Guía de administración de riesgos de seguridad
Información general
Los clientes pueden verse desbordados al intentar llevar a cabo para la administración de riesgos de seguridad. Esto probablemente se debe a que no disponen de expertos internos, recursos presupuestarios ni directrices para la subcontratación. Con el fin de ayudar a estos clientes, Microsoft ha desarrollado la Guía de administración de riesgos de seguridad.
Esta guía ayuda a los clientes de todos los tipos a planear, crear y mantener un programa de administración de riesgos de seguridad de forma correcta. En un proceso de cuatro fases, que se describe a continuación, en la guía se explica cómo llevar a cabo cada fase del programa de administración de riesgos y cómo crear un proceso continuo para medir y llevar los riesgos de seguridad a un nivel aceptable.
Esta guía resulta agnóstica en lo que a tecnología se refiere y en ella se hace referencia a numerosos estándares aceptados por el sector para la administración de riesgos de seguridad. Constituye un ejemplo importante del compromiso de Microsoft en ofrecer orientación de calidad para ayudar a los clientes a proteger sus infraestructuras de tecnología de la información (TI). En esta guía se incorporan experiencias reales del departamento de TI de Microsoft así como de clientes y socios de Microsoft.
Esta guía consta de seis capítulos y cuatro apéndices.
En esta página
Capítulo 1:Introducción a la Guía de administración de riesgos de seguridad
En el capítulo 1se presenta la Guía de administración de riesgos de seguridad (GARS) y se ofrece una breve descripción de los capítulos posteriores. También proporciona información acerca de las siguientes cuestiones:
| • | Claves para tener éxito con un programa de administración de riesgos de seguridad |
| • | Términos y definiciones clave |
| • | Convenciones de estilo de los documentos |
| • | Referencias para obtener más información |
Capítulo 2: Estudio de prácticas de administración de riesgos de seguridad
En el capítulo 2 se establecen las bases y se proporciona el contexto de la GARS mediante la revisión de otros enfoques de la administración de riesgos de seguridad y consideraciones relacionadas, incluido el modo de determinar el nivel de madurez de administración de riesgos de su organización.
Capítulo 3: Información general acerca de la administración de riesgos de seguridad
En el capítulo 3 se proporciona un análisis más detallado de las cuatro fases de la GARS a la vez que se presentan algunos de sus conceptos importantes y claves para el éxito. En el capítulo también se ofrece orientación con el fin de prepararse para el programa mediante el planeamiento eficaz y se recalca especialmente la creación de un equipo de administración de riesgos de seguridad que tenga bien definidas las funciones y las responsabilidades.
Capítulo 4: Evaluación del riesgo
En el capítulo 4se trata en detalle la primera fase, la evaluación del riesgo. Los pasos de esta fase incluyen el planeamiento, la recopilación de datos y la asignación de prioridades a los riesgos. Dicha asignación consta de niveles de resumen y de detalle, equilibrio de los enfoques cualitativos y cuantitativos para ofrecer una información de riesgos confiable con un equilibrio razonable de tiempo y esfuerzo. El resultado de la fase de evaluación de riesgos lo constituye una lista de riesgos importantes junto con un análisis detallado que el equipo puede utilizar para tomar decisiones de negocio durante la siguiente fase del proceso.
Capítulo 5: Apoyo a la toma de decisiones
En el capítulo 5 se trata la segunda fase, el apoyo a la toma de decisiones. Durante esta fase, los equipos determinan el modo en que afrontan los riesgos clave de una manera más eficaz y económica. Los equipos identifican los controles, estiman los costos, evalúan la reducción del nivel de riesgo y, finalmente, determinan los controles que se deben implementar. El resultado de la fase de apoyo a la toma de decisiones es un plan claro y aplicable para controlar o aceptar cada uno de los riesgos principales identificados en la fase de evaluación de riesgos.
Capítulo 6: Implementación de controles y medición de la efectividad del programa
En el capítulo 6 se tratan las dos fases finales de la GARS: la implementación de controles y la medición de la efectividad del programa. Durante la fase de implementación de controles, los responsables de mitigación crean y ejecutan planes en función de la lista de soluciones de control surgida durante el proceso de apoyo a la toma de decisiones.
Una vez finalizadas las tres primeras fases del proceso de administración de riesgos de seguridad, las organizaciones deben valorar su progreso con respecto a dicha administración como un conjunto. La fase final, medición de la efectividad del programa, introduce el concepto de un "cálculo de riesgos de seguridad" como ayuda para este proceso.
Apéndices
Los apéndices son:
| • | Apéndice A: Evaluaciones de riesgos ad hoc |
| • | Apéndice B: IActivos comunes del sistema de información |
| • | Apéndice C: Amenazas comunes |
| • | Apéndice D: Vulnerabilidades |