Haga clic aquí para instalar Silverlight*
EspañaCambiar|Todos los sitios de Microsoft
Microsoft
|Suscripción CD/DVD|Boletín|Internacional|Suscríbase|Mapa del Web|Contacte con nosotros
Buscar


Disciplina de administración de riesgos de seguridad

Actualizado:
En esta página
Descripción del móduloDescripción del módulo
ObjetivosObjetivos
Marco de aplicaciónMarco de aplicación
Uso del móduloUso del módulo
IntroducciónIntroducción
Prácticas de administración de riesgos de seguridad y de marco de seguridadPrácticas de administración de riesgos de seguridad y de marco de seguridad
Marco de administración de riesgos de seguridadMarco de administración de riesgos de seguridad
Disciplina de administración de riesgos de seguridadDisciplina de administración de riesgos de seguridad
Seguimiento, planeamiento, programación y notificación de los riesgos de seguridadSeguimiento, planeamiento, programación y notificación de los riesgos de seguridad
Desarrollo de las soluciones de riesgos de seguridadDesarrollo de las soluciones de riesgos de seguridad
Pruebas de soluciones de seguridadPruebas de soluciones de seguridad
Adquisición de conocimiento sobre la seguridadAdquisición de conocimiento sobre la seguridad
ResumenResumen
Información adicionalInformación adicional

Descripción del módulo

En este módulo se describe una metodología probada sobre el análisis y la administración de riesgo. Utiliza Microsoft® Solutions Framework (MSF) y Microsoft Operations Framework (MOF) para proporcionar consejo y asesoramiento acerca del establecimiento de una directiva de administración de seguridad en su organización. Mediante una identificación, categorización y cuantificación correctas de los riesgos, podrá tomar la decisión más adecuada y rentable para proteger su entorno. También podrá integrar el desarrollo de la directiva y procedimiento de seguridad al ciclo de vida del desarrollo de su infraestructura de tecnología de la información (TI).

Objetivos

Utilice este módulo para:

Identificar y cuantificar los riesgos del entorno.

Identificar y cuantificar el valor de los activos de la organización.

Utilizar estos valores cuantificados para identificar las actividades más adecuadas y rentables necesarias para proteger el entorno.

Definir y administrar una directiva formal de administración de riesgos de seguridad.

Integrar la administración de riesgos de seguridad al ciclo de vida de la infraestructura de TI.

Definir los procesos para desarrollar pericia en la administración de riesgos de la organización a través de iteraciones del ciclo de administración de riesgo.

Marco de aplicación

Este módulo se aplica a los siguientes productos y tecnologías:

Toda la infraestructura de TI

Uso del módulo

Utilice este módulo para obtener una orientación del desarrollo e integración de una directiva formal de administración de riesgos de seguridad adecuada para su organización.

Para aprovechar al máximo este módulo:

Lea el módulo"Definición del panorama de seguridad de Windows 2000", antes del módulo actual. Introduce la terminología usada en este módulo y ofrece una descripción general de los problemas de seguridad.

Después de leer este módulo, consulte los recursos enumerados en la sección "Más información" al final del módulo para obtener más información sobre problemas específicos.

Introducción

La información de este módulo se basa en prácticas probadas de metodologías de análisis de seguridad en uso en la actualidad que emplean Microsoft Solutions Framework (MSF) y Microsoft Operations Framework (MOF). MSF ofrece orientación en las fases de planeamiento, creación, estabilización e implementación del ciclo de vida del proyecto en las áreas de arquitectura de la empresa e implementación de la infraestructura. MOF proporciona asesoramiento acerca de cómo desarrollar o mejorar los sistemas de administración con relación a las operaciones de tecnología de la información (TI). Para obtener más información acerca de MSF o MOF, consulte la sección "Más información" al final de este módulo.

En el módulo se definen los tres procesos de orientación principales: la Disciplina de administración de riesgos de seguridad (DARS) y el Marco de riesgo de seguridad en lo que respecta a las actividades de administración de riesgo que se producen durante el ciclo de vida de un proyecto de seguridad.

Existen tres procesos principales que una organización puede seguir para definir las acciones que debe realizar con el fin de ser y conservarse segura. A continuación, se describen estos procesos principales a un nivel superior.

1.

Evaluación
Esta fase implica la reunión de información pertinente del entorno de la compañía para evaluar la seguridad. Se deben obtener datos suficientes que permitan analizar de forma eficaz el estado actual del entorno y determinar el grado de protección de los activos de información de la organización ante posibles amenazas. Además de la evaluación de la seguridad, posteriormente se creará un plan de acción de seguridad para ejecutarlo durante el proceso de implementación.

2.

Desarrollo e implementación
Esta fase se centra en la ejecución de un plan de acción de seguridad para implementar los cambios recomendados en el entorno, definidos en la evaluación. Además de este plan de acción, se desarrolla el plan de contingencias de riesgo de seguridad.

3.

Operación
Esta fase incluye la aplicación de modificaciones y actualizaciones al entorno necesarias para mantenerlo seguro. Durante los procesos operativos se llevan a cabo pruebas de infiltración y estrategias de respuesta a incidentes, que ayudan a solidificar los objetivos de implementación de un proyecto de seguridad en la organización. En estos procesos se realizan también las actividades de auditoría y supervisión para mantener la infraestructura intacta y segura.

Prácticas de administración de riesgos de seguridad y de marco de seguridad

Mientras se ejecuta el plan de seguridad, se llevan a cabo dos tipos de actividades de administración de riesgo durante el ciclo de vida del proyecto. La primera es administrar el riesgo inherente al propio proyecto y la segunda es administrar el riesgo asociado a los componentes de seguridad. Los riesgos del proyecto se evalúan sólo durante el ciclo de vida del proyecto, mientras que los riesgos de seguridad se deben evaluar durante el ciclo de vida completo de la solución o el sistema. La disciplina de administración de riesgo MSF sirve como base para la administración de riesgos de las evaluaciones de los proyectos y de la seguridad. Se realizará una descripción más detallada de los ejemplos preceptivos de la administración de riesgos de seguridad en el módulo "Aplicación de la Disciplina de administración de riesgos de seguridad" de esta guía.

En esta guía se define la Disciplina de administración de riesgos de seguridad (DARS), que deriva de la Disciplina de administración de riesgo (DAR) MSF. Para distinguir claramente las dos actividades, DAR pertenece al contexto del riesgo de proyecto, mientras que DARS hace referencia a la actividad de evaluación de riesgos de seguridad. La DAR se usa como herramienta principal para el desarrollo de la DARS.

Los procesos de DAR y DARS recomiendan un enfoque preventivo, una evaluación continua del riesgo y una integración en la toma de decisiones durante todo el proyecto y funcionamiento del entorno.

La seguridad del sistema informático se debe realizar de forma preventiva y continua para garantizar la seguridad de los activos de información y supervisar nuevas amenazas y vulnerabilidades. Siempre que se agreguen funcionalidades nuevas a la infraestructura de tecnología de la organización deberá tomarse en cuenta la seguridad de la información. Además, es posible que algunos procesos y procedimientos empresariales deban alterarse para operar en el entorno modificado y proporcionar protección a los activos de información nuevos.

Los nueve pasos de la Disciplina de administración de riesgos de seguridad son:

Evaluación

1.

Evaluación y valoración del activo

2.

Identificación de los riesgos de seguridad

3.

Análisis y ordenación según prioridad de los riesgos de seguridad

4.

Seguimiento, planeamiento y programación de los riesgos de seguridad

Desarrollo e implementación

5.

Desarrollo de las soluciones de seguridad

6.

Pruebas de las soluciones de seguridad

7.

Obtención de información sobre seguridad

Operación

8.

Reevaluación de los riesgos de seguridad y los activos nuevos y cambiados

9.

Estabilización e implementación de contramedidas nuevas o cambiadas

Estos pasos se incorporan en la DARS como las tres fases principales de evaluación, implementación y operación.

Evaluación

En las secciones siguientes se proporcionan tareas de evaluación empresarial como base para iniciar un análisis de seguridad. La evaluación y valoración del activo son los primeros pasos para el análisis de la seguridad puesto que es necesario conocer el estado actual antes de evaluar los posibles riesgos. El proceso de análisis de seguridad es un conjunto de estrategias que permiten determinar los activos del entorno que conviene proteger, así como la prioridad de seguridad que recibirán.

Evaluación y valoración del activo

La evaluación del activo es el valor que se da a la información relacionada con las partes involucradas y el esfuerzo que ha supuesto el desarrollo de esta información. La valoración hace referencia a lo que cuesta mantener un activo, es decir, lo que costaría si se perdiera o destruyera y el beneficio que se conseguiría si otra parte obtuviera esta información. El valor de un activo debe reflejar todos los costes identificables que supondría el deterioro real del activo.

Identificación de los riesgos de seguridad

La identificación de los riesgos de seguridad permite a los miembros del equipo del proyecto buscar ideas nuevas y determinar posibles riesgos de seguridad. La información que se recopila se basa en amenazas, vulnerabilidades, explotaciones y contramedidas.

Análisis de los riesgos de seguridad

El análisis de los riesgos de seguridad se utiliza para examinar los posibles ataques, herramientas, métodos y técnicas que permiten explotar una posible vulnerabilidad. Se trata de un método de identificación de riesgos y evaluación de posibles daños que podrían producirse para justificar las salvaguardas de seguridad.

Un análisis de este tipo presenta tres objetivos principales: identificar riesgos, cuantificar la repercusión de posibles amenazas y proporcionar un balance económico entre el efecto del riesgo y el coste de la contramedida. Se recopila información para calcular el nivel de riesgo de modo que el equipo pueda tomar decisiones razonables y centrar todos los esfuerzos en la solución de los riesgos de seguridad.

Este análisis se utiliza posteriormente para dar prioridad a los riesgos de seguridad y permitir a la organización asignar recursos con los que se solucionarán los problemas de seguridad más importantes.

Un análisis de riesgo permite integrar los objetivos del programa de seguridad en los objetivos y requisitos comerciales de la compañía. Cuanto más coordinados resulten los objetivos comerciales y los de seguridad, más fácil será cumplirlos.

Asimismo, el análisis permite a la compañía preparar un presupuesto adecuado del programa de seguridad y los componentes de seguridad que constituyen ese programa. Una vez que haya determinado el valor de los activos de la compañía y las posibles amenazas a las que están expuestos, podrá tomar decisiones acertadas sobre el dinero que deberá destinarse a la protección de esos activos.

Seguimiento, planeamiento y programación de los riesgos de seguridad

La fase de seguimiento, planeamiento y programación de los riesgos de seguridad toma la información obtenida del análisis de riesgos de seguridad y la utiliza para formular estrategias y planes de mitigación y contingencia que los abarque. El objetivo de la programación de los riesgos de seguridad es definir un plan de las diversas estrategias de solución generadas durante la fase de creación del proyecto de seguridad. Esta programación toma en consideración cómo se aprueban y se incorporan los planes de seguridad a la arquitectura de información, además de los procedimientos operativos diarios estándares que deben implementarse.

Desarrollo e implementación

El trabajo que realiza durante el proceso de evaluación permite llevar a cabo el desarrollo e implementación de contramedidas adecuadas. Los resultados de los procesos de evaluación proporcionan una transición fácil hacia la aplicación de la implementación de contramedidas eficaces y estrategias de aprendizaje de seguridad.

Desarrollo de las soluciones a los riesgos de seguridad

El desarrollo de las soluciones a los riesgos de seguridad es el proceso por el que se toman los planes que se han creado en la fase de evaluación y se utilizan para generar una nueva estrategia de seguridad que incluya administración de configuración y revisiones, supervisión y auditoría del sistema, y directivas y procedimientos operativos. Dado que se desarrollan diversas contramedidas, es importante realizar un seguimiento e informe minuciosos de este proceso.

Pruebas de las soluciones a los riesgos de seguridad

Las pruebas de las soluciones a los riesgos de seguridad se realizan después de desarrollar las estrategias de solución, de llevar a cabo los cambios de administración del sistema asociados y de escribir los procedimientos y directivas para determinar su eficacia. El proceso de pruebas permite al equipo considerar el modo de implementar estos cambios en un entorno de producción. Durante dicho proceso, se evalúa la eficacia de las contramedidas para conocer el grado de control del riesgo de seguridad.

Aprendizaje de los riesgos de seguridad

El aprendizaje de los riesgos de seguridad formaliza el proceso de obtención de información acerca de cómo el equipo ha protegido los activos y documenta las vulnerabilidades y las explotaciones que se han identificado. A medida que el departamento de TI tiene conocimiento de información de seguridad nueva, ésta se debe capturar y volver a implementar para optimizar continuamente la eficacia de las contramedidas de seguridad que protegen los activos de la compañía. Por otro lado, las comunidades empresariales deben recibir aprendizaje sobre seguridad a través de cursos o boletines informativos.

Nota: estos pasos deben servir de guía lógica; no es necesario seguirlos en secuencia para solucionar un riesgo de seguridad determinado. A menudo, los equipos de seguridad cambiarán los pasos de análisis, identificación y planeamiento en función de la experiencia que adquieran de los problemas de seguridad, amenazas y vulnerabilidades de sus propios activos de información.

La organización debe definir un proceso formal de administración de riesgo que, a su vez, determinará cómo se inician y evalúan las contramedidas de seguridad y en qué circunstancias deben ocurrir las transiciones entre los distintos pasos de los individuos o grupos de riesgos de seguridad.

Operación

Los ciclos operativos sólidos y coherentes brindan al equipo de seguridad un mecanismo que proporciona resultados confiables y predecibles. Si el proceso de evaluación se ejecuta al principio del proyecto de seguridad, los equipos sabrán cómo volver a evaluar los activos nuevos y modificados de la empresa. De esa forma, el proceso de estabilización e implementación de contramedidas nuevas o cambiadas ante los activos nuevos y modificados se convierte en una operación corporativa diaria.

Reevaluación de los riesgos de seguridad y los activos nuevos y cambiados

Estos son fundamentalmente procesos de administración de cambios, por los que también se ejecuta la administración de configuración de seguridad. De este modo, la ejecuta la administración cuando se llevan a cabo las contramedidas y directivas de seguridad nuevas.

Estabilización e implementación de contramedidas nuevas o cambiadas

En la fase de operación, los equipos de administración de sistemas, de seguridad y de la red administran estos procesos. La supervisión de servicios, control de servicios y programación de trabajos son procesos adicionales de la fase de operación mediante los que los administradores de seguridad ejecutan contramedidas nuevas y mejoradas.

Servicio de atención al cliente sobre seguridad, administración de incidentes y aprendizaje de administración de problemas

En la fase de asistencia, los grupos operativos de la organización de TI contribuyen a la seguridad del entorno mediante una administración de seguridad sólida del servicio de atención al cliente sobre seguridad, la administración de incidentes controlados y de solicitud de un nivel de asistencia superior.

Administración financiera, del nivel de servicio y de disponibilidad

MSF y MOF son prácticas probadas que permiten desarrollar, implementar y mantener un programa de administración de seguridad sólido. La utilización correcta de estas prácticas probadas permite la creación de un entorno que proporciona integridad, confidencialidad y disponibilidad de recursos.

La administración de seguridad se optimiza mediante una gestión sólida de las administraciones de nivel de servicio, administración financiera, de la comunidad de servicio, de disponibilidad, de capacidad y del personal.

Marco de administración de riesgos de seguridad

Descripción general

El marco utiliza el modelo de proceso MSF y describe una secuencia de alto nivel de actividades para la creación e implementación de las soluciones de seguridad de TI. En lugar de recomendar una determinada serie de procedimientos, el marco es lo suficientemente flexible como para incorporar una amplia gama de procesos de TI. El modelo de proceso abarca el ciclo de vida de una solución desde el inicio del proyecto hasta la implementación activa.

Figura 1
Etapas del modelo de proceso de seguridad

El modelo de proceso MSF se puede usar para desarrollar aplicaciones de software e implementar tecnología de infraestructura. Este modelo sigue un ciclo iterativo diseñado para abordar cambios de los requisitos de proceso en ciclos de desarrollo cortos y versiones incrementales de la solución. Esto es posible gracias a la administración de riesgo continua y los ciclos de pruebas.

En cada etapa del proceso se formulan y se contestan o se comentan muchas preguntas clave sobre el proyecto como, por ejemplo: ¿El equipo está de acuerdo con el ámbito del proyecto? ¿El equipo se ha planificado lo suficiente para poder continuar? ¿El equipo ha creado lo que dijo que iba a crear? ¿La solución funciona correctamente para los clientes y socios de la organización? Se comentan brevemente aquí los siguientes seis procesos principales de un proyecto de seguridad asociado con la ilustración anterior.

1.

Inicio de la definición del proyecto
La fase de inicio del proyecto trata una de las necesidades más fundamentales para el éxito del proyecto de seguridad: la unificación del equipo del proyecto y el programa de seguridad. El proceso de inicio del equipo continúa hasta el perfeccionamiento al final de la fase de inicio. Todos los miembros del equipo deben tener una visión clara de lo que quieren conseguir con una solución de seguridad y de las necesidades del negocio en cuanto a seguridad. Esta fase consiste en identificar el problema del negocio o la oportunidad en la administración de seguridad. Todas las partes que participan en la administración de la seguridad deben definir los objetivos, supuestos y restricciones durante este proceso.

2.

Evaluación y análisis de la seguridad
La evaluación y el análisis de la administración de seguridad son procesos que se llevan a cabo en la fase de planeamiento de la metodología MSF. Estos procesos incluyen evaluación de la organización, valoración de activos, identificación de amenazas, evaluación de la vulnerabilidad y evaluación de riesgos de seguridad. Juntos forman el planeamiento propio de la implementación correcta de una contramedida.

3.

Desarrollo de las soluciones de seguridad
Las entradas de las fases de evaluación de seguridad y análisis crean un medio para el desarrollo de soluciones de seguridad. Durante estos procesos, los programadores trabajan constantemente en el desarrollo, pruebas y validación de las contramedidas para solucionar los riesgos identificados en fases anteriores del proyecto. El equipo de desarrollo prueba de forma unitaria los procesos de desarrollo de las soluciones de seguridad que, además, se evalúan según criterios de calidad.

4.

Prueba de las soluciones de seguridad y de la funcionalidad de los recursos
Los procedimientos de prueba de las soluciones de seguridad y de la funcionalidad de los recursos contienen menos resultados predecibles. Los resultados imprevistos de la prueba de funcionalidad se etiquetan y administran durante la fase de estabilización mediante los procedimientos de prueba. Aunque la fase de creación está basada en planes y especificaciones conocidos, se desconoce el número y la gravedad de los errores que se encontrarán. Microsoft utiliza las técnicas de convergencia de error y devolución de error cero para medir el estado de calidad de la solución y predecir la fecha de lanzamiento durante esta fase.

5.

Directivas de seguridad e implementación de contramedidas
Los procesos de directivas de seguridad e implementación de contramedidas siguen durante toda la fase de desarrollo de la metodología MSF y continúan durante el ciclo de proceso MOF. Este proceso de implementación de contramedidas organiza los tipos de contramedidas y directivas de seguridad en dos clases, principal y de sitio, y los componentes de seguridad respectivos. Los componentes de seguridad específicos principales se encuentran en una ubicación central o clave en la que participa la solución de seguridad completa. Los componentes específicos de sitio se sitúan en ubicaciones individuales que permiten a los usuarios tener acceso y utilizar la solución de seguridad.

6.

Implementación completa
Los conocimientos sobre administración de riesgos de seguridad constituyen un proceso obtenido cerca de la etapa de finalización de la implementación. La captura de las lecciones aprendidas cerca de la implementación proporciona a la solución un estado operativo y cede el proyecto completo al ciclo de proceso MOF.

Para obtener más información sobre los procesos del proyecto de seguridad, consulte la guía de Soluciones de Microsoft para servicios de seguridad.

Creación del equipo para el programa de seguridad

Durante este proceso de evaluación del modelo de proceso MSF, se produce un paso crucial para la seguridad de su entorno, es decir, la creación de un programa de seguridad. El estatuto de este programa de seguridad es determinar los objetivos, ámbito, directivas, prioridades, normas y estrategias para la seguridad total de su organización. Los miembros del programa de seguridad son directivos de la compañía. El grupo de administración de seguridad está compuesto por gerentes de nivel medio y los equipos de información que implementan y administran las directivas que rige el programa de seguridad.

El programa de seguridad se debe desarrollar con un enfoque descendente, lo que significa que el inicio, asistencia y dirección deben provenir de un directivo, pasar después a los gerentes de nivel medio y, por último, el personal. Sin embargo, la asistencia puede producirse en un enfoque de desarrollo y apoyo de las ideas sobre administración de seguridad descendente, ascendente o intermedio. En la actualidad, muchas compañías usan un enfoque ascendente para el desarrollo y la asistencia, donde el departamento de TI desarrolla un plan de seguridad sin una asistencia administrativa y dirección adecuados. Esto puede provocar que el programa de seguridad no esté coordinado con los principales objetivos de la organización.

Los directivos deberían crear un programa de seguridad mediante la asignación de funciones y responsabilidades en la organización, imprescindible para iniciar el programa. La participación de los directivos contribuye a la solidez y evolución del programa a medida que los entornos comerciales y técnicos cambian. La creación de funciones en un programa de seguridad indica que la organización determina la seguridad como parte cohesiva de su empresa, y que no constituye sólo una inquietud.

Además de un programa de seguridad, los directivos deben establecer un grupo de administración de seguridad, directamente responsable de la supervisión de la mayoría de las facetas del programa de seguridad. Generalmente, el programa de seguridad de una organización sirve para desarrollar directivas de seguridad, mientras que el grupo de administración de seguridad aplica y supervisa las configuraciones de seguridad.

Según la organización, las necesidades de seguridad y el tamaño del entorno, la administración de seguridad puede estar compuesta por una persona o un grupo de individuos que trabajen de forma centralizada o descentralizada.

Evaluación

El marco de seguridad para la evaluación de amenazas descrito en el modelo de proceso está diseñado para ayudar a los profesionales de la seguridad a desarrollar una estrategia que permita proteger la disponibilidad, integridad y confidencialidad de los datos en la infraestructura de TI de una organización. Puede resultar interesante para los directivos de recursos de información, agentes de seguridad del sistema y administradores, y de un valor particular para los que tratan de establecer directivas de seguridad del sistema. El marco ofrece un enfoque sistemático a esta tarea importante y, como precaución final, también implica el establecimiento de planes de contingencias en caso de desastre.

Confidencialidad

Es posible que la infraestructura de TI de la organización contenga información que requiera protección contra revelaciones no autorizadas. Algunos ejemplos son la difusión oportuna de información, como un informe de recortes, información personal o información comercial de propietario. La confidencialidad garantiza que la capacidad de proporcionar el nivel necesario de reserva se aplica en todas las fases de procesamiento de datos y evita la revelación no autorizada. Es preciso mantener un nivel sólido de confidencialidad cuando los datos residen en los sistemas y dispositivos de la red, mientras se transmiten y una vez que alcanzan su destino.

Integridad

La infraestructura de TI contiene información que debe protegerse de modificaciones no autorizadas, no anticipadas o involuntarias. Algunos ejemplos son la información de censos, indicadores económicos o sistemas de transacciones financieras. La integridad se mantiene cuando la precisión y la confiabilidad de la información y sistemas están aseguradas, y se previene la modificación de datos no autorizada.

Disponibilidad

La infraestructura de TI contiene información o proporciona servicios que deben estar disponibles oportunamente para cumplir con los requisitos de una misión o para evitar pérdidas considerables como, por ejemplo, sistemas importantes para la seguridad, asistencia durante el ciclo de vida y conectividad continuada de la red. La disponibilidad garantiza la confiabilidad y el acceso rápido a los datos y recursos por parte de los usuarios autorizados.

Los administradores de seguridad deben decidir el tiempo, dinero y esfuerzo que se debe destinar al desarrollo de directivas de seguridad y controles adecuados. La organización debe analizar las necesidades específicas y determinar los recursos, requisitos de programación y restricciones correspondientes. Los sistemas informáticos, entornos y directivas organizativas son diferentes, lo que dificulta la estrategia para garantizar la seguridad de los grupos de equipos de la organización.

A pesar de que la estrategia de seguridad puede ahorrar tiempo a la organización y proporcionar avisos importantes de las acciones que deben realizarse, la seguridad no es una actividad aislada, sino que es una parte integral del ciclo de vida del sistema del entorno. Por lo general, las actividades descritas en este módulo deben actualizarse de revisarse de forma periódica. Dichas modificaciones se realizan cuando las configuraciones u otras condiciones cambian significativamente, o cuando deben cambiarse las normas y directivas corporativas. Se trata de un proceso iterativo que nunca termina y que debe revisarse y probarse periódicamente.

Evaluación organizativa

El establecimiento de un conjunto eficaz de directivas y controles de seguridad requiere la utilización de una estrategia para determinar las vulnerabilidades que existen en los sistemas informáticos y en las directivas y controles de seguridad que los protegen. La revisión debe llevarse a cabo, sobre todo, en las áreas del entorno que no disponen de directivas, además de examinar los documentos de directivas existentes. Además de la revisión de las directivas, el equipo legal de la organización debe garantizar que todas las directivas de seguridad cumplen con la directiva legal de la compañía. Para determinar el estado actual de las directivas de seguridad del sistema, revise la siguiente lista:

Directivas de seguridad físicas del sistema, como controles de acceso físico

Directivas de seguridad de datos (control de acceso y controles de integridad)

Planes y pruebas de contingencias y recuperación tras desastres

Información y aprendizaje de seguridad del sistema

Administración de la seguridad del sistema y directivas de coordinación

Otros documentos de directivas que contienen información importante, por ejemplo:

Contraseñas del sistema básico de entrada y salida (BIOS)

Contraseñas de configuración del enrutador

Documentos de control de acceso

Contraseñas de administración de otros dispositivos

Análisis de amenazas

La creación de una lista de amenazas (la mayoría de las organizaciones puede identificar varias) permite al administrador de seguridad identificar las diversas explotaciones que se pueden usar en un ataque. Es importante que los administradores reciban entrenamiento de forma continua en esta área, puesto que constantemente surgen métodos, herramientas y técnicas nuevas para burlar las medidas de seguridad.

El proceso de análisis de amenazas se describe en la fase de planeamiento de la figura 1 y permite determinar los ataques que pueden esperarse, así como desarrollar formas de defensa. Es imposible prepararse contra todos los ataques; por lo tanto, se recomienda estar preparado contra los ataques más probables. Siempre es mejor prevenir o minimizar los ataques que reparar los daños posteriormente.

Con el fin de minimizar los ataques, es necesario conocer las diversas amenazas que ponen en riesgo a los sistemas, las técnicas correspondientes para poner en peligro los controles de seguridad y las vulnerabilidades que existen en las directivas de seguridad. La determinación de estos tres elementos de los ataques permite predecir su incidencia, o incluso cuándo o dónde se producen. La predicción de un ataque es una cuestión de predecir su probabilidad, lo que depende del conocimiento de sus diversos aspectos. En la siguiente ecuación se expresan los distintos aspectos de un ataque:

Motivos de amenazas + métodos de explotación + vulnerabilidades de los activos = Ataque

Un atacante puede usar diferentes métodos para iniciar el mismo ataque. Por lo tanto, es preciso personalizar la estrategia de seguridad según el método que cada tipo de atacante emplee.

Evaluación de vulnerabilidad

La evaluación de las necesidades de seguridad de la organización debe incluir la determinación de sus vulnerabilidades en relación con las amenazas conocidas. Esta evaluación implica la identificación de los tipos de activos de que dispone la organización y la clase de daño que pueden recibir.

Determinación de posibles daños de un ataque

Los daños posibles a los activos del entorno pueden variar desde problemas técnicos menores del sistema hasta una pérdida catastrófica de datos. El daño causado al sistema dependerá del tipo de ataque. Si es posible, utilice un entorno de prueba o laboratorio para aclarar el daño producido por los distintos tipos de ataques. Esto permitirá al personal de seguridad evaluar con precisión el daño físico. No todos los ataques causan el mismo tipo o grado de daño. A continuación, se indican las pruebas que se pueden realizar:

Una simulación de un ataque de virus por correo electrónico en un sistema de laboratorio, seguido de un análisis para determinar el daño causado y los posibles procedimientos de recuperación necesarios.

Una prueba para determinar si los empleados son susceptibles a los ataques de ingeniería social mediante el intento de obtener un nombre de usuario y contraseña de un empleado desprevenido.

Un simulacro o una recuperación tras un desastre en el centro de datos. Calcule el tiempo de producción perdido y el tiempo que lleva la recuperación.

Una simulación de un ataque producido por un virus. Calcule el tiempo necesario para recuperar un equipo. Este factor de tiempo se puede multiplicar por el número de equipos infectados del sistema para determinar el tiempo de inactividad o la pérdida de productividad.

Asimismo, se recomienda incluir en este proceso un equipo de respuesta a incidentes, porque un equipo tiene más probabilidades que una persona de encontrar todos los diferentes tipos de daño que han ocurrido. Un equipo de esta clase administra la ordenación según la prioridad de los incidentes de seguridad y los pasos de nivel superior para resolverlos.

Determinación de vulnerabilidades o puntos débiles que puede explotar un ataque

Si es posible descubrir las vulnerabilidades que explota un determinado ataque, se podrán alterar las directivas y controles de seguridad o implementar nuevos procedimientos para minimizarlas. La determinación del tipo de ataque, amenaza y método facilita el descubrimiento de las vulnerabilidades. Esto se puede comprobar mediante una prueba de infiltración.

Planeamiento y programación de los riesgos de seguridad

Para cada método de explotación, el plan de seguridad de la organización debe incluir tanto estrategias preventivas como reactivas.

La estrategia preventiva o previa al ataque es un conjunto de pasos que ayudan a minimizar las vulnerabilidades de las directivas de seguridad y a desarrollar planes de contingencias. La determinación del daño que causará un ataque en el sistema y de los puntos débiles y vulnerabilidades explotadas durante el ataque permite el desarrollo de una estrategia preventiva.

La estrategia reactiva o posterior al ataque ayuda al personal de seguridad a evaluar el daño causado por el ataque, repararlo o implementar el plan de contingencias desarrollado en la estrategia preventiva, documentar y aprender de la experiencia, y restablecer las funciones corporativas tan pronto como sea posible.

Estrategia preventiva

La estrategia preventiva es un conjunto de pasos predefinidos que se deben seguir para impedir que los ataques ocurran. Estos pasos incluyen la observación de cómo un ataque puede afectar o dañar el sistema informático y las vulnerabilidades que explotan (pasos 1 y 2). El conocimiento que se obtiene en estas evaluaciones puede ayudar en la implementación de directivas de seguridad que controlarán o minimizarán los ataques. A continuación, se indican los cuatro pasos de la estrategia preventiva:

1.

Determinar el daño que causará el ataque.

2.

Determinar las vulnerabilidades y puntos débiles que explotará el ataque.

3.

Minimizar las vulnerabilidades y puntos débiles determinados para este ataque específico, definidos en los primeros dos pasos.

4.

Determinar el nivel adecuado de contramedidas que deben implementarse.

La realización de estos pasos para analizar cada tipo de ataque producirá un beneficio secundario: Aparecerá un patrón de los factores comunes a distintos ataques. Este patrón puede ser útil en la determinación de las áreas de vulnerabilidad que representan el mayor riesgo para la empresa.

Nota: también es necesario sopesar el coste de perder datos y el coste de implementar los controles de seguridad. La evaluación de estos riesgos y costes forma parte del análisis de riesgo del sistema.

Estrategia reactiva

La estrategia reactiva se implementa cuando la estrategia preventiva para el ataque no ha funcionado. En la estrategia reactiva se definen los pasos que se deben seguir durante o después de un ataque. Ayuda a identificar el daño que causado y las vulnerabilidades que se han explotado en el ataque. Además, una estrategia reactiva permite determinar el motivo del ataque, la reparación del daño y la implementación de un plan de contingencia.

Ambas estrategias, la preventiva y la reactiva, funcionan conjuntamente para desarrollar las directivas y controles de seguridad con el fin de minimizar los ataques y el daño que causan. El equipo de respuesta a incidentes se debe incluir en los pasos durante o después del ataque para ayudar a evaluar, documentar y aprender del suceso.

Los tres pasos siguientes se incluyen en la estrategia reactiva:

1.

Limitar el daño.
La contención del daño causado durante el ataque permite limitar la cantidad de daño adicional. Por ejemplo, si tiene un virus en el entorno, deberá tratar de limitar el daño lo más pronto posible mediante la desconexión de los servidores de la red, aunque todavía no haya determinado el número de servidores afectados. Esto se debe realizar con la mayor rapidez posible.

2.

Evaluar el daño.
Determine el daño causado durante el ataque. Esto se debe efectuar lo más antes posible de modo que la restauración de las operaciones de la organización pueda comenzar rápidamente. Si no se puede evaluar el daño de forma oportuna, se debe implementar un plan de contingencias para que las operaciones empresariales normales y la productividad puedan continuar.

3.

Determinar la causa del daño.
Para determinar la causa del daño es necesario conocer los recursos objetivo del ataque y las vulnerabilidades que se han explotado para interrumpir o tener acceso a los servicios. Revise los registros del sistema y de auditoría y las pistas de auditoría. Normalmente, estas revisiones ayudan a descubrir dónde se ha originado el ataque en el sistema y los demás recursos afectados.

4.

Reparar el daño.
Es de suma importancia que se repare el daño tan pronto como sea posible para así restaurar las operaciones empresariales normales y los datos que se han perdido durante el ataque. Los planes y procedimientos de recuperación tras desastres de la organización deben incluir una estrategia de restauración. El equipo de respuesta a incidentes también debe estar disponible para encargarse del proceso de restauración y recuperación, y para proporcionar una orientación en el proceso de recuperación. Durante este proceso, se ejecutan los procedimientos de contingencias con el fin de evitar una mayor propagación del daño y aislarlo.

Plan de contingencias

Un plan de contingencias es un plan alternativo que se desarrolla en caso de que un ataque se infiltre en el sistema y dañe datos u otros activos, lo que ocasiona la interrupción de las operaciones empresariales normales o una disminución de la productividad. Este plan debe seguirse en caso de que no sea posible restaurar el sistema correctamente. En última instancia, el objetivo es mantener la disponibilidad, integridad y confidencialidad de los datos (el plan de contingencias es equivalente a un "plan B").

Los planes de contingencias se deben crear para abordar los distintos tipos de ataque y amenaza. Cada plan debe contener un conjunto de pasos que deberán seguirse en caso de producirse un ataque. Los planes de contingencias deberán:

Determinar los encargados de llevar a cabo las acciones, así como cuándo y dónde deben realizarse para mantener en funcionamiento la organización.

Ensayar periódicamente para mantener al personal informado de los pasos de contingencia vigentes.

Abarcar la información de restauración de los servidores de copia de seguridad.

Proporcionar programas antivirus actualizados, Service Packs y revisiones.

Efectuar los procedimientos para trasladar los servidores de producción a otra ubicación. Si se dispone de recursos, las réplicas de servidores de producción deben colocarse en ubicaciones de contingencia estratégicas.

Incluir una revisión post mortem de las directivas de seguridad y planes de contingencias vigentes.

En los siguientes puntos se explica resumidamente las diversas tareas de evaluación que se deben llevar a cabo cuando se desarrolla el plan de contingencias:

Evaluar las directivas y controles de seguridad de la organización para aprovechar cualquier oportunidad de minimizar las vulnerabilidades. La evaluación debe abordar el plan de emergencia y los procedimientos vigentes de la organización, y a la correspondiente integración en el plan de contingencias.

Evaluar los procedimientos actuales de respuesta a emergencia y sus efectos en las operaciones empresariales.

Desarrollar respuestas planificadas contra ataques e integrarlas a los planes de contingencias; se debe tener en cuenta hasta qué punto son adecuadas para limitar el daño y minimizar la repercusión de un ataque en las operaciones de procesamiento de datos.

Examinar los procedimientos de copia de seguridad, incluidas la documentación y pruebas de recuperación tras desastres más recientes, con el fin de evaluar su suficiencia e incluir los resultados de las evaluaciones en los planes de contingencias.

Evaluar los planes de recuperación tras desastres para determinar si los pasos que implican son suficientes para proporcionar un entorno operativo temporal o a largo plazo. Los planes de recuperación tras desastres deben incluir pruebas de los niveles de seguridad requeridos de la organización, de modo que el personal de seguridad pueda determinar si pueden continuar aplicando la seguridad en todo el proceso de recuperación, operaciones temporales y el regreso al sitio de procesamiento original de la organización o a uno nuevo.

Redactar un documento detallado que indique los diversos resultados necesarias para realizar las tareas descritas anteriormente. Este documento debe enumerar los elementos siguientes:

Información sobre los escenarios del usuario para probar los planes de contingencias.

Información acerca de la repercusión que las dependencias, como obtención de ayuda desde el exterior de la organización y recursos esenciales, tendrán sobre los planes de contingencias.

Una lista de las prioridades que se han observado en las operaciones de recuperación y las razones para establecerlas.

Información sobre los pasos de nivel superior, de modo que cuando se ejecute un plan de contingencias, para cualquier problema que surja se solicitará un nivel de asistencia superior, es decir, al profesional de TI o de operaciones empresariales más eficaz.

Implementación

Procure no implementar controles que sean muy estrictos, ya que la disponibilidad de información podría transformarse en un problema. Debe haber un equilibrio prudente entre los controles de seguridad y el acceso a la información.

Prueba de ataque simulado

El último paso de una estrategia de seguridad, comprobación y revisión de los resultados de las pruebas, se lleva a cabo después de haber aplicado las estrategias reactiva y preventiva. La realización de ataques simulados en un sistema de prueba o de laboratorio permite evaluar los puntos de las diferentes vulnerabilidades, y redefinir las directivas y controles de seguridad de la organización en consecuencia.

Estas pruebas no se deben realizar en un sistema de producción activo, dado que el resultado podría ser desastroso. Sin embargo, la falta de laboratorios y equipos para pruebas debido a restricciones del presupuesto puede excluir los ataques simulados. Para garantizar los recursos necesarios para realizar las pruebas, es importante que los directivos conozcan los riesgos y consecuencias de un ataque, además de las medidas de seguridad necesarias para proteger el sistema, incluido los procedimientos de prueba. Si es posible, deben probarse físicamente todas las situaciones de un ataque y documentarlas para determinar la implementación de los mejores controles y directivas de seguridad.

Ciertos ataques, como desastres naturales, no se pueden probar, aunque la simulación de la situación será de ayuda. Por ejemplo, se podría simular un incendio en la sala de servidores, en el que se dañarían o se perderían todos los servidores de la misma. Este escenario de desastre puede servir para probar la capacidad de respuesta de los administradores y el personal de seguridad, y para determinar el tiempo que la organización tardará en volver a funcionar.

La redefinición de las directivas y controles de seguridad basado en los resultados de las pruebas es un proceso iterativo. El proceso nunca se termina y se debe evaluar y revisar periódicamente de modo que se puedan implementar mejoras.

Operación

El nivel de asistencia superior y la gestión del problema son puntos fundamentales de un programa de respuesta a incidentes. Al ejecutar correctamente el plan de respuesta a incidentes al principio del proyecto de seguridad, los equipos dispondrán de mayor eficacia para resolver los problemas de la empresa. La documentación de resultados y el aprendizaje a partir del proyecto de seguridad resulta beneficioso para los que se adelantan con la creación de proyectos nuevos. La recopilación de estos tipos de lecciones aprendidas en los procesos operativos facilita las tareas de evaluación, desarrollo e implementación del próximo proyecto de seguridad.

Respuesta a incidencias

Si la organización desea implementar completamente las prácticas más recomendadas de planeamiento de seguridad, será preciso crear un equipo de respuesta a incidentes. Este equipo debe colaborar en los esfuerzos preventivos para garantizar la seguridad del sistema, que son los siguientes:

Desarrollo de directrices de tratamiento de incidentes.

Preparación de pasos y procedimientos para solicitar niveles superiores de la ejecución de la ley para los delitos informáticos.

Identificación de herramientas de software para responder a incidentes y sucesos.

Investigación y desarrollo de otras herramientas de seguridad.

Conducción de actividades de aprendizaje e información.

Investigación sobre virus.

Realización de estudios sobre ataques al sistema.

Estos esfuerzos proporcionarán conocimientos que la organización puede utilizar para tratar los problemas antes y durante los incidentes.

Será preciso contar con un administrador de seguridad que supervise y administre auditorías de seguridad de la organización según sea necesario. Este administrador, una persona o un grupo de personas, deberá ser la autoridad responsable de implementar la directiva de seguridad para un dominio de seguridad. Después de que el administrador de seguridad y el equipo de respuesta a incidentes hayan completado estas funciones preventivas, el administrador debe pasar la responsabilidad del tratamiento de incidentes al equipo de respuesta a incidentes.

Esto no significa que el administrador de seguridad no deba seguir colaborando en el equipo. Sin embargo, es posible que el administrador de seguridad no esté siempre disponible, de modo que el equipo de respuesta a incidentes debe ser capaz de tratar los incidentes por sí mismo. El equipo será responsable de responder a los incidentes y, además, debe colaborar en el análisis de cualquier suceso inusual que pueda comprometer la seguridad de un equipo o de la red.

Documentación y aprendizaje

Es importante documentar un ataque una vez que se haya producido. La documentación debe abarcar todos los aspectos conocidos del ataque, incluido el daño que ha causado el ataque (hardware, software, pérdida de datos, pérdida en la productividad), las vulnerabilidades y puntos débiles que se han explotado durante el ataque, la cantidad de tiempo de producción perdido, los procedimientos que se han realizado para reparar el daño, y el coste de la reparación. La documentación ayudará a modificar las estrategias preventivas para prevenir futuros ataques y minimizar los daños.

Implementación de planes de contingencias

Si ya existen planes de contingencias, se pueden implementar para ahorrar tiempo y contribuir al buen funcionamiento las operaciones empresariales. De lo contrario, se debe desarrollar un plan adecuado basado en la documentación del paso anterior.

Revisión de los resultados y ejecución de simulaciones

Después del ataque o de la defensa contra éste, revise el resultado con respecto al sistema y la estrategia preventiva según la organización. La revisión debe incluir información sobre pérdida de productividad, pérdida de datos o hardware, y el tiempo empleado para recuperar el ataque. Para unos resultados óptimos, las simulaciones deben realizarse en un entorno de prueba, similares al entorno de producción.

Revisión y redefinición de la eficacia de las directivas

Si existen directivas que permitan defender contra ataques que se ha producido, es preciso revisar y comprobar su eficacia. De lo contrario, se deben desarrollar directivas nuevas para minimizar o prevenir ataques futuros.

Cuando la eficacia de las directivas existentes no sea suficiente, se deberán redefinir. El personal directivo relevante, el administrador de seguridad, los administradores de TI y el equipo de respuesta a incidentes deben coordinar las actualizaciones de las directivas. Todas ellas deberán cumplir con las reglas generales y las directrices de la organización. Por ejemplo, supongamos que el horario laboral de la organización es de 8 a.m. a 6 p.m. Se podría actualizar o crear una directiva de seguridad que especificara que los usuarios sólo pueden iniciar sesión en el sistema durante esta franja horaria.

Disciplina de administración de riesgos de seguridad

La información de las siguientes secciones se basa en prácticas probadas de metodologías de análisis de seguridad en uso en la actualidad que emplean MSF y MOF. MSF ofrece orientación en las fases de planeamiento, creación, estabilización e implementación del ciclo de vida del proyecto en las áreas de arquitectura de la empresa e implementación de la infraestructura. MOF proporciona asesoramiento acerca de cómo desarrollar o mejorar los sistemas de administración con relación a las operaciones de tecnología de la información (TI). La Disciplina de administración de riesgos de seguridad (DARS) se define detalladamente y proporciona conocimientos que pueden aplicarse en su entorno. La SRMD es un proceso detallado útil para determinar las amenazas y vulnerabilidades con mayor repercusión posible en una determinada organización

Identificación de los riesgos de seguridad

La identificación de los riesgos de seguridad es el primer paso en la evaluación de la seguridad de la organización. Para administrar el riesgo de seguridad de forma eficaz, debe establecerse claramente de modo que el equipo del proyecto llegue a un consenso y se disponga a analizar las consecuencias y crear un plan de acción para solucionar el riesgo. Aunque el ámbito del riesgo de seguridad está limitado a la tecnología que el equipo del proyecto trata de proteger, la atención del equipo debe ser lo suficientemente amplia como para abordar todas las fuentes de riesgos de seguridad, incluido la tecnología, proceso, entorno y personas.

La práctica del brainstorming es una forma de identificar los riesgos de seguridad; por otro lado, existen muchas fuentes de información sobre problemas de seguridad en Internet. Asimismo, la organización puede disponer de una evaluación de vulnerabilidad o prueba de infiltración que se puede revisar para atacar riesgos de seguridad superficiales.

Objetivos

El objetivo del paso de identificación de los riesgos de seguridad es que el equipo cree una lista de los riesgos de seguridad conocidos que sitúen a los activos de la organización en una posición vulnerable. Esta lista deberá ser lo más completa posible y abarcar todos los aspectos de la arquitectura de la empresa, incluido la tecnología, negocios, personas y estrategias.

La administración de riesgo es un proceso de identificación y análisis de riesgos y de creación de un plan para administrarlos. Un riesgo de seguridad se define como la pérdida esperada debido o como consecuencia de amenazas anticipadas por vulnerabilidades del sistema y la fuerza y determinación de los agentes amenazantes correspondientes.

Entradas

Los pasos de la identificación de riesgos de seguridad incluyen la reunión de conocimientos disponibles acerca de las amenazas, la creación de una lista de métodos y técnicas de explotación actuales, y el análisis de las vulnerabilidades del sistema y directivas que podrían explotarse y dañar los activos de la organización. Las amenazas incluyen cualquier peligro externo posible para la información y sistemas. Las vulnerabilidades son el software, el hardware o los puntos débiles del procedimiento que proporcionan a la amenaza un punto de ataque. Estos riesgos con frecuencia provienen de diferentes ámbitos del entorno de la empresa como, por ejemplo, prácticas empresariales, aplicaciones, datos y arquitectura de la infraestructura.

La experiencia del equipo, el enfoque vigente de la organización hacia el planeamiento de seguridad en forma de directivas, procedimientos, instrucciones, plantillas e información sobre el estado actual de la infraestructura de la tecnología de la organización ayudarán a determinar las entradas para este paso.

El equipo de seguridad se puede basar en las entradas obtenidas de los propios activos o de los resultados de una herramienta que se usa para realizar un análisis de vulnerabilidad o prueba de infiltración. La práctica del brainstorming en grupo, las sesiones facilitadas e incluso los talleres de seguridad para recopilar información sobre las percepciones del equipo y participantes sobre los problemas de seguridad serán útiles para obtener entradas.

Actividades de identificación de riesgos

Durante el paso de identificación de riesgos de seguridad, el equipo deberá indicar o enumerar de forma precisa los problemas de seguridad mediante la declaración concisa de los riesgos a los que se enfrenta la organización. Resulta útil organizar una serie de talleres o sesiones de brainstorming del equipo de seguridad con el objetivo de identificar los riesgos asociados con una nueva situación.

Debido al cambio constante de la tecnología y los entornos, es importante que la identificación de riesgos de seguridad no se considere una actividad aislada, sino que el proceso debe repetirse periódicamente durante el ciclo de vida de las operaciones de la organización.

Enfoque estructurado

El uso de un enfoque estructurado con relación a la administración de riesgos de seguridad es fundamental porque permite que todos los miembros del equipo utilicen un mecanismo sólido para tratar los problemas de seguridad. La clasificación de las amenazas durante este paso es una forma útil de proporcionar un enfoque sólido, reproducible y perceptible.

Clasificación de amenazas

Las clasificaciones de amenazas (también conocidas como categorías o taxonomías) ofrecen varias funciones para un equipo de seguridad. Durante la identificación de riesgos, se pueden utilizar para estimular el pensamiento acerca de los riesgos de seguridad que surgen en diferentes áreas. Durante las sesiones de brainstorming, las clasificaciones también pueden minimizar las complejidades de trabajar con un gran número de amenazas al proporcionar una forma práctica de agrupar las más similares. Asimismo, proporcionan al equipo una terminología común que podrá utilizarse para supervisar e informar del estado de riesgo en todo el proyecto.

Declaración de riesgos de seguridad

Una declaración de riesgos de seguridad es una expresión del lenguaje normal de la relación causal entre el estado de seguridad existente de la organización y un resultado posible que no se ha realizado.

La primera parte de la declaración de riesgos de seguridad se denomina "la condición", en la que se proporciona la descripción de un estado existente o amenaza potencial que el equipo considera que puede causar algún daño. La segunda parte de la declaración de riesgos se denomina "consecuencia", y en ella se describe la pérdida no deseada de confidencialidad, integridad y disponibilidad de un activo.

Las dos declaraciones están unidas por un término como "entonces" o "puede resultar en" que implica una relación no confiable (es decir, menos del 100%) o causal.

A continuación, se proporciona la declaración de riesgos utilizada en esta guía:

SI un agente amenazante usa una herramienta, técnica o método para explotar una vulnerabilidad, ENTONCES una pérdida de (confidencialidad, integridad o disponibilidad) de un activo puede resultar en una repercusión.

Las declaraciones de riesgo de seguridad se desarrollan a través del análisis de riesgos. Existen dos tipos de enfoques de análisis de riesgos: cualitativo y cuantitativo. Ninguno de estos dos enfoques es superior al otro; cada uno de ellos proporciona una herramienta valiosa para la estructuración de las actividades de identificación de riesgos. El enfoque cuantitativo se basa en la información recopilada en el proceso cuantitativo.

Figura 2
Declaración de riesgos de condición seguridad y de consecuencia

En los pasos siguientes se indica de forma detallada cada uno de los procesos de la ilustración anterior:

1.

Definir una declaración de riesgos de condición y de consecuencia para cada amenaza.
Si un agente amenazante da origen a una amenaza y explota una vulnerabilidad, el ataque supone un riesgo. El ataque puede dañar el activo mediante la degradación de la confidencialidad, integridad o disponibilidad. Por consiguiente, el ataque causa una exposición a pérdidas de la compañía. Sin embargo, se pueden aplicar salvaguardas como contramedidas para estas exposiciones.

2.

Asignar una probabilidad de amenaza (PA) (la más baja, 0%; la más alta, 100%). La probabilidad de amenaza es la probabilidad de que un posible agente amenazante se infiltre en el entorno.

3.

Asignar un factor de gravedad (FG) (el más bajo, 1; el más alto, 10). El factor de gravedad es el nivel de explotación potencial de una amenaza a un activo.

4.

Clasificar el esfuerzo (E) (el más bajo, 1; el más alto, 10). El esfuerzo representa las capacidades necesarias para que un atacante saque provecho de la explotación.

5.

Determinar el factor de riesgo (FR). Se trata del factor de gravedad dividido por el esfuerzo.

6.

Determinar el nivel de frecuencia de amenaza mediante la ecuación (PA × FR).

7.

Clasificar el factor de vulnerabilidad (FV) (el más bajo, 1; el más alto, 10). Decida el grado de riesgo que la vulnerabilidad supone para un activo.

8.

Determinar la prioridad del activo (PA) (la más baja, 1; la más alta, 10). Determine la clasificación de prioridad de activos de cada uno de los activos de la compañía según el siguiente criterio. La valoración del activo es un proceso complicado cuya determinación precisa puede llevar mucho tiempo. Para obtener más información sobre la valoración de activos, consulte las referencias sobre este tema al final del módulo. La ordenación de los activos de la organización es fundamental para determinar la cantidad de activos que se pueden proteger con el presupuesto disponible.

Con el fin de facilitar la creación de una lista de los activos ordenados según la prioridad, responda a las siguientes preguntas sobre cada activo en función del entorno de su organización:

¿Cuál es el valor del activo para la compañía?

¿Cuánto cuesta mantener o proteger el activo?

¿Qué ganancias proporciona el activo a la compañía?

¿Cuánto valdría el activo para la competencia?

¿Cuánto costaría volver a crear o recuperar el activo?

¿Cuánto ha costado adquirir o desarrollar el activo?

9.

Determinar el factor de repercusión (FR) mediante la ecuación (FV × PA).

10.

Determinar el factor de exposición (FE) mediante la ecuación (nivel de frecuencia de amenaza × factor de repercusión dividido por 1.000). El factor de exposición se expresa en porcentaje para calcular la expectativa de pérdida individual (EPI) en los pasos que continúan en la tabla 2.

El proceso de formulación que consta de dos partes y permite producir declaraciones de riesgo de seguridad tiene la ventaja de asociar las consecuencias potenciales para un activo con las condiciones que pueden observarse (posiblemente controlables) que existen actualmente en la organización. Existen otros enfoques mediante los que el equipo se centra sólo en la identificación de las condiciones de riesgo de seguridad y que pueden exigir la revisión de la condición de riesgo más adelante, durante el proceso de análisis de los riesgos de seguridad, cuando se creen las estrategias de planeamiento de administración de riesgos de seguridad.

Nota: las declaraciones de riesgo de seguridad no son declaraciones "si-entonces", sino más bien declaraciones de hechos que exploran las consecuencias posibles, aunque no realizadas de un riesgo.

Puede resultar útil considerar declaraciones "si-entonces" hipotéticas para sopesar alternativas y formular planes mediante árboles de decisión. Sin embargo, el objetivo durante la fase de identificación de riesgos de seguridad es simplemente identificar la mayor cantidad de riesgos posible. Postergue el modo de analizarlos y administrarlos más adelante en el proceso.

La declaración de riesgos de seguridad que se ha creado debe incluir condiciones y consecuencias. Como parte de un análisis exhaustivo de los riesgos de seguridad, los miembros del equipo deben buscar similitudes y agrupaciones naturales de las condiciones de los problemas de seguridad, y luego revisar las relaciones de cada una para determinar una causa de origen común. Asimismo, se recomienda revisar las relaciones en dirección descendente desde la causa de origen de la condición una vez se conozca. De ese modo, podrán evaluarse los efectos en los activos fuera de la organización para obtener una mejor apreciación de las pérdidas totales u oportunidades perdidas asociadas a la amenaza de seguridad.

Durante la identificación de los factores de riesgo, no es inusual que la misma condición presente varias consecuencias asociadas. Sin embargo, también puede ocurrir el caso inverso; pueden existir varias condiciones que produzcan todas la misma consecuencia. A veces, la consecuencia de un riesgo de seguridad identificado en un área de la organización se puede convertir en una condición de riesgo en otra. Es preciso registrar estas situaciones de modo que se puedan tomar decisiones adecuadas durante el análisis de los riesgos de seguridad y planeamiento para tener en cuenta las dependencias y relaciones entre los riesgos de seguridad.

Según las relaciones de los riesgos de seguridad de la organización, la mitigación de un riesgo puede resultar en la mitigación de todo un grupo de riesgos dependientes y, de esta forma, cambiar el perfil general de riesgo de la organización. La documentación de estas relaciones al principio de la fase de identificación de riesgos de seguridad puede proporcionar información útil para dirigir un planeamiento de riesgos de seguridad eficaz y flexible, completo y eficiente en la evaluación de recursos para tratar causas de origen o de dirección descendente. Para los riesgos de seguridad más importantes, los beneficios de capturar dicha información adicional en el paso de identificación deben sopesarse avanzando rápidamente por el análisis y ordenación según prioridad posteriores y, a continuación, volviendo a examinar las dependencias y las causas de origen durante la fase de planeamiento.

Valoración de los activos de la organización

La determinación del valor monetario de un activo es una parte importante de la administración de riesgo. A menudo, los administradores comerciales se basan en el valor de un activo como orientación para determinar el dinero y tiempo que se debe invertir para protegerlo. Muchas organizaciones conservan una lista de valores de los activos como parte de los planes de recuperación tras desastres. El siguiente modelo de valoración permitirá a la organización determinar la ordenación según prioridad de los activos según los datos descritos en el paso 8 del análisis cuantitativo.

Para asignar correctamente un valor a un activo, se deben calcular los tres factores principales siguientes:

El valor global del activo en la organización. Calcule o estime el valor del activo en términos financieros directos. Por ejemplo, si dispone de un sitio Web de comercio electrónico que normalmente funciona siete días a la semana, 24 horas al día, y genera un promedio de $2.000 cada hora en ingresos provenientes de los pedidos de los clientes, podrá establecer con seguridad que el valor anual del sitio Web en términos de ingresos por ventas es de $17.520.000.

La repercusión financiera inmediata de la pérdida del activo. Si el mismo sitio Web deja de estar disponible durante seis horas, la exposición calculada es de un 0,000685% anual. Al multiplicar este porcentaje de exposición por el valor anual del activo, podrá predecir que las pérdidas directamente atribuibles en este caso serían de $12.000.

La repercusión empresarial indirecta de la pérdida del activo. En este ejemplo, la compañía calcula que gastará $10.000 en publicidad para contrarrestar la propaganda negativa de un incidente como ese. Por otro lado, la compañía estima una pérdida del 0,01 del 1% de las ventas anuales, es decir $17.520. Al combinar los gastos adicionales en publicidad y la pérdida en ingresos por ventas anuales, podrá predecirse un total de $27.520 de pérdidas indirectas en este caso.

Tabla 1: Ejemplo de valoración del activo

ActivoValorFactor de exposiciónRepercusión directaRepercusión indirecta

Sitio Web de comercio electrónico

$17.520.000 al año

Seis horas al año o el 0,000685

$12,000

$27,520

Por otro lado, debe tenerse en cuenta el valor que este activo supone para la competencia. Por ejemplo, si la competencia puede hacer uso de la información de cliente adquirida previamente de su sitio Web durante el tiempo que éste ha dejado de funcionar, podría perder millones en ingresos comparado con la competencia.

Existen varios métodos y ecuaciones que permitirían realizar un análisis cuantitativo, así como distintas variables para insertar en el proceso. No obstante, a continuación se proporcionan pasos que siguen al paso 10 anterior para obtener un análisis cuantitativo preciso de los riesgos de seguridad:

1.

Determinar la expectativa de pérdida individual (EPI). Se trata de la cantidad total de ingresos que se pierde por una única ocurrencia del riesgo. La EPI es la cantidad en dólares que se asigna a un único suceso que representa la cantidad de pérdida potencial de la compañía, en caso de haberse producido una amenaza específica. Para calcular la EPI, multiplique el valor del activo (VA) por el factor de exposición (FE). La EPI es similar a la repercusión de un análisis de riesgo cualitativo
Determinar la EPI mediante la ecuación (VA × FE).
El factor de exposición representa el porcentaje de pérdida que una amenaza realizada podría suponer para un activo determinado. Si una batería de servidores Web cuenta con un activo de $150.000, y un incendio provoca daños por un valor estimado del 25% de su valor, en este caso la EPI será de $37.500. Esta cifra se deriva para insertarse en la ecuación EPA del paso 3.

2.

Determinar la tasa anual de ocurrencia (TAO). La TAO es la cantidad razonable de veces que se espera que ocurra el riesgo durante el año. Para calcular esta cantidad, recurra a sus experiencias anteriores y consulte a expertos en administración de riesgo, además de asesores comerciales y de seguridad. La TAO es similar a la probabilidad de un análisis de riesgo cualitativo. El intervalo de la TAO comprende el 0% (nunca) al 100% (siempre).
Por ejemplo, si un incendio en la batería de servidores Web de la misma compañía provoca daños valorados en $37.500, y la probabilidad, o TAO, de que ocurra un incendio es de 0,1 (lo que indica una vez cada diez años), entonces el valor de la EPA en este caso es de $3.750 ($37.500 x 0,1 = $3.750).

3.

Determinar la expectativa de pérdida anual (EPA). La expectativa de pérdida anual es la cantidad total de dinero que la organización perderá en un año si no se toman medidas para mitigar el riesgo. Para calcular este valor multiplique la EPI y la TAO. La EPA es similar al intervalo relativo de un análisis de riesgo cualitativo. Determinar la EPA mediante la ecuación (TAO × EPI).
La EPA proporciona un valor con el que la compañía puede trabajar para presupuestar cuánto costará establecer controles o salvaguardas para prevenir este tipo de daño (en este caso, $3.750 o menos al año) y brindar un nivel adecuado de protección. Es importante cuantificar la posibilidad real de un riesgo y el daño, en términos monetarios, que puede causar la amenaza para determinar la cantidad que se debe destinar en la protección contra la posible consecuencia de la amenaza.

4.

Calcular el coste de las contramedidas o salvaguardas mediante la siguiente ecuación:
(EPA antes de la contramedida) - (EPA después de la contramedida) - (coste anual de la contramedida) = valor de la salvaguarda para la compañía (VSC)
Por ejemplo, la EPA de la amenaza de un atacante que desactiva el servidor Web es de $12.000 y, después de implementar la salvaguarda sugerida, el valor de la EPA es $3.000. El coste anual del mantenimiento y funcionamiento de la salvaguarda es de $650, de modo que el valor de esta salvaguarda es de $8.350 al año, como se expresa en la siguiente ecuación: ($12,000 - $3,000 - $650 = $8,350).

Los elementos de entrada de los análisis de riesgo cuantitativos proporcionan objetivos y resultados claramente definidos. A continuación, se proporciona una lista resumida de los aspectos que normalmente se derivan de los resultados de los pasos anteriores:

Valores monetarios asignados del activo.

Una lista completa de amenazas significativas.

La probabilidad de que cada amenaza ocurra.

El potencial de pérdida para la compañía, por amenaza, cada 12 meses.

Salvaguardas, contramedidas y acciones recomendadas.

Resultados

El resultado mínimo de las actividades de identificación de riesgos de seguridad es una declaración precisa, inequívoca y consensuada sobre los riesgos a los que el equipo de seguridad enfrenta, y que se documenta como la lista de problemas de seguridad. Esta lista de problemas, en forma de tabla, es la principal entrada para la siguiente fase del proceso de administración de riesgos de seguridad, el análisis.

A menudo, el paso de identificación de riesgos de seguridad genera una gran cantidad de información adicional útil, incluido la identificación de las causas de origen y efectos descendentes, las partes afectadas, propietarios, etc.

Se considera una buena práctica mantener un registro en forma de tabla de las declaraciones de riesgo de seguridad y la información de la causa de origen y efecto descendente que desarrolla el equipo de seguridad. Asimismo, puede resultar útil la información adicional para clasificar los riesgos de seguridad según la amenaza al emplear la información de riesgos de seguridad para crear o utilizar una base de conocimientos de seguridad, en caso de que exista una taxonomía claramente definida para la organización.

A continuación, se indica la información adicional que el equipo de seguridad puede registrar durante el proceso de identificación de riesgo:

Restricciones

Circunstancias

Supuestos

Factores contribuyentes

Dependencias entre los riesgos de seguridad

Problemas relacionados

Propietarios de activos empresariales

Preocupaciones del equipo

Análisis y ordenación según prioridad de los riesgos de seguridad

El análisis y ordenación según prioridad de los riesgos de seguridad es el segundo paso importante en el proceso de evaluación de la seguridad. El análisis de los riesgos de seguridad implica la transformación de los datos de riesgo de seguridad (amenazas, explotaciones y vulnerabilidades) de modo que faciliten la toma de decisiones. La ordenación según la prioridad de los riesgos de seguridad garantiza que los miembros del equipo de seguridad aborden primero los riesgos de seguridad más importantes.

Durante este paso, el equipo de seguridad examina los elementos de la lista de problemas de seguridad generados en el paso de identificación de los riesgos de seguridad para ordenarlos según la prioridad y crear un plan de acción de seguridad.

Según este plan, el equipo de seguridad de la organización puede usar la lista de problemas de seguridad para programar y asignar recursos para la ejecución de una estrategia específica destinada a administrar los problemas del entorno.

El equipo también puede identificar los problemas de seguridad que presentan una prioridad tan baja, si se da el caso, que pueden eliminarse de la lista. A medida que esta fase de implementación finaliza y cambia el entorno de la organización, es preciso repetir la identificación y el análisis de los riesgos de seguridad con el fin de validar la eficacia del plan de acción de seguridad. Pueden aparecer nuevos riesgos de seguridad y se pueden quitar, descartar o "desactivar" los riesgos de seguridad que carecen de prioridad elevada.

Objetivo

El objetivo principal del paso de análisis de los riesgos de seguridad es ordenar por prioridad los problemas de seguridad del plan de acción de seguridad para así determinar los que justifican la asignación de los recursos de la organización para poder mitigarlos.

Entradas

Durante el proceso de análisis de riesgos, el equipo se basará en su propia experiencia e información derivada de otras fuentes relevantes relacionadas con las declaraciones de riesgo de seguridad. Para obtener información sobre cómo transformar las declaraciones de riesgos de seguridad sin procesar en una lista de riesgos principales ordenada por prioridad, consulte los procedimientos y directivas de seguridad de la organización, bases de datos de seguridad de conocimientos del sector, análisis de vulnerabilidades, simulaciones de seguridad y los propietarios de los activos individuales.

Actividades de análisis de los riesgos de seguridad

Existen varias técnicas cualitativas y cuantitativas para lograr la ordenación por prioridad en un plan de acción de seguridad. Una técnica fácil para el análisis de los riesgos de seguridad es utilizar los cálculos consensuados del equipo derivados de dos componentes de riesgo ampliamente aceptados: la probabilidad y la repercusión. Estos valores estimados se pueden multiplicar para calcular una medida única llamada exposición de riesgo.

Probabilidad de riesgo de seguridad

La probabilidad de riesgo de seguridad permite calcular la posibilidad de que realmente ocurra la situación descrita en la parte sobre la condición de riesgos de la declaración de riesgos de seguridad. La declaración de riesgos puede incluir factores fuera de los intervalos de tiempo y dinero de la compañía, como los descritos en la siguiente parte de la declaración de riesgos:

"SI un agente amenazante usa una herramienta, técnica o método para explotar una vulnerabilidad..."

La amenaza que usa una explotación para aprovecharse de la vulnerabilidad es la parte sobre condición de la declaración de riesgos. Para ciertos tipos de amenazas, es posible que no haya una explotación o una vulnerabilidad conocida, especialmente cuando la amenaza es un desastre natural.

Se recomienda clasificar los riesgos mediante un valor numérico de la probabilidad de riesgo. Si la probabilidad de riesgo de seguridad no es mayor que cero, entonces la amenaza no representa un problema para la seguridad. Si la probabilidad es del 100%, entonces el riesgo de seguridad es una certeza y puede ser un problema conocido.

Las probabilidades son notoriamente difíciles de calcular y aplicar, aunque las bases de datos empresariales e industriales pueden ser útiles para proporcionar cálculos de probabilidades conocidos basados en muestras de grandes cantidades de proyectos. Sin embargo, ya que los equipos de proyecto pueden comunicar sus experiencias mediante el lenguaje normal, puede resultar útil convertir estos términos en intervalos numéricos de probabilidad, como se expresa en la siguiente tabla.

Tabla 2: Probabilidad de riesgo

IntervaloValor de cálculoExpresiónPuntuación

1% a 14%

7%

Extremadamente improbable

1

15% a 28%

21%

Baja

2

28% a 42%

35%

Poco probable

3

43% a 57%

50%

50 – 50

4

58% a 72%

65%

Probable

5

73% a 86%

79%

Muy probable

6

87% a 99%

93%

Casi seguro

7

El valor de probabilidad usado para el cálculo representa el punto medio de un intervalo. Con ayuda de estas tablas de asignación, un método alternativo para cuantificar la probabilidad es convertir el intervalo de probabilidad o una expresión del lenguaje normal acordada por el equipo en una puntuación numérica. Cuando se usa una puntuación numérica para representar un riesgo de seguridad, es necesario utilizar la misma puntuación numérica para todos los riesgos de seguridad para que el proceso de ordenación por prioridad funcione de forma eficaz.

Independientemente de la técnica que se utilice para cuantificar la incertidumbre, el equipo también deberá desarrollar un enfoque para derivar un valor único de la probabilidad de riesgo que represente su visión consensuada en relación con cada uno de los riesgos.

Repercusión de riesgos de seguridad

La repercusión de riesgo es un cálculo de la gravedad de la pérdida debido a los efectos adversos sobre los activos, o la magnitud de una pérdida que provoca, a su vez, la pérdida de confidencialidad, integridad o disponibilidad de un activo. Debe ser una medida directa de la consecuencia de seguridad, tal y como se define en la segunda mitad de la declaración de riesgos de seguridad:

"...ENTONCES una pérdida de (confidencialidad, integridad o disponibilidad) de un activo puede resultar en una repercusión".

La pérdida se puede medir en términos financieros o con una escala de medida subjetiva con respecto al activo. Si todas las repercusiones de riesgos de seguridad pueden expresarse en términos financieros, el uso del valor financiero para cuantificar la magnitud de la pérdida o el coste de la oportunidad presenta la ventaja de resultar familiar a los patrocinadores empresariales. La repercusión financiera podría ser costes a largo plazo en operaciones y asistencia, pérdida de acciones del mercado, costes a corto plazo en trabajo adicional o coste de la oportunidad.

En otras situaciones, se recomienda utilizar una escala subjetiva del 1 al 5 o del 1 al 10 para medir la repercusión de los riesgos de seguridad. Un ejemplo en el que podría usarse una escala subjetiva es cuando el valor neto correspondiente al activo no se puede determinar rápidamente. Siempre y cuando todos los riesgos de seguridad de un plan de acción de seguridad usen las mismas unidades de medida, las técnicas simples de ordenación por prioridad son, por lo general, suficientemente buenas.

Tabla 3: Ejemplo de sistema de puntuación de la pérdida de activos

PuntuaciónPérdida monetaria

1

Menos de $100

2

$100 – $1,000

3

$1,000 – $10,000

4

$10,000 – $100,000

5

$100,000 – $1,000,000

6

$1.000.000 a $10 millones

7

$10 millones a $100 millones

8

$100 millones a $1.000 millones

9

$1.000 millones a $10.000 millones

10

Más de $10.000 millones

El sistema de puntuación para calcular la repercusión variará en función de las organizaciones. Además, deberá reflejar los valores y directivas de la organización. Por ejemplo, una pérdida monetaria de $10.000 será tolerable para un equipo o una organización, pero para otro será inadmisible. Si se puntúa una repercusión catastrófica con un valor artificialmente elevado, como por ejemplo 100, el riesgo en cuestión se colocará y se mantendrá en el primer puesto de la lista de riesgo, aunque su probabilidad sea muy baja.

Exposición a riesgos de seguridad

La exposición a los riesgos mide el riesgo de seguridad global de los activos, mediante la combinación de información que expresa la probabilidad de la pérdida real con la información que indica la magnitud de la pérdida potencial en un solo cálculo numérico. El equipo de seguridad puede luego utilizar la magnitud de la exposición a riesgos para clasificar los problemas de seguridad. En la forma más simple de análisis de riesgo cuantitativo, la exposición a riesgos se calcula multiplicando la probabilidad de riesgo por la repercusión.

Cuando se usan puntuaciones para cuantificar la probabilidad y repercusión, a veces es conveniente crear una matriz que considere las posibles combinaciones de puntuaciones y las asigne a categorías de riesgo baja, mediana y alta. Con una puntuación de probabilidad tripartita, donde 1 es baja y 3 es alta, y una puntuación de repercusión tripartita, donde 1 es baja y 3 es alta, los resultados se pueden expresar en forma de tabla en la que cada celda corresponde a un valor posible de la exposición a riesgos. De este modo, resulta fácil clasificar los riesgos en bajos, medianos y altos de acuerdo con su posición en las franjas diagonales de la puntuación creciente.

Tabla 4: Matriz de puntuación de riesgo

Repercusión de probabilidadBaja = 1Mediana = 2Alta = 3

Alta = 3

3

6

9

Mediana = 2

2

4

6

Baja = 1

1

2

3

Intervalos de exposición: Baja = 1 a 2; Mediana = 3 a 4; Alta = 6 a 9

 

 

 

La ventaja de este formato en forma de tabla es que permite incluir los niveles de riesgos de seguridad en los informes de estado de los patrocinadores y participantes mediante colores (rojo para la zona de riesgo alta en el ángulo superior derecho, verde para el área de riesgo bajo en el ángulo inferior izquierdo, y amarillo para niveles de riesgo medianos a lo largo de la franja diagonal). El uso de una terminología fácil de entender y bien definida mejora la comunicación de estos valores; en este caso, "riesgo alto" es más fácil de comprender que "exposición elevada".

Técnicas cuantitativas adicionales

Puesto que los objetivos del análisis de riesgos de seguridad son ordenar por prioridad los riesgos de seguridad, dirigir un plan de acción de seguridad e impulsar la toma de decisiones con respecto al compromiso de recursos para la administración de seguridad, el equipo de seguridad debe elegir un método para ordenar por prioridad los riesgos que sea adecuado para el proyecto, el equipo y los participantes.

Algunas organizaciones se benefician del uso de técnicas ponderadas de varios atributos como factor en otros componentes que el equipo desea considerar en el proceso de clasificación, como el marco temporal requerido, la magnitud de ganancia de oportunidad potencial, la confiabilidad de los cálculos de probabilidad, y la valoración del activo en términos físicos o de información.

La elección del método o combinación de métodos de análisis de riesgos de seguridad "correctos" depende del equilibrio correcto entre el esfuerzo para llevar a cabo el análisis de seguridad y la elección de prioridades incorrecta o indefendible (para los participantes) en el plan de acción de seguridad. El análisis de riesgos de seguridad se debe emprender para apoyar la ordenación por prioridad que impulsa la toma de decisiones y nunca debe ser un análisis sin ningún objetivo.

Los resultados de enfoques cuantitativos o semicuantitativos de la ordenación por prioridad se deben evaluar en el contexto de directrices empresariales, directivas y procedimientos, datos e infraestructuras de tecnología. Un enfoque semicuantitativo comienza con alguna clase de medidas cuantitativas para permitir a las compañías plantear medidas de seguridad cuantificables.

Resultados

Los análisis de riesgos de seguridad proporcionan al equipo una lista de acción de seguridad ordenada por prioridad como directriz para las actividades de planeamiento de riesgos de seguridad. Normalmente, la información detallada de riesgos de seguridad incluido condiciones, contexto, causas de origen y las medidas usadas en la ordenación por prioridad (probabilidad, repercusión, exposición) se registra para cada riesgo en el formulario de declaración de riesgos, que se describe con mayor detalle más adelante en el módulo.

Lista de los principales riesgos de seguridad

La lista de los principales riesgos de seguridad para los que es necesario crear un plan de acción se define en el plan de acción de seguridad. El plan de acción de seguridad identifica la condición que causa el riesgo de seguridad, el efecto adverso potencial (consecuencia) y el criterio o información utilizado para clasificar el riesgo, como su probabilidad, repercusión y exposición. A continuación, se muestra una lista de ejemplo de los riesgos principales con el enfoque de cálculo de dos factores (probabilidad y repercusión).

Tabla 5: Ejemplo de lista de riesgos principales y ordenación por prioridad

PrioridadCondiciónConsecuenciaProbabilidadRepercusiónExposición

1

Virus que infecta un sitio Web de comercio electrónico

Seis horas para reconstruir el servidor

80%

3

2.4

2

Ninguna norma de codificación para el nuevo lenguaje de programación

Se suministra potencialmente con más vulnerabilidades de seguridad

45%

2

0.9

3

Ninguna especificación por escrito

No se han implementado algunas características de seguridad del producto

30%

2

0.6

La exposición se calcula como probabilidad x repercusión. Repercusión baja = 1, repercusión mediana = 2 y repercusión alta = 3.

La lista de principales riesgos de seguridad es una recopilación de toda la información de la evaluación de los riesgos de seguridad. Es un documento activo que constituye la base para el proceso continuo de administración de riesgos de seguridad y se debe mantener actualizado durante todo el ciclo de vida de la TI, incluido la evaluación, planeamiento, creación, implementación y funcionamiento.

La lista de los principales riesgos de seguridad es un documento fundamental para apoyar la administración de riesgos preventiva y reactiva. Permite al equipo tomar decisiones ya que constituye una base para:

Esfuerzo de ordenación por prioridad.

Identificación de acciones importantes.

Designación de dependencias.

El método que se utiliza para calcular la exposición que representa un riesgo se debe documentar minuciosamente en el plan de administración de riesgos. Además, debe garantizarse que los cálculos capturan con confiabilidad las intenciones del equipo, así como sopesarse la importancia de los distintos factores.

Para identificar las amenazas a los activos, deben realizarse análisis de riesgos. Para cada amenaza que se identifica, se debe crear una declaración de riesgos. Estas declaraciones combinan información sobre una amenaza con información sobre la repercusión de la amenaza, si ocurre.

Tabla 6: Contenido de la lista de los principales riesgos de seguridad

ElementoFinalidadEstado

Declaración de riesgos de seguridad

Riesgo claramente estipulado.

Requerido

Probabilidad

Cuantificar la probabilidad de ocurrencia de la amenaza.

Requerido

Repercusión

Cuantificar la gravedad de la pérdida o magnitud del coste de la oportunidad.

Requerido

Criterios de clasificación

Medida única de importancia.

Requerido

Prioridad (intervalo)

Ordenar por prioridad las acciones.

Requerido

Propietario

Garantizar la continuación de los planes de acción de riesgo.

Requerido

Plan de mitigación

Describir las medidas preventivas.

Requerido

Plan de contingencias y desencadenadores

Describir las medidas correctivas.

Requerido

Causas de origen

Orientar el planeamiento de intervención eficaz.

Requerido

Efectos descendentes

Garantizar cálculos de repercusión apropiados.

Opcional

Contexto

Documentar la información en segundo plano para capturar la intención del equipo en la determinación de los riesgos.

Opcional

Momento para la implementación

Capturar la importancia de que los controles de riesgo se implementen en una franja horaria determinada.

Opcional

Formulario de declaración de riesgos

Al analizar cada uno de los riesgos de seguridad de forma individual, o durante las actividades de planeamiento de seguridad relacionadas con una amenaza, explotación o vulnerabilidad específica, es conveniente visualizar toda la información sobre ese riesgo en una vista de documento, la cual recibe el nombre de formulario de declaración de riesgos de seguridad. Para obtener más información sobre los procesos de un proyecto de seguridad, consulte la guía de Soluciones de Microsoft servicios de seguridad.

Una lista de declaraciones de seguridad generalmente contiene los campos de la lista de principales riesgos de seguridad creada en las fases de identificación y evaluación. Además, es posible agregar información adicional que el equipo necesite durante el proceso de administración de riesgos de seguridad. Puede resultar más fácil considerar la lista de declaraciones de riesgo de seguridad como un documento distinto de la lista de riesgos principales si los riesgos se asignarán a un equipo de seguridad para acciones de seguimiento. A continuación, se indica la información que el equipo debe tener en cuenta al desarrollar un formulario de declaración de riesgos:

Tabla 7: Formulario de declaración de riesgos

ElementoFinalidad

Identificador de riesgos de seguridad

El nombre que el equipo usa para identificar riesgos de forma exclusiva para los procesos de seguimiento y creación de informes.

Fuente de riesgos de seguridad

Amplia clasificación del área subyacente a partir de cual que se origina el riesgo de seguridad. Se emplea para identificar las áreas en las que deben buscarse las causas de origen recurrentes de los riesgos de seguridad.

Condición de riesgos de seguridad (amenaza/explotación)

Frase que describe la condición que puede desencadenar a una pérdida. Constituye la primer parte de una declaración de riesgos de seguridad.

Consecuencias de riesgo (vulnerabilidad/repercusión al activo)

Frase que describe la pérdida que se produciría si un riesgo provoca una consecuencia. Constituye la segunda parte de una declaración de riesgos de seguridad.

Probabilidad de riesgos de seguridad

Probabilidad mayor que cero y menor que 100% que representa la posibilidad de que una condición de riesgo ocurra realmente y provoque una pérdida.

Clasificación de repercusión al activo

Amplia clasificación del tipo de repercusión que podría producir un riesgo.

Exposición del activo

La amenaza general de un riesgo, mediante el equilibrio entre la posibilidad de pérdida real y la magnitud de la pérdida potencial. El equipo usa la exposición de riesgo para valorar y clasificar los riesgos. La exposición se calcula multiplicando la probabilidad de riesgo por la repercusión.

Contexto de riesgo

Párrafo que contiene información adicional en segundo plano que permite clasificar la situación de riesgos de seguridad.

Riesgos de seguridad relacionados

Lista de identificadores de riesgos que el equipo usa para realizar un seguimiento de los riesgos interdependientes.

Lista de riesgos de seguridad más importantes

El análisis de los riesgos de seguridad sopesa la amenaza de cada riesgo de seguridad para ayudar al equipo de seguridad a decidir los problemas por los que deben realizarse acciones. Dado que la administración de seguridad y el planeamiento asociado con ésta restan tiempo y esfuerzo de otras actividades, el equipo de seguridad debe hacer lo que considere absolutamente necesario para proteger los activos más valiosos.

Una técnica simple pero eficaz para supervisar los riesgos de seguridad es crear una lista de los riesgos de seguridad más importantes de los principales problemas de seguridad. Esta lista la podrán visualizar todos los participantes y utilizarla para otros proyectos de TI en curso, en los que la seguridad pueda verse afectada.

La organización debe determinar los riesgos que deben situarse al principio de la lista, en función de varios factores, como el tiempo, recursos y activos. Una vez que se han elegido los principales riesgos de seguridad que se desea administrar, se deben asignar los recursos del equipo para desarrollar planes sobre ellos.

Después de clasificar los riesgos de seguridad, el equipo debe centrarse en una estrategia de administración riesgos de seguridad y en cómo incorporar los planes de acción de seguridad en el plan de evaluación de la seguridad general.

Desactivación de riesgos de seguridad

Los riesgos de seguridad se pueden desactivar o clasificar como inactivos, de modo que el equipo pueda concentrarse en otros problemas que requieren mayor administración preventiva activa. La clasificación de un riesgo de seguridad como inactivo significa que el equipo de evaluación ha decidido que esa amenaza en particular no merece el esfuerzo de seguimiento en ese preciso momento. La decisión de desactivar un riesgo de seguridad se toma durante el análisis de los riesgos de seguridad.

Algunos riesgos de seguridad se desactivan porque su probabilidad de amenaza es efectivamente cero, y es probable que conserven esa valoración ya que presentan condiciones extremadamente improbables. Otros riesgos de seguridad se desactivan porque su repercusión en los activos se sitúa por debajo del umbral, por los que sí se considera necesario planificar una estrategia de mitigación preventiva o de contingencia reactiva. En estos casos, es simplemente más rentable sufrir las consecuencias potenciales de estos riesgos de seguridad.

Puede no ser aconsejable desactivar los riesgos de seguridad situados por encima de este umbral de repercusión del activo aunque su exposición sea baja, a menos que el equipo de seguridad tenga la certeza de que la probabilidad (y, por lo tanto, la exposición) permanecerá baja en todas las circunstancias previsibles. Debe recordarse que la desactivación de un riesgo de seguridad no equivale a la solución del mismo. Un riesgo de seguridad desactivado puede reaparecer en ciertas condiciones y el equipo de seguridad puede optar por volver a clasificar el riesgo como activo y reiniciar las actividades de evaluación de seguridad.

Seguimiento, planeamiento, programación y notificación de los riesgos de seguridad

Los siguientes pasos del proceso son el seguimiento de los riesgos de seguridad que se han identificado en el plan de acción de seguridad y la implementación de un plan, un programa y un proceso de creación de informes para solucionarlos. En función de las prioridades identificadas en el paso previo, el equipo realizará cambios en forma preventiva mediante la modificación de la infraestructura de la tecnología y la implementación de nuevos procedimientos de seguridad y procesos.

Cuando exista un riesgo que no pueda tratarse de forma preventiva, se generará un plan reactivo que se ejecutará cuando se desencadene el evento. Después de crear los planes, se generará un programa de implementación para las modificaciones propuestas. Por último, se asignarán a los miembros del equipo las distintas tareas de solución que deberán abordar.

La programación implica la integración de las tareas requeridas para implementar los planes de acción de seguridad al programa del proyecto de evaluación mediante su asignación al personal y el seguimiento activo de su estado.

La notificación consiste en redefinir riesgos que se han modificado porque el proyecto y los procesos han cambiado de ámbito o de definición. Este tipo de informe también se conoce como administración de cambios de riesgos. La notificación también consiste en acercar los principales riesgos de seguridad de riesgos administrados en el proyecto. La ilustración siguiente describe gráficamente este paso completo.

Figura 3
Seguimiento, planeamiento, programación y notificación de riesgos

Objetivos

El objetivo principal del paso de planeamiento y programación de riesgos de seguridad consiste en desarrollar planes de acción detallados con el fin de controlar los riesgos de seguridad más importantes identificados durante el análisis de los riesgos de la seguridad, para luego integrarlos en los procesos estándares de administración del proyecto y garantizar su ejecución.

Entradas

El planeamiento de riesgos de seguridad debe estar integrado sólidamente en la infraestructura y los procesos estándares de planeamiento del proyecto. Es importante tener en cuenta que existen riesgos asociados al proyecto de evaluación de seguridad; estos riesgos, sin embargo, son distintos de los riesgos de seguridad reales. La implementación de planes de acción de seguridad acarrea riesgos para el proyecto global y debe efectuarse mediante la metodología de la Disciplina de administración de riesgo MSF. Por lo general, los riesgos del proyecto en la implementación del plan de acción de seguridad incluyen tiempo, dinero y recursos.

Las entradas al proceso de planeamiento de riesgo de seguridad incluyen no sólo la lista de riesgos de seguridad principales, la lista de riesgos de seguridad más importantes y la información de la base de conocimientos sobre seguridad, sino también los planes de acción de seguridad y los programas de implementación de la seguridad.

Actividades de planeamiento

Cuando se desarrollan planes para reducir la exposición del activo, deberá:

Centrarse en los riesgos de seguridad de alta exposición.

Abordar la condición de amenaza (amenaza, explotaciones) para reducir la probabilidad.

Buscar causas de origen del problema de seguridad como contraposición a los síntomas.

Abordar las consecuencias del activo (vulnerabilidad y activo) para minimizar la repercusión de éste.

Determinar la causa de origen del problema de seguridad y buscar situaciones similares que puedan afectar los mismos u otros activos que provengan de la misma causa.

Tener conocimiento de las dependencias e interacciones de las amenazas, explotaciones y vulnerabilidades entre los riesgos de seguridad.

A continuación, se indican varios métodos de planeamiento para reducir las distintas condiciones de riesgos del proyecto:

Para riesgos del proyecto que el equipo puede controlar, se deben aplicar los recursos del equipo necesarios para reducir la probabilidad de la condición de amenaza. Éste es un método preventivo de administración de riesgos de seguridad.

Para riesgos del proyecto fuera del control del equipo, se debe encontrar una solución alternativa o transferir (a un nivel superior) el riesgo de seguridad a las personas que tienen la autoridad para intervenir.

Para riesgos del proyecto fuera del control del equipo que no se pueden transferir o administrar preventivamente, el equipo debe desarrollar planes destinados a minimizar la repercusión o pérdida del activo. Éste es un método reactivo de administración de riesgos de seguridad.

Planeamiento de acciones de seguridad

Existen seis métodos principales para el planeamiento de acciones de seguridad. Además, al formular el plan de acción de riesgos de seguridad, el equipo deberá tener en cuenta las preguntas relacionadas con cada método y que se enumeran de forma resumida en el presente manual. Cada método se define detalladamente más abajo.

Investigación. ¿El equipo de seguridad sabe lo suficiente acerca de este riesgo de seguridad? ¿Es necesario analizar en mayor profundidad la amenaza, explotación, vulnerabilidad o activos para determinar mejor las características de estos componentes antes de tomar una decisión sobre una acción?

Aceptación. ¿Desea aceptar el riesgo y no tomar ninguna medida preventiva, excepto los planes de contingencias? Se podría considerar la posibilidad de aceptar un riesgo si el valor EPA del activo es menor que el valor del activo y si la repercusión en el negocio es baja. ¿La organización puede aceptar las consecuencias si el riesgo de seguridad realmente se materializa?

Anulación. ¿Existe una forma de evitar el riesgo mediante la eliminación del origen del mismo o de la exposición del activo al riesgo? Se trata de una reacción extrema al riesgo y sólo se debe llevar a cabo cuando la repercusión del riesgo supera el beneficio que se obtiene del activo. ¿La organización puede evitar riesgos mediante un cambio en el ámbito de implementación del proyecto?

Transferencia. ¿Es posible transferir el riesgo a través de la derivación parcial de la responsabilidad del riesgo a otra parte, como una compañía de seguros o de servicios de administración? La transferencia de riesgos se está convirtiendo en una estrategia para la seguridad cada vez más importante. ¿La organización puede evitar el riesgo de seguridad mediante la transferencia del mismo a otro grupo, equipo, persona u organización externa?

Mitigación. ¿Se puede mitigar el riesgo si se cambia preventivamente la exposición del activo al riesgo o si la organización cambia su dependencia hacia el mismo? Deberá considerarse la posibilidad de aplicar una estrategia de mitigación del riesgo si la EPA es menor que el valor del activo y se pueden tomar medidas preventivas por adelantado. La mitigación es la principal estrategia de administración de riesgos. ¿Se puede hacer algo para reducir la probabilidad de amenaza o repercusión de los riesgos de la seguridad?

Planeamiento de contingencias. ¿Se puede reducir la repercusión a través de una respuesta a incidentes planeada? Los planes de contingencias correctamente elaborados disminuirán la repercusión cuando un riesgo se transforme en un problema o un incidente. Después del incidente de seguridad, se puede utilizar un desencadenador para ejecutar correctamente dicho plan.

Investigación

La mayoría de los riesgos en los proyectos de seguridad están relacionados con incertidumbres e información incompleta. A menudo, los riesgos de la seguridad relacionados con la falta de conocimiento se pueden resolver o administrar eficazmente mediante un aprendizaje más profundo de las amenazas, explotaciones, vulnerabilidades o activos antes de realizar cualquier procedimiento.

Por ejemplo, un equipo puede dedicarse a la evaluación de la vulnerabilidad o realizar un simulacro de seguridad con el fin de conocer más el entorno o la capacidad de reacción del mismo equipo ante una infracción de seguridad antes de realizar el plan de implementación de seguridad. Si la decisión del equipo es realizar una investigación, el plan de acción de seguridad debe incluir una propuesta de investigación apropiada que abarque las áreas que deben probarse y los problemas que se deben resolver, incluido el personal y cualquier equipamiento requerido.

Aceptación

Algunos riesgos de seguridad, especialmente las amenazas relacionadas con desastres naturales, presentan unos grados tan elevados que sencillamente no es posible intervenir con medidas preventivas ni reactivas de una forma eficaz. Por lo tanto, el equipo de seguridad puede decidir simplemente aceptar el problema de seguridad. Aún así, es preciso desarrollar planes preventivos de mitigación o planes reactivos de contingencias. La dedicación continua a la supervisión de un riesgo de seguridad debe contar con recursos adecuados y medidas de seguimiento específicas.

Nota: la aceptación no es una estrategia "sin acción". En el plan de acción de seguridad de la organización debe especificarse la razón por la que el equipo ha decidid aceptar el riesgo.

Anulación

Un riesgo de seguridad se puede identificar como un riesgo que se puede controlar muy fácilmente mediante un cambio en el ámbito de evaluación. El cambio en el ámbito de la evaluación que permite "eliminar" de una vez el riesgo de seguridad se denomina técnica de anulación. En estos caso, el plan de acción de seguridad debe contener documentación que justifique dicha decisión, y el plan de implementación de seguridad debe actualizarse con las modificaciones necesarias en el diseño o el proceso del cambio de ámbito.

Transferencia

A veces es posible transferir un riesgo de seguridad a otra entidad fuera de la organización para administrarla. A continuación, se indican algunos ejemplos:

Seguros.

A través de asesores externos con mayor experiencia.

Servicio de contratación de recursos externos.

La transferencia de un riesgo de seguridad no significa que un riesgo se haya eliminado. En general, una estrategia de transferencia generará nuevos riesgos de seguridad que requerirán administración preventiva. Sin embargo, la transferencia del riesgo reducirá la amenaza a un nivel más aceptable. Por ejemplo, la contratación de recursos externos para la infraestructura de la TI puede transferir los riesgos de seguridad fuera del equipo de seguridad, pero, al mismo tiempo, incorporar nuevos riesgos de seguridad con respecto a la confidencialidad de los activos que la organización trata de proteger.

Mitigación

La mitigación de riesgos de seguridad supone tomar acciones preventivas para evitar que ocurra un riesgo de seguridad o reducir la repercusión o las consecuencias a un nivel aceptable. La administración preventiva de los riesgos de la seguridad a través de la mitigación difiere del método de anulación porque la mitigación se centra en la prevención y la minimización de las amenazas hasta niveles aceptables, mientras que la anulación de riesgos de seguridad cambia el ámbito de la evaluación para evitar que ocurran actividades que impliquen un riesgo inadmisible.

El objetivo principal de la mitigación de los riesgos de la seguridad es reducir la probabilidad de repetición de una amenaza. Por ejemplo, el uso de una directiva de contraseña segura reducirá la probabilidad de que un usuario externo averigüe una contraseña para tener acceso a un sistema de nóminas.

Plan de contingencias

El plan de contingencias de los riesgos de la seguridad implica la creación de uno o varios planes de respuesta a incidentes que se pueden activar en caso de que los esfuerzos para prevenir un ataque resulten en balde. Es recomendable crear planes de contingencias para todos los riesgos de seguridad, incluido los que cuentan con planes de mitigación. La razón de ello es simple: independientemente de la calidad de desarrollo de los planes de seguridad preventivos de una organización, pueden aparecer amenazas, explotaciones o vulnerabilidades desconocidos que dañen los activos.

Los planes de contingencias de seguridad deben especificar las acciones que se deben tomar si se produce una amenaza, así como centrarse en la consecuencia y reducción de la repercusión del activo. El equipo debe crear planes de respuesta a incidentes y planes de reanudación empresarial para garantizar una reacción eficaz durante y después de un ataque.

Se pueden establecer valores de desencadenador para los planes de contingencias basados en el tipo de amenaza, explotación o vulnerabilidad que pueda encontrarse. En términos de seguridad, un desencadenador suele ser un evento. Esto significa que debe haber una forma de capturar ese evento y notificar al equipo de respuesta pertinente para ejecutar los planes de contingencias.

Existen dos tipos de desencadenador del plan de contingencias:

Desencadenadores puntuales. Los desencadenadores puntuales se crean a partir de fechas, generalmente la última fecha en la que debe suceder algo. Las fechas se pueden establecer de acuerdo con directrices corporativas o legales que proscriben cuando ciertas medidas de seguridad deben ocurrir.

Desencadenadores de umbral. Los desencadenadores de umbral se basan en elementos que pueden medirse o contarse. Por ejemplo, un sistema de detección de intrusos captura un suceso de auditoría que puede requerir un análisis y la posible activación de un plan de contingencias.

Es importante que el equipo de seguridad se ponga de acuerdo con otros equipos de la organización sobre los desencadenadores del plan de contingencias y las medidas asociadas, de modo que no haya demora en la ejecución de dichos planes.

Actividades de programación

La programación de las actividades de administración de riesgos de seguridad y control no difieren del método estándar recomendado por MSF en la programación de actividades del proyecto en general. Es importante que el equipo de seguridad comprenda que las actividades de solución y control de seguridad son una parte esperada de la evaluación y administración de riesgos de seguridad.

Resultados

Los resultados de la producción de un plan de acción de seguridad deben incluir tanto el plan de administración de seguridad preventivo como reactivo mediante uno de los seis métodos tratados anteriormente: investigación, aceptación, anulación, transferencia, mitigación o desarrollo de planes de contingencias. Las tareas específicas para implementar estos planes se deben integrar en los programas de implementación de seguridad estándar. Si se produce algún cambio en el entorno técnico, deberá documentarse en una especificación funcional.

El programa y el plan de acción de seguridad deben dar cuenta de los ajustes en los ámbitos y recursos comprometidos, lo que resulta en un conjunto de elementos de acción de seguridad en el que se especifican las tareas individuales que los miembros del equipo de seguridad deben realizar. La lista de los principales riesgos de la seguridad se debe actualizar para reflejar la información adicional incluida en los planes de contingencias preventivo (mitigación) y reactivo. Se recomienda resumir los planes de administración de riesgos de seguridad en una única vista del documento en el formulario de acción de riesgos de seguridad.

Actualización del programa de implementación de seguridad y del plan de implementación de seguridad

Los planes de implementación de seguridad deben incluir planes preventivos y reactivos. Al actualizar el plan de implementación de seguridad, se deben tener en cuenta los aspectos siguientes:

Las condiciones de riesgo, como la probabilidad de repetición y repercusión del riesgo
El cambio de las condiciones, como una probabilidad superior de repetición del riesgo o una repercusión financiera de un riesgo inferior, exigirá que el equipo actualice el plan de administración de riesgos.

La eficacia del esfuerzo de mitigación
El equipo puede detectar que algunos de los esfuerzos de mitigación son ineficaces. Con frecuencia, esto sucede cuando una directiva técnica que se implementa entra en conflicto con los procesos empresariales. A veces, los empleados adaptan la directiva técnica para obtener los objetivos empresariales deseados.

La eficacia de los planes de contingencias y desencadenadores
A lo largo del tiempo, se materializarán los riesgos de seguridad identificados en el plan de administración de riesgo. Después del incidente de seguridad, se debe determinar la eficacia de los planes de contingencias y de los desencadenadores en la ejecución de las respuestas.

El equipo debe supervisar los riesgos de seguridad en estos tres marcos temporales:

Tiempo real. Utilice aplicaciones, como software de detección de intrusos, para supervisar continuamente los equipos y dispositivos de red, y tomar decisiones predeterminadas basadas en el riesgo.

Periódico. Evalúe el riesgo regularmente, de forma programada, como bimestralmente o trimestralmente.

Ad hoc. Evalúe el riesgo a intervalos no programados. La supervisión ad hoc se realiza con frecuencia en respuesta a un incidente de seguridad importante o un cambio en la red.

Desarrollo de las soluciones de riesgos de seguridad

El desarrollo de contramedidas y procedimientos operativos son fundamentales para la estrategia de seguridad de la organización. Los riesgos de seguridad pueden administrarse preventivamente ya sea a través de un proceso de consolidación de la tecnología o mediante el desarrollo de directivas que abarquen toda la organización.

A menudo, una instalación predeterminada de un sistema operativo, aplicación o base de datos no tiene en alerta las configuraciones de seguridad con el fin de simplificar las tareas a los administradores de TI o programadores de software. Antes de una implementación de producción de estas tecnologías, la tecnología que se implementará deberá ser parte de un "proceso de consolidación".

El proceso de consolidación del servidor puede implicar la eliminación de las configuraciones de seguridad predeterminadas y los componentes innecesarios del software. El personal de TI también debe mantenerse al corriente de las vulnerabilidades conocidas de la tecnología y explotaciones actuales para así instalar las versiones de software y revisiones de seguridad más recientes.

Además, el proceso de desarrollo de la estrategia de seguridad incluye el desarrollo de sistemas, directivas y procedimientos para el seguimiento y la notificación de los riesgos de seguridad no ocurridos. Esto permitirá asegurar el funcionamiento de las medidas preventivas en la infraestructura tecnológica, así como validar la eficacia de los procedimientos o directivas nuevos.

Por otro lado, debe haberse implementado un sistema de notificación para capturar sucesos sospechosos o amenazas potenciales que requieren atención inmediata. Además de un sistema automatizado para el seguimiento de riesgos de seguridad, también se puede usar un proceso manual. El seguimiento de los riesgos de seguridad permite al equipo del proyecto redefinir los planes para incluir nuevos riesgos de seguridad.

El seguimiento constituye la función de supervisión del plan de acción de riesgo y es fundamental para la implementación eficaz de planes de acción de seguridad. El seguimiento asegura que las medidas preventivas o los planes de contingencias se llevan a cabo puntualmente y dentro de las restricciones de recursos del proyecto. Durante el seguimiento de los riesgos, la actividad principal del equipo es supervisar las medidas de los riesgos y garantizar la activación de los eventos de modo que las acciones de riesgo planeadas se lleven a cabo de forma eficaz.

Objetivos

El objetivo del proceso de desarrollo de soluciones es documentar los cambios arquitectónicos necesarios, además de cualquier proceso nuevo o cambios en el procedimiento.

Entradas

Las entradas principales del proceso de desarrollo de soluciones de riesgo de seguridad son los planes de riesgo de seguridad que contienen los planes específicos de mitigación y contingencia, en los que se especifican las amenazas, explotaciones y vulnerabilidades de los riesgos de seguridad de la organización. El desarrollo de soluciones también requiere que los sistemas y procesos estén desarrollados con el fin de supervisar los desencadenadores identificados para los planes de contingencia que se puedan ejecutar.

Actividades de desarrollo

Las actividades de desarrollo del proceso de soluciones de riesgos de seguridad son similares a las actividades de desarrollo de un proyecto de desarrollo de infraestructura típico. Por ejemplo, el desarrollo de métodos en la administración de cambio para las revisiones del sistema. Los cambios de diseño en la infraestructura deben documentarse en una especificación funcional. En consecuencia, es posible que las directivas y procedimientos deban modificarse para contener los nuevos requisitos de seguridad. Durante este proceso, si se implementan nuevos sistemas para brindar funcionalidad de supervisión y auditoría, el diseño y administración de esos sistemas también debe especificarse.

A continuación, se indican algunos ejemplos de medidas de proyecto que podrían asignarse a medidas de desencadenadores puntuales y de seguimiento continuo:

Boletines de seguridad abiertos de resolución pendiente para una aplicación, servicio o sistema operativo.

Promedio de horas extras registradas por semana por los ingenieros de infraestructura.

La cantidad de revisiones de requerimiento o solicitudes de administración de cambios por semana.

Los procedimientos de informe de estados de riesgo también deben crearse en esta fase. El informe de riesgos debe realizarse en dos niveles: para el equipo en sí y para la generación de informes externa dirigida a la junta del proyecto.

Para el equipo de seguridad, los informes de estados de riesgo normales deben considerar las cuatro posibles situaciones de administración de riesgo que se describen a continuación, las cuales pueden aplicarse a cada uno de los riesgos:

Un riesgo está resuelto, tras aplicarse el plan de acción de riesgos. Todos los riesgos resueltos deben documentarse como casos cerrados y archivarse en el plan de acción de seguridad.

Las acciones de riesgo deben mantener conformidad con el plan de administración de riesgos y ejecutarse según lo previsto.

Algunas acciones de riesgo no condicen con el plan de administración de riesgos, en cuyo caso deben definirse e implementarse medidas correctivas.

La situación de riesgo ha cambiado significativamente con respecto a uno o más riesgos, y, por consiguiente, el plan de acción de riesgos debe rediseñarse.

Para la generación de informes externos destinados a la junta del proyecto y demás participantes del proyecto, el equipo debe informar acerca de los riesgos más importantes y luego resumir el estado de las acciones para la administración de riesgos. Asimismo, resulta útil mostrar la calificación anterior de riesgos, y la cantidad de veces que cada riesgo se ha situado entre los más importantes de la lista.

A medida que el equipo del proyecto comienza a implementar acciones para administrar los riesgos, la exposición total del proyecto al riesgo debería empezar a aproximarse a niveles aceptables.

Resultados

El resultado de la fase de resolución es la especificación de cualquier cambio de seguridad que debe actualizarse en las siguientes ubicaciones:

Especificación funcional

Procedimientos y directivas operativos

Planes de implementación de seguridad actualizados

Programas de implementación de seguridad actualizados

Pruebas de soluciones de seguridad

El paso de prueba de soluciones y seguridad está diseñado para asegurar que se compruebe la eficacia de los planes de seguridad. El equipo debe poner en práctica actividades relacionadas con las pruebas de estrategias preventivas y reactivas (contramedidas y procedimientos) a fin de determinar la eficacia del plan de acción de seguridad.

A los efectos de medir la eficacia de las contramedidas, los procedimientos y las directivas recientemente implementadas, debe analizarse cada riesgo en función de los cuales éstos han sido diseñados para abordarse. A continuación, debe probarse la estrategia asociada de cada riesgo para amenazas, explotaciones, vulnerabilidades y activos de la organización.

Quizá sea necesario, según la prueba de la solución de los riesgos de seguridad, modificar el plan de acción de seguridad para mejorar su eficacia, validez y capacidad de respuesta ante los eventos de activación de seguridad.

Los resultados y los conocimientos obtenidos a través de la ejecución de los planes de pruebas de seguridad se incorporan posteriormente a un documento de prueba para integrar la base de conocimientos sobre la seguridad de la organización. Es importante captar toda la información que sea posible durante la prueba para determinar la eficacia de estos planes.

Objetivos

El objetivo del proceso de prueba de soluciones de seguridad es comprobar la eficacia de los diversos planes de seguridad que el equipo del proyecto ha creado para los riesgos de seguridad más importantes. Los planes de acción de seguridad deben evaluar y comprobar lo siguiente:

Eficacia del plan de contingencias y mitigación.

Parámetros de seguridad asociados con eventos o desencadenadores del plan de contingencias.

Contramedidas tecnológicas. Puede incluirse una segunda evaluación de vulnerabilidad para determinar si se han implementado correctamente.

Entradas

Las entradas del proceso de control de riesgos de seguridad son las formas de acción de seguridad que detallan las actividades que los miembros del equipo del proyecto llevarán a cabo para abordar cada una de las cuestiones relacionadas con la seguridad. Los resultados de las pruebas deben documentar la eficacia de los planes preventivos y reactivos a fin de determinar si son los adecuados para los requisitos de seguridad de su organización.

Actividades de prueba

Las actividades de prueba de las soluciones de seguridad deben evaluar la eficacia de cada plan de contramedidas e incidentes elaborado. Es importante realizar de forma continua pruebas de las soluciones de riesgos de seguridad para así poder detectar nuevos riesgos de seguridad secundarios que puedan aparecer debido a contramedidas nuevas.

Resultados

El resultado del paso de pruebas de las soluciones de seguridad es un documento de resultados o una "base de datos sobre el problema" que puede ayudar a documentar el progreso en la finalización de la implementación de planes de acción de seguridad para su organización. Por otro lado, una medida de utilidad para el equipo de pruebas es resumir las estrategias de seguridad que han funcionado y las que no, y la eficacia de los procedimientos y directivas recientemente creados.

Adquisición de conocimiento sobre la seguridad

El conocimiento obtenido durante el proceso de evaluación de la seguridad e implementación debe recopilarse para usos posteriores. Ésta es la sexta y última etapa del proceso de evaluación de los riesgos de seguridad, y aporta una perspectiva estratégica, empresarial o de la organización a las actividades de administración de riesgos.

Fundamentalmente, es importante que se registren las contramedidas, las directivas y los procedimientos que se ha elaborado durante esta evaluación de la seguridad para que dicha información pueda ser reutilizada por equipos de proyectos en el futuro. Cuando su organización lance iniciativas de TI futuras, dichos proyectos podrán usar los conocimientos obtenidos de la evaluación para asegurar que las soluciones nuevas que se implementen sean seguras.

El aprendizaje de la evaluación de los riesgos de seguridad debe registrarse rápidamente con el fin de proporcionar la información más reciente y actualizada. El registro del conocimiento sobre la seguridad se centra en tres objetivos clave:

Registrar las lecciones aprendidas, especialmente aquéllas relacionadas con la identificación de los riesgos de seguridad y las estrategias de mitigación correctas para el beneficio de otros equipos, acción que permite contribuir con la base de conocimientos sobre la seguridad.

Aumentar la eficacia de la disposición operativa en términos de la capacidad de su organización para ejecutar planes de respuesta a incidentes y volver a utilizarlos en otras áreas.

Mejorar el proceso de evaluación de los riesgos de la seguridad a través de la captación de los comentarios del equipo.

Capturar el conocimiento adquirido acerca de los riesgos de la seguridad

La clasificación de los riesgos de seguridad es un método eficaz que permite asegurar que la información obtenida de experiencias anteriores esté a disposición de los equipos encargados de llevar a cabo evaluaciones de los riesgos de la seguridad en el futuro. A continuación se detallan los aspectos clave del aprendizaje que suelen registrarse con estas clasificaciones de riesgo:

1.

Riesgos nuevos. Si un equipo detecta un problema que no se había identificado anteriormente como un riesgo de la seguridad, debe revisar si algún signo (amenazas, explotaciones, vulnerabilidades u otros indicadores) podría haber anticipado el riesgo de la seguridad. Quizá esto signifique que las listas de los riesgos de la seguridad deban actualizarse para contribuir con la identificación de una condición de riesgos de seguridad en el futuro. Por otro lado, el equipo pudo haber identificado un nuevo riesgo de la seguridad que debe agregarse a la base de conocimiento sobre la seguridad existente.

2.

Estrategias de mitigación correctas. Registrar la experiencia de estrategias correctas y deficientes para mitigar los riesgos de la seguridad. El uso de una clasificación de riesgos de la seguridad estándar proporciona un medio importante para agrupar los riesgos relacionados de modo que los equipos puedan encontrar fácilmente detalles de estrategias de administración de los riesgos de la seguridad, que hayan sido implementadas con éxito anteriormente.

3.

Estrategias de contingencia correctas. Si un plan de contingencia funciona al brindar protección contra un tipo de vulnerabilidad específico para un activo, también puede ser útil para proteger otro activo.

Administración del aprendizaje sobre los riesgos de la seguridad

Las organizaciones que usan técnicas de administración de riesgos de seguridad generalmente descubren que necesitan elaborar un método estructurado para administrar los riesgos de la seguridad. A fin de lograr esto con éxito, deben cumplirse estas tres condiciones:

1.

Comparta la responsabilidad con las personas de su equipo de seguridad a través de la asignación de propiedad de áreas de clasificación de riesgos de la seguridad específicos, con la aprobación para la incorporación de cambios. La decisión con respecto a quién debe recibir la propiedad es inherente al tipo de activo y a la clasificación del mismo.

2.

Sopese las clasificaciones de los riesgos de seguridad y la necesidad de contramedidas integrales con la complejidad y el aprovechamiento. A veces, crear diferentes clasificaciones de riesgos diferentes para distintos tipos de proyectos puede mejorar considerablemente el aprovechamiento.

3.

Mantenga actualizada la base de conocimientos sobre la seguridad para usarla como un recurso de información a la hora de elaborar clasificaciones, definiciones, pruebas, supervisión de criterios de eficacia y parámetros de los riesgos de la seguridad, con el fin de captar la experiencia operativa y del usuario de las medidas de seguridad nuevas.

Clasificaciones de riesgos de seguridad específicas de cada contexto

La identificación de los riesgos de la seguridad puede redefinirse a través de la generación de clasificaciones de riesgos para implementaciones de soluciones específicas. Por ejemplo, en un proyecto de desarrollo de una aplicación puede haber clasificaciones de riesgos de seguridad específicas para ese proyecto, en oposición a clasificaciones de riesgos de seguridad para un proyecto de desarrollo de infraestructura. A medida que se adquiere más experiencia dentro del contexto de la seguridad, los procedimientos y las directivas de seguridad pueden volverse más específicos y asociarse con estrategias de mitigación correctas.

Base de conocimientos sobre la seguridad

La base de conocimientos sobre la seguridad es un mecanismo formal o informal que se utiliza para archivar lecciones con el objetivo de brindar ayuda en evaluaciones de riesgos de seguridad futuras. Si no cuenta con algún tipo de base de conocimientos, su organización puede tener dificultades a la hora de adoptar un método preventivo de administración de seguridad.

Si existe un conjunto de amenazas, explotaciones y vulnerabilidades conocido y registrado en esta base de conocimientos, será más fácil desarrollar un plan de mitigación contra éstos gracias a la investigación registrada. La base de conocimientos sobre la seguridad es diferente de la base de datos de la administración de riesgos de seguridad, que se usa para almacenar y dar seguimiento a elementos, planes y estados de riesgos de seguridad individuales.

Desarrollo de la administración del conocimiento para los riesgos de la seguridad

La base de conocimientos sobre los riesgos de la seguridad es el engranaje clave de la mejora continua en cuanto a la administración de riesgos de seguridad.

En primer lugar, es posible que los equipos de procesos y proyectos de seguridad de su organización no dispongan de una base de conocimientos. Los equipos deben comenzar de cero cada vez que inicien una evaluación de los riesgos de la seguridad. En este entorno, el método de la administración de riesgos de seguridad es normalmente reactivo, después de un incumplimiento o cierto evento desencadenante de un proyecto. En este caso, el objetivo es hacer que la organización pase a un nivel superior de una administración activa de riesgos de seguridad.

Posteriormente, es posible que su organización desarrolle una base de conocimientos sobre la seguridad informal, con el aprendizaje implícito adquirido por los miembros más experimentados que están familiarizados con temas de la seguridad o tienen experiencia en dicho asunto, en relación con las personas, los procesos y la tecnología. Con frecuencia, esto se alcanza a través de la implementación de una junta de seguridad. Este método fomenta una administración activa de evaluación de los riesgos de la seguridad y puede conducir a una administración preventiva a través de la introducción de directivas de seguridad.

Alcanzar este primer nivel de desarrollo de una base de datos de conocimientos proviene de la implementación de un método más estructurado para la identificación de los riesgos de la seguridad. Con el registro y la creación de un índice formales de los problemas de seguridad, su organización estará capacitada para una administración mucho más preventiva conforme comiencen a identificarse las causas subyacentes de los riesgos de la seguridad.

Por último, las organizaciones con experiencia no sólo registran los indicadores que podrían ser indicios de riesgos de la seguridad, sino que también las estrategias adoptadas para administrar dichos riesgos de la seguridad y sus tasas de éxito. Con este tipo de base de conocimientos, los pasos de identificación y el planeamiento de seguridad del proceso de riesgos de la seguridad pueden basarse en la experiencia compartida de diversos equipos, y su organización puede comenzar a optimizar los costes de la administración de los riesgos de seguridad.

Al analizar cómo implementar una base de conocimientos sobre la seguridad para su organización, la experiencia ha demostrado que:

El valor de la base de conocimientos sobre la seguridad aumenta a medida que más tareas se tornan reiteradas (como por ejemplo, centrarse en otros proyectos que afectan a la seguridad o a procesos operativos en curso).

Cuando la compañía ejecute una revisión de seguridad similar, una base de conocimientos menos compleja es más fácil de mantener.

La administración de los riesgos de seguridad no debe transformarse en un proceso automático que pase por alto la necesidad del equipo de pensar acerca de los riesgos de la seguridad. Incluso en situaciones reiteradas, el entorno comercial, las aptitudes de los atacantes y la tecnología están en constante cambio. El equipo de seguridad debe evaluar las estrategias de administración de riesgos de seguridad para dicho entorno en función de las personas, los procesos y la tecnología del lugar.

Resumen

En este módulo se han explicado las prácticas comprobadas, derivadas de los métodos y procesos de análisis de seguridad delineados en MSF y MOF. Se han detallado los procesos utilizados en la DARS para determinar el coste de proteger los activos de su organización. Por último, se han recomendado pasos para formar un equipo de seguridad destinado a elaborar y ejecutar planes de acciones de seguridad con la finalidad de evitar y reaccionar ante ataques contra el entorno de su organización.

Información adicional

Para obtener información sobre MSF, consulte: http://www.microsoft.com/technet/itsolutions/techguide/msf/default.mspx.

Para obtener información sobre MOF, consulte: http://www.microsoft.com/technet/itsolutions/techguide/mof/default.mspx.

Para obtener información sobre delitos informáticos, consulte: http://www.gocsi.com/press/20020407.html.

Para obtener información sobre evaluaciones de amenazas, consulte: "Threat Assessment of Malicious Code and Human Threats", de Lawrence E. Bassham y W. Timothy Polk: Instituto Nacional de Normas y Tecnología, División de Seguridad Informática (National Institute of Standards and Technology Computer Security Division), en: http://csrc.nist.gov/publications/nistir/threats/index.html.

Para obtener más información acerca de las mejores prácticas en seguridad de información, consulte: http://www.iso-17799.com/.

Para obtener información sobre la piratería informática, consulte: http://www.hackingexposed.com/.

Para obtener información sobre amenazas a la seguridad de Microsoft TechNet, consulte: http://www.microsoft.com/technet/security/bestprac/bpent/sec1/secthret.mspx.

Para obtener información sobre la valoración de activos por parte del Instituto Nacional de Normas y Tecnología (National Institute of Standards and Technology), consulte: http://csrc.nist.gov/asset/.



©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad
Microsoft