SQL Server 2000. Esta solución resistió más de 82.500 intentos de ataque y acabó la competición intacta. El documento está disponible en http://msdn.microsoft.com/library/en-us/dnnetsec/html/ openhack.asp.
Defensas de datos Los datos constituyen el recurso más valioso de la mayoría de las organizaciones. En el nivel de cliente, los datos normalmente se almacenan localmente y pueden ser muy vulnerables a los ataques. Los datos se pueden proteger de diferentes maneras, incluido el uso del servicio de archivos de cifrado (EFS) y las copias de seguridad frecuentes y seguras. Principio de la página
Medición de la efectividad del programa
La fase de medición de la efectividad del programa permite que el equipo de administración de riesgos de seguridad documente formalmente el estado actual de los riesgos de la organización. A medida que la empresa continúa por el ciclo de administración de riesgos, esta fase también contribuye a demostrar el progreso de administrar el riesgo con un nivel aceptable a lo largo del tiempo. Para facilitar la comunicación del progreso, en esta sección se presenta el concepto de un cálculo de riesgo de seguridad como un indicador de alto nivel del riesgo en una organización. El cálculo ayuda a demostrar que la administración de riesgos está realmente integrada en las operaciones de TI. El concepto de "administración de riesgos integrada" también es un atributo clave al determinar el nivel de madurez de riesgos de su organización, tal como se describe en el capítulo 3, "Información general acerca de la administración de riesgos de seguridad".
Figura 6.3 Proceso de administración de riesgos de seguridad de Microsoft: Fase de medición de la efectividad del programa
Información necesaria para la fase de medición de la efectividad del programa En la siguiente lista se resume la información de las fases anteriores que se necesita para la fase de medición de la efectividad del programa.
•
La lista de prioridades de los riesgos que se tienen que mitigar. Si ha seguido los procedimientos descritos en el capítulo 4, "Evaluación del riesgo", habrá registrado esta información en la hoja de cálculo de Microsoft® Excel denominada GARSHerramienta3Asignación de prioridades a los riesgos de nivel detallado.xls, que se encuentra en la carpeta Herramientas y plantillas creada al desempaquetar el archivo que contiene esta guía y los archivos relacionados.
•
La lista de prioridades de las soluciones de control que el comité directivo de seguridad ha seleccionado. Si ha seguido los procedimientos descritos en el capítulo 5, "Apoyo a la toma de decisiones", el equipo de administración de riesgos de seguridad ha registrado esta información y ha presentado sus resultados al comité directivo de seguridad.
•
Los informes acerca de la implementación de los controles que los responsables de mitigación han creado durante la fase de implementación de controles que describen su progreso en la implementación de las soluciones de control seleccionadas.
Participantes de la fase de medición de la efectividad del programa Los participantes principales de la fase de medición de la efectividad del programa son los miembros del grupo de seguridad de información. Son los encargados de desarrollar el cálculo de riesgos de seguridad (que se explica más adelante), comprobar que los controles se han implementado y que mitigan los riesgos de forma eficaz tal como se esperaba y supervisar los cambios en el entorno de los sistemas de información que pueden modificar el perfil de riesgo de la organización. El grupo de seguridad de información proporciona informes continuos al comité directivo de seguridad. Asimismo, los responsables de mitigación ayudan al equipo mediante la notificación de los principales cambios en la infraestructura informática y los detalles de los sucesos de seguridad que se hayan producido. Como recordatorio, el proceso de medición de la efectividad del programa incluye las siguientes funciones, que se han definido en el capítulo 3, "Información general acerca de la administración de riesgos de seguridad":
• • •
Equipo de administración de riesgos de seguridad (grupo de seguridad de información, responsable de evaluación de riesgos y responsable de registro de evaluación de riesgos) Responsables de mitigación (arquitectura de TI, ingeniería de TI y operaciones de TI) Comité directivo de seguridad (patrocinador ejecutivo, responsables de negocios, arquitectura e ingeniería de TI)
Estas responsabilidades se resumen en la siguiente lista:
•
Seguridad de información: crea informes de resumen para el comité directivo de seguridad en relación con la eficacia de las soluciones de control que se han implementado y acerca de los cambios en el perfil de riesgo de la organización. Además, crea y mantiene el cálculo de riesgos de seguridad de la organización.
• •
Auditoría interna: valida la eficacia de las soluciones de control. Ingeniería de TI: comunica los cambios inminentes al equipo de administración de riesgos de seguridad.
•
Arquitectura de TI: comunica los cambios planeados al equipo de administración de riesgos
•
Operaciones de TI: ofrece información detallada relacionada con los sucesos de seguridad al
de seguridad. equipo de administración de riesgos de seguridad.
Herramientas proporcionadas para la fase de medición de la efectividad del programa No hay herramientas incluidas en esta guía relacionadas con la fase de medición de la efectividad del programa.
Resultados necesarios para la fase de medición de la efectividad del programa Durante esta fase, el equipo de administración de riesgos de seguridad crea informes acerca del perfil de riesgo de seguridad de la organización. En la tabla siguiente se resumen estos elementos clave y en las secciones posteriores de este capítulo se describen en detalle. Tabla 6.2: Resultados necesarios para la fase de apoyo a la toma de decisiones Información que se recopilará
Descripción
Cambios en estudio
Informes que explican los cambios en el entorno de los sistemas de información que están en la etapa de planeamiento
Cambios aprobados
Informes que explican los cambios en el entorno de los sistemas de información que están a punto de comenzar
Sucesos de seguridad
Informes que detallan los sucesos de seguridad no planeados que afectan al entorno de los sistemas de información
Resumen de la efectividad de las soluciones de
Informe que resume el grado en que las
control
soluciones de control están mitigando el riesgo
Cambios en el perfil de riesgo de la organización
Informe que muestra el modo en que las amenazas identificadas anteriormente han cambiado debido a otras nuevas amenazas, nuevas vulnerabilidades o cambios en el entorno de los sistemas de información de la organización
Cálculo de riesgos de seguridad
Breve cálculo que ilustra el perfil de riesgo actual de la organización
Desarrollo del cálculo de riesgos de seguridad de la organización El cálculo de riesgos de seguridad constituye una herramienta importante para comunicar la posición de riesgo actual de la organización. También ayuda a demostrar el progreso de la administración de riesgos a lo largo del tiempo y puede constituir un elemento de comunicación fundamental para probar la importancia de la administración de riesgos y su valor para la organización. El cálculo debe proporcionar un nivel de resumen del riesgo a la dirección ejecutiva. No está diseñado para resumir la vista táctica de los riesgos detallados que se han identificado durante la fase de evaluación de riesgos.
Nota: no confunda el concepto del cálculo de riesgos de seguridad con los cálculos de TI que se describen en otras guías de Microsoft. El desarrollo de un cálculo de TI puede constituir una forma eficaz de medir el progreso de una organización en relación con su entorno global de los sistemas de información. El cálculo de riesgos de seguridad también puede ser valioso en este sentido, pero está centrado en una parte específica del entorno de los sistemas de información: la seguridad. El cálculo de riesgos de seguridad ayuda al equipo de administración de riesgos de seguridad a alcanzar un nivel de riesgo aceptable en la organización indicando las áreas problemáticas y centrando las inversiones de TI futuras en ellas. Aunque haya elementos en el cálculo que estén clasificados como de alto riesgo, según la organización se puede optar por aceptar el riesgo. Posteriormente, el cálculo se puede utilizar para realizar un seguimiento de estas decisiones en un nivel alto y ayuda a revisar las decisiones acerca de los riesgos en ciclos futuros del proceso de administración de riesgos. En la siguiente figura se representa un cálculo de riesgos de seguridad simple organizado por niveles de defensa en profundidad, según lo descrito en el capítulo 4, "Evaluación del riesgo". Personalice el cálculo según las necesidades de su organización. Por ejemplo, algunas organizaciones pueden optar por organizar el riesgo según unidades de negocios o entornos de TI únicos. (Un entorno de TI es un conjunto de activos de TI que comparten un propósito y un responsable de negocios comunes.) También puede disponer de varios cálculos de riesgos de seguridad si su empresa está descentralizada.
Figura 6.4 Ejemplo de cálculo de riesgos de seguridad
El cálculo de riesgos de seguridad también puede formar parte de un "mural" de TI de mayor tamaño que muestre métricas clave en las operaciones de TI. La práctica de medir y comunicar las métricas de TI en un mural también es una práctica recomendada en Microsoft. Para obtener más información, consulte "Measuring IT Health with the IT Scorecard" en www.microsoft.com/technet/itsolutions/msit/busint/scoretcs.mspx.
Medición de la efectividad de los controles Una vez implementados los controles, resulta importante asegurarse de que proporcionan la protección prevista y de que continúan aplicándose. Por ejemplo, sería una sorpresa desagradable descubrir que la causa principal de una infracción de seguridad importante ha sido que el mecanismo de autenticación de la red privada virtual (VPN) ha permitido que los usuarios no autenticados tuvieran acceso a la red corporativa porque no se ha configurado correctamente durante la implementación. Incluso sería un descubrimiento todavía más desagradable saber que los intrusos han obtenido acceso a los recursos internos porque un ingeniero de la red ha vuelto a configurar un servidor de seguridad para permitir protocolos adicionales sin obtener aprobación previa mediante el proceso de control de cambios de la organización.
Según el estudio llevado a cabo por el departamento Government Accountability Office de EE.UU. acerca de la administración de la seguridad de la información en las principales organizaciones no federales (GAO/AIMD-98-68), las pruebas directas constituyen el método más habitual para comprobar de forma eficaz el nivel de reducción de riesgo logrado por los controles. Existen varios enfoques para llevar a cabo estos tipos de pruebas, entre los que se incluyen las herramientas automatizadas de evaluación de vulnerabilidades, evaluaciones manuales y pruebas de penetración. En la evaluación manual, un miembro del equipo de TI comprueba que se ha aplicado cada control y que parece funcionar correctamente. Ésta puede ser una tarea lenta, tediosa y propensa a errores cuando se están comprobando numerosos sistemas. Microsoft ha publicado una herramienta de evaluación de vulnerabilidades gratuita y automatizada denominada Microsoft Baseline Security Analyzer (MBSA). MBSA puede analizar los sistemas locales y remotos para determinar las revisiones de seguridad críticas que faltan, así como otras configuraciones de seguridad importantes. En www.microsoft.com/technet/security/tools/mbsahome.mspx hay disponible más información acerca de MBSA. Aunque MBSA es gratuito y resulta muy útil, también hay disponibles otras herramientas de evaluación automatizadas de otros proveedores. El otro enfoque mencionado anteriormente es el de las pruebas de penetración. En una prueba de penetración, uno o varios usuarios tienen permiso para realizar pruebas automatizadas y manuales para comprobar si pueden tener acceso a la red de una organización de diferentes formas. Algunas organizaciones realizan las pruebas de penetración con expertos de seguridad propios, mientras que otras contratan a expertos externos que están especializados en realizar estas pruebas. Independientemente de quién efectúe las pruebas de penetración, el grupo de seguridad de información debe ser el encargado de administrar el proceso y de realizar el seguimiento de los resultados. Aunque las pruebas de penetración constituyen un enfoque eficaz, normalmente no detectan una amplia variedad de vulnerabilidades ya que no son tan exhaustivas como una evaluación de vulnerabilidades implementada correctamente. Por lo tanto, se recomienda complementar las pruebas de penetración con otros métodos. Nota: para obtener más información acerca de las pruebas de penetración, consulte el libro Assessing Network Security, escrito por miembros del equipo de seguridad de Microsoft: Ben Smith, David LeBlanc y Kevin Lam (Microsoft Press, 2004). También puede comprobar el cumplimiento con otros medios. El grupo de seguridad de información debe animar a los usuarios de la organización a ofrecer comentarios. Además, el equipo puede instituir un proceso más formal en el que cada unidad de negocios tenga que enviar informes de cumplimiento periódicos. Como parte de su proceso de respuesta a incidencias de seguridad, el grupo de seguridad de información debe crear sus propios informes que documenten los síntomas que originalmente han revelado el problema, los datos expuestos, los sistemas en peligro y el modo de acción del ataque. Las causas de una incidencia de seguridad pueden ser numerosas, incluido código malintencionado como gusanos o virus, usuarios internos que han infringido la directiva accidentalmente, usuarios internos que han expuesto información confidencial deliberadamente, piratas informáticos externos que trabajan para organizaciones como la competencia o gobiernos extranjeros y desastres naturales. También se deben documentar las medidas que ha adoptado el grupo de seguridad de información para contener la incidencia. También se puede realizar un seguimiento de la efectividad del grupo de seguridad de información de varias formas; por ejemplo:
•
Número de incidencias de seguridad generalizadas que han afectado a organizaciones similares pero que se han mitigado gracias a los controles que el equipo de seguridad ha recomendado.
•
Tiempo necesario antes de que los servicios informáticos estén restaurados por completo después de las incidencias de seguridad.
•
Cantidad y calidad de los contactos de usuario.
•
Número de instrucciones presentadas internamente.
•
Número de cursos impartidos internamente.
•
Número de evaluaciones llevadas a cabo.
•
Número de conferencias de seguridad informática a las que se ha asistido.
•
Número y calidad de intervenciones en público.
•
Certificaciones profesionales conseguidas y mantenidas.
Reevaluación de los riesgos de seguridad y los activos nuevos y cambiados Para que la administración de riesgos de seguridad sea eficaz, tiene que constituir un proceso en la organización en vez de ser un proyecto temporal. La reevaluación periódica del entorno según el proceso descrito en el capítulo 4, "Evaluación del riesgo", es el primer paso para volver a comenzar el ciclo. Puede parecer evidente, pero el equipo de administración de riesgos de seguridad debe reutilizar y actualizar las listas de activos, vulnerabilidades, controles y otra propiedad intelectual que se hayan desarrollado durante el proyecto de administración de riesgos inicial. El equipo puede utilizar sus recursos de una forma más eficaz si se centra en los cambios del entorno operativo de la organización. Si no ha habido cambios en un activo después de su última revisión, no tiene sentido en volver a revisarlo minuciosamente. El equipo puede determinar dónde centrar su atención si recopila información puntual, precisa y relevante acerca de los cambios que afectan a los sistemas de información de la organización. Los sucesos internos que deben analizarse detalladamente son la instalación de nuevo software o hardware informático, nuevas aplicaciones desarrolladas internamente, reorganizaciones corporativas, fusiones y adquisiciones corporativas y divisiones de partes de la organización. También puede ser prudente revisar la lista existente de riesgos para determinar si se han producido cambios. Además, examinar los registros de auditoría de seguridad puede ayudar a descubrir nuevas áreas de investigación. El equipo también debe estar alerta ante los cambios que puedan afectar a la seguridad de la información que se produzcan fuera de la organización. Algunos ejemplos son:
•
Revisar los sitios Web y las listas de correo de los proveedores en busca de nuevas
•
Supervisar los sitios Web y las listas de correo de otros fabricantes para obtener información
actualizaciones de seguridad y nueva documentación de seguridad. acerca de nuevas investigaciones de seguridad y nuevos avisos relativos a vulnerabilidades de seguridad.
• •
Asistir a conferencias y simposios que incluyan debates sobre temas de seguridad de información. Realizar cursos de seguridad de información.
•
Estar al día mediante la lectura de libros acerca de seguridad informática y de redes.
•
Supervisar los avisos de nuevas herramientas y métodos de ataque.
Resumen
Durante la fase de implementación de cambios, los responsables de mitigación han implementado las soluciones de control que el comité directivo de seguridad ha elegido durante la fase de apoyo a la toma de decisiones. Los responsables de mitigación también han proporcionado al equipo de administración de riesgos de seguridad informes acerca de su progreso con relación a la implementación de las soluciones de control. En la cuarta fase del proceso de administración de riesgos de seguridad predominan las actividades continuas que se seguirán realizando hasta que el equipo de administración de riesgos de seguridad inicie el siguiente ciclo mediante una nueva evaluación de la seguridad. Entre estas actividades continuas se incluyen informes detallados que explican los cambios en el entorno de los sistemas de información que están en la fase de planeamiento, documentan cambios en el entorno de los sistemas de información que están a punto de comenzar y explican los sucesos de seguridad no planeados que han afectado al entorno de los sistemas de información. Esta fase también incluye informes del equipo de administración de riesgos de seguridad que resumen el nivel de mitigación de riesgos de las soluciones de control y un informe que muestra el modo en que las amenazas identificadas anteriormente han cambiado debido a nuevas amenazas, nuevas vulnerabilidades o cambios en el entorno de los sistemas de información de la organización. Finalmente, esta fase incluye la creación y el mantenimiento de un cálculo de riesgos de seguridad que demuestra el perfil de riesgo actual de la organización.
Conclusión de la guía En esta guía se ha presentado el enfoque de Microsoft para la administración de riesgos de seguridad. Se trata de un enfoque proactivo que puede ayudar a las organizaciones de cualquier tamaño a responder a las amenazas de seguridad que pueden comprometer el éxito de sus negocios. Un proceso de administración de riesgos de seguridad formal permite que las empresas funcionen del modo más económico con un nivel conocido y aceptable de riesgos de negocios y ofrece a las organizaciones una forma coherente y clara para organizar y asignar prioridades a los recursos limitados con el fin de administrar el riesgo. Las ventajas de utilizar una administración de riesgos de seguridad se apreciarán al implementar controles asequibles que reduzcan el riesgo a un nivel aceptable. La definición de riesgo aceptable, así como el enfoque para administrar el riesgo, varía de una organización a otra. No hay una respuesta acertada o errónea; existen numerosos modelos de administración de riesgos en uso actualmente. Cada modelo ofrece un equilibrio entre precisión, recursos, tiempo, complejidad y subjetividad. La inversión en un proceso de administración de riesgos, con un marco sólido y funciones y responsabilidades bien definidas, prepara la organización para articular prioridades, planear la mitigación de amenazas y afrontar la siguiente amenaza o vulnerabilidad de la empresa. El proceso de administración de riesgos de seguridad de Microsoft emplea estándares del sector para ofrecer un híbrido de los modelos de administración de riesgos establecidos en un proceso de cuatro fases iterativos que busca el equilibrio entre el costo y la efectividad. Durante un proceso de evaluación de riesgos, los pasos cualitativos identifican rápidamente los riesgos más importantes. A continuación viene un proceso cuantitativo que se basa en funciones y responsabilidades cuidadosamente definidas. Este enfoque ofrece un gran nivel de detalle y conlleva una comprensión amplia de los riesgos más importantes. La combinación de pasos cualitativos y cuantitativos en el proceso de administración de riesgos proporciona la base sobre la
que pueden tomar decisiones sólidas acerca del riesgo y la mitigación, siguiendo un proceso empresarial inteligente. Ahora que ha leído toda la guía, está preparado para iniciar el proceso; vuelva al capítulo 4, "Evaluación del riesgo", para comenzar.
Guía de administración de riesgos de seguridad Apéndice A: Evaluaciones de riesgos ad hoc Publicado: 15/10/2004
En el proceso de administración de riesgos de seguridad de Microsoft se describe la fase de evaluación de riesgo como una actividad programada dentro del proceso de administración de riesgos. La fase de evaluación de riesgos define los pasos para identificar y asignar prioridades a los escenarios de riesgos conocidos
para la organización. El resultado es una lista de riesgos con prioridades tanto en el nivel de resumen como en el de detalle. La evaluación de riesgos programada también proporciona los datos para las fases restantes del programa de administración de riesgos. Aunque la evaluación de riesgos programada ofrece un gran valor, los riesgos para la empresa cambian y evolucionan continuamente como una parte normal del negocio. Por lo tanto, el equipo de administración de riesgos de seguridad necesita un proceso definido para identificar y analizar los riesgos independientemente de la fase del ciclo de administración de riesgos. Esperar a que se analicen los riesgos hasta la próxima tanda programada de evaluación de riesgos no constituye una práctica lógica. La necesidad inmediata por comprender el riesgo se puede producir en cualquier momento. Por ejemplo, puede resultar evidente que hay falta de consenso sobre el nivel de riesgo en torno a una amenaza potencial o que no se ha comprendido bien. Cuando esto sucede, los distintos participantes pueden ofrecer opiniones y soluciones de mitigación contradictorias. El equipo de administración de riesgos de seguridad tiene que documentar una posición acerca del riesgo y contribuir en el proceso de apoyo a la toma de decisiones, similar al programa de administración de riesgos formal. Es probable que se solicite al equipo de administración de riesgos de seguridad que cree requisitos funcionales para un determinado escenario que no puede, ni debe, derivarse sin comprender todos los elementos de riesgo. Esto indica que se precisa una evaluación de riesgos inmediata y ad hoc. Hay que tener precaución con las evaluaciones de riesgos que intentan realizar un uso incorrecto del proceso de evaluación de riesgos como un medio para justificar soluciones o implementaciones preconcebidas. La evaluación de riesgos debe dar como resultado una declaración imparcial acerca de los riesgos reales asociados a un determinado problema. En el proceso de administración de riesgos de seguridad de Microsoft se han evaluado varios escenarios de riesgos y, a continuación, se les han asignado prioridades. En la evaluación de riesgos ad hoc, los riesgos se analizan caso por caso. Una evaluación de riesgos ad hoc se centra en un solo problema de riesgo; por ejemplo, "¿cuáles son los riesgos asociados al proporcionar a los invitados de la empresa acceso inalámbrico a la red?" o "¿qué riesgos se corren al permitir que los dispositivos móviles se conecten a los recursos empresariales?". La evaluación de riesgos ad hoc utiliza la metodología descrita en el proceso; sin embargo, no es obligatorio establecer prioridades para el riesgo y la solución frente a otros riesgos de la empresa. Una asignación de prioridades formal sólo puede ser necesaria si la solución de mitigación es costosa. Con frecuencia, una comparación con riesgos similares proporciona suficiente perspectiva con el fin de establecer prioridades para la evaluación de riesgos ad hoc. Evidentemente, los resultados ad hoc se incorporarán en el proceso formal según resulte adecuado. La plantilla de discusión de riesgos incluida en la sección Herramientas de esta guía también se puede utilizar para las evaluaciones de riesgos ad hoc. No obstante, es posible que la recopilación de datos sólo requiera investigación en vez de una reunión de los participantes. El equipo de administración de riesgos de seguridad tiene que responder a las preguntas clave de la plantilla, pero las respuestas se pueden hallar en el propio equipo. Por ejemplo, si el equipo intenta comprender los riesgos asociados a los dispositivos móviles, la investigación de la frecuencia de pérdida de dispositivos puede constituir una información necesaria. Esta información también se puede obtener mediante una investigación externa o a través de los equipos de TI responsables del área de servicio. La evaluación de riesgos ad hoc se puede comunicar en un documento estructurado con las siguientes secciones:
•
Resumen ejecutivo. Este resumen debe incluir toda la evaluación y se debe poder extraer de la evaluación de riesgos como un documento independiente.
•
Lista de supuestos relativos al alcance y los objetivos de la evaluación de riesgos ad hoc.
•
Una descripción del activo que se protegerá y su valor para la empresa.
•
Una declaración adecuada, según lo descrito en el proceso de administración de riesgos de seguridad de Microsoft, que responda a las siguientes preguntas:
• ¿Qué se desea evitar que le suceda al activo? • ¿Cómo se puede producir la pérdida o exposición? • ¿Cuál es el alcance de la exposición potencial para el activo? • ¿Qué se está haciendo en la actualidad para minimizar la probabilidad de que se produzca el riesgo o para reducir el impacto si fallan las medidas de protección?
• ¿Cuál es el riesgo global? Incluya una afirmación como "Hay una alta probabilidad de que el ataque consiga poner en peligro la integridad de los activos digitales de valor medio, lo que representa un riesgo alto para la organización".
• ¿Cuáles son las acciones que podrían reducir la probabilidad en el futuro? • ¿Cuál es el riesgo global si se implementan los controles posibles?
Una sola evaluación de riesgos puede contener varios escenarios de amenaza. En el ejemplo de una solución de acceso inalámbrico para invitados, un escenario puede ser el riesgo de que un invitado ataque a otro; un segundo escenario puede ser un ataque externo a uno de los invitados; un tercer escenario puede ser un invitado que haga un uso incorrecto del acceso para realizar un ataque a través de Internet. Debe desarrollar una declaración de riesgo para todos los escenarios aplicables. Cuando se comprenden los riesgos, puede ser suficiente con comunicarlos. También es posible que el resultado deseado sea una declaración de los requisitos funcionales del equipo de administración de riesgos de seguridad. Si se generan requisitos funcionales, se deben asignar a los riesgos específicos a los que se dirigen. Un documento de evaluación de riesgos con requisitos de seguridad funcionales constituye una herramienta eficaz para que la empresa comprenda el riesgo y decida la mejor solución de mitigación.
Guía de administración de riesgos de seguridad Apéndice B: Activos comunes del sistema de información Publicado: 15/10/2004
En este apéndice se enumeran los activos del sistema de información que se encuentran habitualmente en organizaciones de varios tipos. Esta lista no pretende ser exhaustiva y es improbable que represente todos los activos del entorno único de su organización. Por lo tanto, es importante que personalice la lista durante la fase de evaluación de riesgos de su proyecto. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organización a empezar. Tabla B.1: Activos comunes del sistema de información Clase de activo
Entorno de TI global
Nombre del activo
Clasificación de activo
Máximo nivel de
Definición de siguiente
Clasificación de valor
descripción del activo
nivel (si es necesario)
de activo, consulte la ficha Definición de grupo (1-5)
Tangible
Infraestructura física
Centros de datos
5
Tangible
Infraestructura física
Servidores
3
Tangible
Infraestructura física
Equipos de escritorio
1
Tangible
Infraestructura física
Equipos móviles
3
Tangible
Infraestructura física
PDA
1
Tangible
Infraestructura física
Teléfonos móviles
1
Tangible
Infraestructura física
Software de aplicación
1
de servidor Tangible
Infraestructura física
Software de aplicación
1
de usuario final Tangible
Infraestructura física
Herramientas de
3
desarrollo Tangible
Infraestructura física
Enrutadores
3
Tangible
Infraestructura física
Conmutadores de red
3
Tangible
Infraestructura física
Equipos de fax
1
Tangible
Infraestructura física
PBX
3
Tangible
Infraestructura física
Medios extraíbles (por
1
ejemplo, cintas, disquetes, CD-ROM, DVD, discos duros portátiles, dispositivos de almacenamiento PC
Clase de activo
Entorno de TI global
Nombre del activo
Clasificación de activo
Card, dispositivos de almacenamiento USB, etc.) Tangible
Infraestructura física
Tangible
Infraestructura física
Fuentes de alimentación
3
Sistemas de
3
alimentación ininterrumpida Tangible
Infraestructura física
Sistemas contra
3
incendios Tangible
Infraestructura física
Sistemas de aire
3
acondicionado Tangible
Infraestructura física
Sistemas de filtrado de
1
aire Tangible
Infraestructura física
Otos sistemas de control
3
medioambiental Tangible
Datos de intranet
Código fuente
5
Tangible
Datos de intranet
Datos recursos humanos
5
Tangible
Datos de intranet
Datos financieros
5
Tangible
Datos de intranet
Datos de publicidad
5
Tangible
Datos de intranet
Contraseñas de
5
empleados Tangible
Datos de intranet
Claves de cifrado
5
privadas de empleado Tangible
Datos de intranet
Claves de cifrado de
5
sistema informático Tangible
Datos de intranet
Tarjetas inteligentes
5
Tangible
Datos de intranet
Propiedad intelectual
5
Tangible
Datos de intranet
Datos de requisitos
5
normativos (GLBA, HIPAA, CA SB1386, Directiva de protección de datos de UE, etc.) Tangible
Datos de intranet
Números de seguridad social de empleados de EE.UU.
5
Clase de activo
Entorno de TI global
Nombre del activo
Clasificación de activo
Tangible
Datos de intranet
Números de licencia de
5
conducir de empleados Tangible
Datos de intranet
Planes estratégicos
3
Tangible
Datos de intranet
Informes de crédito al
5
consumo de los clientes Tangible
Datos de intranet
Registros médicos de los
5
clientes Tangible
Datos de intranet
Identificadores
5
biométricos de los empleados Tangible
Datos de intranet
Datos de contacto de
1
negocios de empleados Tangible
Datos de intranet
Datos de contacto
3
personales de empleados Tangible
Datos de intranet
Tangible
Datos de intranet
Datos de pedidos
5
Diseño de infraestructura
3
de red Tangible
Datos de intranet
Tangible
Datos de intranet
Sitios Web internos
3
Datos etnográficos de
3
empleados Tangible
Datos de extranet
Datos de contratos con
5
socios Tangible
Datos de extranet
Datos financieros de
5
socios Tangible
Datos de extranet
Datos de contacto de
3
socios Tangible
Datos de extranet
Aplicación de
3
colaboración con socios Tangible
Datos de extranet
Claves de cifrado de
5
socios Tangible
Datos de extranet
Informes de crédito de
3
socios Tangible
Datos de extranet
Datos de pedidos de socios
3
Clase de activo
Entorno de TI global
Nombre del activo
Clasificación de activo
Tangible
Datos de extranet
Datos de contratos con
5
proveedores Tangible
Datos de extranet
Datos financieros de
5
proveedores Tangible
Datos de extranet
Datos de contacto de
3
proveedores Tangible
Datos de extranet
Aplicación de
3
colaboración con proveedores Tangible
Datos de extranet
Claves de cifrado de
5
proveedores Tangible
Datos de extranet
Informes de crédito de
3
proveedores Tangible
Datos de extranet
Datos de pedidos de
3
proveedores Tangible
Datos de Internet
Aplicación de ventas de
5
sitio Web Tangible
Datos de Internet
Datos de publicidad de
3
sitio Web Tangible
Datos de Internet
Datos de tarjeta de
5
crédito de clientes Tangible
Datos de Internet
Datos de contacto de
3
clientes Tangible
Datos de Internet
Claves de cifrado
1
públicas Tangible
Datos de Internet
Notas de prensa
1
Tangible
Datos de Internet
Notas del producto
1
Tangible
Datos de Internet
Documentación de
1
producto Tangible
Datos de Internet
Materiales de cursos
3
Intangible
Reputación
5
Intangible
Buena voluntad
3
Intangible
Moral de empleados
3
Intangible
Productividad de
3
Clase de activo
Entorno de TI global
Nombre del activo
Clasificación de activo
Correo
3
empleados Servicios de TI
Mensajería
electrónico/programación (por ejemplo, Microsoft® Exchange) Servicios de TI
Mensajería
Mensajería instantánea
1
Servicios de TI
Mensajería
Microsoft Outlook® Web
1
Access (OWA) Servicios de TI
Infraestructura básica
Microsoft Active
3
Directory® Servicios de TI
Infraestructura básica
Sistema de nombres de
3
dominio (DNS) Servicios de TI
Infraestructura básica
Protocolo de
3
configuración dinámica de host (DHCP) Servicios de TI
Infraestructura básica
Herramientas de
3
administración empresarial Servicios de TI
Infraestructura básica
Uso compartido de
3
archivos Servicios de TI
Infraestructura básica
Almacenamiento de
3
datos Servicios de TI
Infraestructura básica
Acceso telefónico remoto
3
Servicios de TI
Infraestructura básica
Telefonía
3
Servicios de TI
Infraestructura básica
Acceso a red privada
3
virtual (VPN) Servicios de TI
Infraestructura básica
Servicio de nombres de
1
Internet de Microsoft Windows® (WINS) Servicios de TI
Otra infraestructura
Servicios de colaboración (por ejemplo, Microsoft SharePoint™)
1
Guía de administración de riesgos de seguridad Apéndice C: Amenazas comunes Publicado: 15/10/2004
En este apéndice se enumeran las amenazas que probablemente pueden afectar a una amplia gama de organizaciones. La lista no es exhaustiva y, debido a que es estática, no estará actualizada. Por lo tanto, es importante que quite las amenazas que no son relevantes para su organización y agregue las identificadas recientemente durante la fase de evaluación de riesgos de su proyecto. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organización a empezar. Tabla C.1: Amenazas comunes Amenaza
Ejemplo
Descripción de alto nivel de la amenaza
Ejemplo específico
Incidencia catastrófica
Incendio
Incidencia catastrófica
Inundación
Incidencia catastrófica
Terremoto
Incidencia catastrófica
Tormenta intensa
Incidencia catastrófica
Ataque terrorista
Incidencia catastrófica
Altercados/disturbios civiles
Incidencia catastrófica
Corrimiento de tierras
Incidencia catastrófica
Avalancha
Incidencia catastrófica
Accidente industrial
Error mecánico
Corte del suministro eléctrico
Error mecánico
Error de hardware
Error mecánico
Interrupción de la red
Error mecánico
Error de los controles medioambientales
Error mecánico
Accidente de construcción
Persona benigna
Empleado desinformado
Persona benigna
Usuario desinformado
Persona malintencionada
Pirata informático
Persona malintencionada
Criminal informático
Persona malintencionada
Espionaje industrial
Persona malintencionada
Espionaje patrocinado por el gobierno
Persona malintencionada
Ingeniería social
Amenaza
Ejemplo
Persona malintencionada
Empleado actual descontento
Persona malintencionada
Empleado antiguo descontento
Persona malintencionada
Terrorista
Persona malintencionada
Empleado negligente
Persona malintencionada
Empleado deshonesto (sobornado o víctima de chantaje)
Persona malintencionada
Código móvil malintencionado