Haga clic aquí para instalar Silverlight*
EspañaCambiar|Todos los sitios de Microsoft
Microsoft
|Suscripción CD/DVD|Boletín|Internacional|Suscríbase|Mapa del Web|Contacte con nosotros
Buscar


Guía de administración de riesgos de seguridad

Información general

Publicado: octubre 15, 2004

Los clientes pueden verse desbordados al intentar poner en práctica la administración de riesgos de seguridad. Esto probablemente se debe a que no disponen de expertos internos, recursos presupuestarios, ni directrices para la subcontratación. Con el fin de ayudar a estos clientes, Microsoft ha desarrollado la Guía de administración de riesgos de seguridad.

Esta guía ayuda a cualquier tipo de cliente a planear, crear y mantener un programa de administración de riesgos de seguridad de forma correcta. Mediante un proceso dividido en cuatro fases, que se describe a continuación. En esta guía se explica cómo llevar a cabo cada fase del programa de administración de riesgos de seguridad y cómo crear un proceso continuo para medir y llevar los riesgos de seguridad a un nivel aceptable.

Overvi01.gif

Esta guía resulta agnóstica en lo que a tecnología se refiere y en ella se hace referencia a numerosos estándares aceptados por el sector para la administración de riesgos de seguridad. Constituye un ejemplo importante del compromiso de Microsoft en ofrecer orientación de calidad para ayudar a los clientes a proteger sus infraestructuras de tecnología de la información (TI). En esta guía se incorporan experiencias reales del departamento de TI de Microsoft así como de clientes y socios de Microsoft.

Esta guía se ha desarrollado, revisado y aprobado por equipos de expertos en seguridad. Esta guía, así como otros temas de orientación acerca de la seguridad, está disponible en el Centro de instrucciones de seguridad en www.microsoft.com/security/guidance. Los comentarios o las preguntas acerca de esta guía se deben dirigir a secwish@microsoft.com.  

Esta guía consta de seis capítulos y cuatro apéndices.

En esta página
Capítulo 1: Introducción a la Guía de administración de riesgos de seguridadCapítulo 1: Introducción a la Guía de administración de riesgos de seguridad
Capítulo 2: Estudio de prácticas de administración de riesgos de seguridadCapítulo 2: Estudio de prácticas de administración de riesgos de seguridad
Capítulo 3: Información general acerca de la administración de riesgos de seguridadCapítulo 3: Información general acerca de la administración de riesgos de seguridad
Capítulo 4: Evaluación del riesgoCapítulo 4: Evaluación del riesgo
Capítulo 5: Apoyo a la toma de decisionesCapítulo 5: Apoyo a la toma de decisiones
Capítulo 6: Implementación de controles y medición de la efectividad del programaCapítulo 6: Implementación de controles y medición de la efectividad del programa
ApéndicesApéndices

Capítulo 1: Introducción a la Guía de administración de riesgos de seguridad

En el capítulo 1 se presenta la Guía de administración de riesgos de seguridad (GARS) y se ofrece una breve descripción de los capítulos posteriores. También proporciona información acerca de las siguientes cuestiones:

Claves para tener éxito con un programa de administración de riesgos de seguridad

Términos y definiciones clave

Convenciones de estilo de los documentos

Referencias para obtener más información

Capítulo 2: Estudio de prácticas de administración de riesgos de seguridad

En el capítulo 2 se establecen las bases y se proporciona el contexto de la GARS mediante la revisión de otros enfoques de la administración de riesgos de seguridad y consideraciones relacionadas, incluido el modo de determinar el nivel de madurez de administración de riesgos de su organización.

Capítulo 3: Información general acerca de la administración de riesgos de seguridad

En el capítulo 3 se proporciona un análisis más detallado de las cuatro fases de la GARS a la vez que se presentan algunos de sus conceptos importantes y claves para el éxito. En el capítulo también se ofrece orientación con el fin de prepararse para el programa mediante el planeamiento eficaz y se recalca especialmente la creación de un equipo de administración de riesgos de seguridad que tenga bien definidas las funciones y las responsabilidades.

Capítulo 4: Evaluación del riesgo

En el capítulo 4 se trata en detalle la primera fase, la evaluación del riesgo. Los pasos de esta fase incluyen el planeamiento, la recopilación de datos y la asignación de prioridades a los riesgos. Dicha asignación consta de niveles de resumen y de detalle, equilibrio de los enfoques cualitativos y cuantitativos para ofrecer una información de riesgos confiable con un equilibrio razonable de tiempo y esfuerzo. El resultado de la fase de evaluación de riesgos lo constituye una lista de riesgos importantes junto con un análisis detallado que el equipo puede utilizar para tomar decisiones de negocio durante la siguiente fase del proceso.

Capítulo 5: Apoyo a la toma de decisiones

En el capítulo 5 se trata la segunda fase, el apoyo a la toma de decisiones. Durante esta fase, los equipos determinan el modo en que afrontan los riesgos clave de una manera más eficaz y económica. Los equipos identifican los controles, estiman los costos, evalúan la reducción del nivel de riesgo y, finalmente, determinan los controles que se deben implementar. El resultado de la fase de apoyo a la toma de decisiones es un plan claro y aplicable para controlar o aceptar cada uno de los riesgos principales identificados en la fase de evaluación de riesgos.

Capítulo 6: Implementación de controles y medición de la efectividad del programa

En el capítulo 6 se tratan las dos fases finales de la GARS: la implementación de controles y la medición de la efectividad del programa. Durante la fase de implementación de controles, los responsables de mitigación crean y ejecutan planes en función de la lista de soluciones de control surgida durante el proceso de apoyo a la toma de decisiones.

Una vez finalizadas las tres primeras fases del proceso de administración de riesgos de seguridad, las organizaciones deben valorar su progreso con respecto a dicha administración como un conjunto. La fase final, medición de la efectividad del programa, introduce el concepto de un "cálculo de riesgos de seguridad" como ayuda para este proceso.

Apéndices

Los apéndices son:

Apéndice A: Evaluaciones de riesgos ad hoc

Apéndice B: Activos comunes del sistema de información

Apéndice C: Amenazas comunes

Apéndice D: Vulnerabilidades


**
**

©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad
Microsoft