Guía de administración de riesgos de seguridad

En el proceso de administración de riesgos de seguridad de Microsoft se describe la fase de evaluación de riesgo como una actividad programada dentro del proceso de administración de riesgos. La fase de evaluación de riesgos define los pasos para identificar y asignar prioridades a los escenarios de riesgos conocidos para la organización. El resultado es una lista de riesgos con prioridades tanto en el nivel de resumen como en el de detalle. La evaluación de riesgos programada también proporciona los datos para las fases restantes del programa de administración de riesgos. Aunque la evaluación de riesgos programada ofrece un gran valor, los riesgos para la empresa cambian y evolucionan continuamente como una parte normal del negocio. Por lo tanto, el equipo de administración de riesgos de seguridad necesita un proceso definido para identificar y analizar los riesgos independientemente de la fase del ciclo de administración de riesgos. Esperar a que se analicen los riesgos hasta la próxima tanda programada de evaluación de riesgos no constituye una práctica lógica.  

La necesidad inmediata por comprender el riesgo se puede producir en cualquier momento. Por ejemplo, puede resultar evidente que hay falta de consenso sobre el nivel de riesgo en torno a una amenaza potencial o que no se ha comprendido bien. Cuando esto sucede, los distintos participantes pueden ofrecer opiniones y soluciones de mitigación contradictorias. El equipo de administración de riesgos de seguridad tiene que documentar una posición acerca del riesgo y contribuir en el proceso de apoyo a la toma de decisiones, similar al programa de administración de riesgos formal. Es probable que se solicite al equipo de administración de riesgos de seguridad que cree requisitos funcionales para un determinado escenario que no puede, ni debe, derivarse sin comprender todos los elementos de riesgo. Esto indica que se precisa una evaluación de riesgos inmediata y ad hoc. Hay que tener precaución con las evaluaciones de riesgos que intentan realizar un uso incorrecto del proceso de evaluación de riesgos como un medio para justificar soluciones o implementaciones preconcebidas. La evaluación de riesgos debe dar como resultado una declaración imparcial acerca de los riesgos reales asociados a un determinado problema.

En el proceso de administración de riesgos de seguridad de Microsoft se han evaluado varios escenarios de riesgos y, a continuación, se les han asignado prioridades. En la evaluación de riesgos ad hoc, los riesgos se analizan caso por caso. Una evaluación de riesgos ad hoc se centra en un solo problema de riesgo; por ejemplo, "¿cuáles son los riesgos asociados al proporcionar a los invitados de la empresa acceso inalámbrico a la red?" o "¿qué riesgos se corren al permitir que los dispositivos móviles se conecten a los recursos empresariales?". La evaluación de riesgos ad hoc utiliza la metodología descrita en el proceso; sin embargo, no es obligatorio establecer prioridades para el riesgo y la solución frente a otros riesgos de la empresa. Una asignación de prioridades formal sólo puede ser necesaria si la solución de mitigación es costosa. Con frecuencia, una comparación con riesgos similares proporciona suficiente perspectiva con el fin de establecer prioridades para la evaluación de riesgos ad hoc. Evidentemente, los resultados ad hoc se incorporarán en el proceso formal según resulte adecuado.

La plantilla de discusión de riesgos incluida en la sección Herramientas de esta guía también se puede utilizar para las evaluaciones de riesgos ad hoc. No obstante, es posible que la recopilación de datos sólo requiera investigación en vez de una reunión de los participantes. El equipo de administración de riesgos de seguridad tiene que responder a las preguntas clave de la plantilla, pero las respuestas se pueden hallar en el propio equipo. Por ejemplo, si el equipo intenta comprender los riesgos asociados a los dispositivos móviles, la investigación de la frecuencia de pérdida de dispositivos puede constituir una información necesaria. Esta información también se puede obtener mediante una investigación externa o a través de los equipos de TI responsables del área de servicio.

La evaluación de riesgos ad hoc se puede comunicar en un documento estructurado con las siguientes secciones:

Una sola evaluación de riesgos puede contener varios escenarios de amenaza. En el ejemplo de una solución de acceso inalámbrico para invitados, un escenario puede ser el riesgo de que un invitado ataque a otro; un segundo escenario puede ser un ataque externo a uno de los invitados; un tercer escenario puede ser un invitado que haga un uso incorrecto del acceso para realizar un ataque a través de Internet. Debe desarrollar una declaración de riesgo para todos los escenarios aplicables.

Cuando se comprenden los riesgos, puede ser suficiente con comunicarlos. También es posible que el resultado deseado sea una declaración de los requisitos funcionales del equipo de administración de riesgos de seguridad. Si se generan requisitos funcionales, se deben asignar a los riesgos específicos a los que se dirigen. Un documento de evaluación de riesgos con requisitos de seguridad funcionales constituye una herramienta eficaz para que la empresa comprenda el riesgo y decida la mejor solución de mitigación.

Principio de la página

8 de 12