Haga clic aquí para instalar Silverlight*
EspañaCambiar|Todos los sitios de Microsoft
Microsoft
|Suscripción CD/DVD|Boletín|Internacional|Suscríbase|Mapa del Web|Contacte con nosotros
Buscar


Guía de administración de riesgos de seguridad

Capítulo 1: Introducción a la Guía de administración de riesgos de seguridad

Publicado: 15/10/2004
En esta página
Resumen ejecutivoResumen ejecutivo
Destinatarios de la guíaDestinatarios de la guía
Ámbito de la guíaÁmbito de la guía
Claves para el éxitoClaves para el éxito
Términos y definicionesTérminos y definiciones
Convenciones de estiloConvenciones de estilo
Obtención de ayuda para esta guíaObtención de ayuda para esta guía
Información adicionalInformación adicional

Resumen ejecutivo

Retos del entorno

La mayoría de las organizaciones reconocen la función fundamental que la tecnología de la información (TI) desempeña en sus objetivos de negocios. Pero las infraestructuras de TI extremadamente conectadas de hoy en día existen en un entorno que es cada vez más hostil: los ataques se efectúan con mayor frecuencia y exigen un tiempo de reacción más breve. Con frecuencia las organizaciones no pueden reaccionar ante las nuevas amenazas de seguridad antes de que afecten a su negocio. La administración de la seguridad de sus infraestructuras, y el valor de negocio que ofrecen, se ha convertido en una preocupación primordial para los departamentos de TI.

Además, la nueva legislación que emana de preocupaciones de privacidad, obligaciones financieras y gobernanza corporativa exige que las organizaciones administren sus infraestructuras de TI de un modo más estricto y eficaz que en el pasado. Muchas agencias gubernamentales y organizaciones que trabajan con dichas agencias están obligadas por ley a mantener un nivel mínimo de control de la seguridad. Si la seguridad no se administra proactivamente, los ejecutivos y las organizaciones se exponen a riesgos debidos a infracciones que conllevan responsabilidades fiduciarias y legales.

Un camino mejor

El enfoque de Microsoft para la administración de riesgos de seguridad proporciona un enfoque proactivo que puede ayudar a las organizaciones de cualquier tamaño a responder a los requisitos que presentan estos retos del entorno y legales. Un proceso de administración de riesgos de seguridad formal permite que las empresas funcionen de un modo más económico con un nivel conocido y aceptable de riesgos de negocios. También ofrece a las organizaciones una forma coherente y clara para organizar y asignar prioridades a los recursos limitados con el fin de administrar el riesgo. Las ventajas de utilizar una administración de riesgos de seguridad se apreciarán al implementar controles asequibles que reduzcan el riesgo a un nivel aceptable.

La definición de riesgo aceptable, así como el enfoque para administrar el riesgo, varía de una organización a otra. No hay una respuesta acertada o errónea; existen numerosos modelos de administración de riesgos en uso actualmente. Cada modelo ofrece un equilibrio entre precisión, recursos, tiempo, complejidad y subjetividad. La inversión en un proceso de administración de riesgos, con un marco sólido y funciones y responsabilidades bien definidas, prepara la organización para articular prioridades, planear la mitigación de amenazas y afrontar la siguiente amenaza o vulnerabilidad de la empresa. Además, un programa de administración de riesgos eficaz ayudará a la empresa a realizar un progreso importante hacia el cumplimiento de los nuevos requisitos legislativos.

Función de Microsoft en la administración de riesgos de seguridad

Ésta es la primera guía normativa publicada por Microsoft que se centra por completo en la administración de riesgos de seguridad. Basada en las experiencias propias de Microsoft y en las de sus clientes, esta guía ha sido probada y revisada por clientes, socios y revisores técnicos durante su desarrollo. El objetivo de este esfuerzo es ofrecer una guía clara y aplicable acerca de cómo implementar un proceso de administración de riesgos de seguridad que proporcione numerosas ventajas, entre las que se incluyen:

Hacer que los clientes adopten una postura de seguridad proactiva y liberarlos de un proceso reactivo y frustrante.

Poder cuantificar la seguridad al mostrar el valor de los proyectos de seguridad.

Ayudar a los clientes a mitigar de forma eficaz los riesgos de mayor envergadura en sus entornos en vez de aplicar recursos escasos a todos los riesgos posibles.

Información general acerca de la guía

Esta guía emplea estándares del sector para ofrecer un híbrido de los modelos de administración de riesgos establecidos en un proceso de cuatro fases iterativos que busca el equilibrio entre el costo y la efectividad. Durante un proceso de evaluación de riesgos, los pasos cualitativos identifican rápidamente los riesgos más importantes. A continuación se expone un proceso cuantitativo basado en funciones y responsabilidades definidas cuidadosamente. Este enfoque es muy detallado y conlleva un conocimiento exhaustivo de los riesgos más importantes. La combinación de pasos cualitativos y cuantitativos en el proceso de administración de riesgos proporciona la base sobre la que pueden tomar decisiones sólidas acerca del riesgo y la mitigación, siguiendo un proceso empresarial inteligente.

Nota: no se preocupe si algunos de los conceptos que se tratan en este resumen ejecutivo le resultan nuevos; en los capítulos se explican detalladamente. Por ejemplo, en el capítulo 2, "Estudio de prácticas de administración de riesgos de seguridad", se examinan las diferencias entre los enfoques cualitativos y cuantitativos de la evaluación de riesgos.

El proceso de administración de riesgos de seguridad de Microsoft permite que las organizaciones implementen y mantengan procesos para identificar y asignar prioridades a los riesgos en sus entornos de TI. El cambio de los clientes de un enfoque reactivo a uno proactivo mejora fundamentalmente la seguridad en sus entornos. A su vez, una seguridad mejorada facilita una mayor disponibilidad de las infraestructuras de TI y un mayor valor de negocios.

El proceso de administración de riesgos de seguridad ofrece una combinación de varios enfoques, entre los que se incluyen análisis cuantitativo puro, análisis del rendimiento de la inversión en seguridad (ROSI), análisis cualitativo y enfoques de prácticas recomendadas. Es importante tener en cuenta que en esta guía se trata un proceso y que no tiene requisitos de tecnología específicos.

Factores importantes para el éxito

Existen numerosas claves para lograr una implementación satisfactoria de un programa de administración de riesgos de seguridad en una organización. Algunas de ellas resultan de especial importancia y se presentarán aquí; otras se tratarán en la sección "Claves para el éxito" más adelante en este capítulo.

En primer lugar, no se puede llevar a cabo una administración de riesgos de seguridad si no se cuenta con el apoyo y el compromiso del equipo directivo. Cuando la administración de riesgos de seguridad se dirige desde la cúpula, las organizaciones pueden articular la seguridad en términos de valor para la empresa. A continuación, una definición clara de funciones y responsabilidades resulta fundamental para el éxito. Los responsables de negocios son los encargados de identificar las repercusiones de un riesgo. También se encuentran en la mejor posición para articular el valor de negocio de los activos que son necesarios para llevar a cabo sus funciones. El grupo de seguridad de información se encarga de identificar la probabilidad de que se produzca el riesgo teniendo en cuenta los controles actuales y propuestos. El grupo de tecnología de información es el responsable de implementar los controles que el comité directivo de seguridad ha seleccionado cuando la probabilidad de una vulnerabilidad presenta un riesgo inaceptable.

Próximos pasos

La inversión en un programa de administración de riesgos de seguridad (con un proceso sólido y factible así como funciones y responsabilidades definidas) prepara a una organización a articular prioridades, planear la mitigación de amenazas y afrontar amenazas y vulnerabilidades críticas para la empresa. Utilice esta guía para evaluar su preparación y orientar sus capacidades de administración de riesgos de seguridad. Si necesita o desea más ayuda, póngase en contacto con un equipo de cuentas de Microsoft o con un socio de Microsoft Services.

Destinatarios de la guía

Esta guía se ha diseñado principalmente para consultores, especialistas en seguridad, arquitectos de sistemas y profesionales de TI que son responsables de planear el desarrollo y la implementación de aplicaciones o infraestructuras en varios proyectos. Estas funciones incluyen las siguientes descripciones de trabajo comunes:

Diseñadores y arquitectos de sistemas que son responsables de los esfuerzos en materia de arquitectura de sus organizaciones.

Miembros del equipo de seguridad de información que están centrados exclusivamente en proporcionar seguridad entre las plataformas de una organización.

Auditores de seguridad y de TI que son responsables de garantizar que las organizaciones han adoptado las precauciones adecuadas para proteger sus activos de negocios importantes.

Ejecutivos, analistas de negocio y responsables de la toma de decisiones con objetivos y requisitos de negocios cruciales que necesitan el apoyo de TI.

Consultores y socios que necesiten herramientas de transferencia de conocimientos para clientes y socios empresariales.

Ámbito de la guía

El enfoque de esta guía está en el modo de planear, establecer y mantener un proceso de administración de riesgos de seguridad satisfactorio en las organizaciones de cualquier tamaño y tipo. En el material se explica cómo llevar a cabo cada fase de un proyecto de administración de riesgos y el modo de convertir el proyecto en un proceso continuo que permite a la organización adoptar los controles más útiles y asequibles para mitigar los riesgos de seguridad.

Información general del contenido

La Guía de administración de riesgos de seguridad consta de seis capítulos, que se describen a continuación brevemente. Cada capítulo se basa en una práctica completa necesaria para iniciar y poner en funcionamiento de forma eficaz un proceso de administración de riesgos de seguridad continuo en la organización. A continuación de los capítulos se incluyen varios apéndices y herramientas que le ayudarán a organizar sus proyectos de administración de riesgos de seguridad.

Capítulo 1: Introducción a la Guía de administración de riesgos de seguridad

En este capítulo se presenta la guía y se ofrece una breve descripción de cada capítulo.

Capítulo 2: Estudio de prácticas de administración de riesgos de seguridad

Es importante sentar las bases del proceso de administración de riesgos de seguridad mediante la revisión de las distintas formas en que las organizaciones han enfocado la administración de riesgos de seguridad en el pasado. Los lectores que ya tengan experiencia en administración de riesgos de seguridad pueden consultar el capítulo rápidamente; se recomienda que los que tengan poca experiencia en la seguridad o la administración de riesgos lo lean detenidamente. El capítulo comienza con una revisión de los puntos fuertes y débiles de los enfoques proactivo y reactivo de la administración de riesgos. Posteriormente, se vuelve a analizar el concepto de madurez de administración de riesgos organizativa que se presenta en el capítulo 1, "Introducción a la guía de administración de riesgos de seguridad". Finalmente, en el capítulo se evalúa y se comparan la administración de riesgos cualitativa y la administración de riesgos cuantitativa, los dos métodos tradicionales. El proceso se presenta como un método alternativo, que proporciona un equilibrio entre estas metodologías, lo que deriva en un proceso que ha demostrado su eficacia en Microsoft.

Capítulo 3: Información general acerca de la administración de riesgos de seguridad

En este capítulo se proporciona un examen más detallado del proceso de administración de riesgos de seguridad de Microsoft y se presentan algunos de los conceptos y claves importantes para el éxito. También se ofrece orientación acerca de cómo prepararse para el proceso mediante un planeamiento eficaz y la creación de un equipo de administración de riesgos de seguridad sólido con funciones y responsabilidades bien definidas.

Capítulo 4: Evaluación del riesgo

En este capítulo se explica detalladamente la fase de evaluación de riesgos del proceso de administración de riesgos de seguridad de Microsoft. Los pasos de esta fase incluyen el planeamiento, la recopilación de datos facilitados y la asignación de prioridades a los riesgos. El proceso de evaluación de riesgos consta de varias tareas, algunas de las cuales pueden resultar muy exigentes para una organización grande. Por ejemplo, la identificación y la determinación de los valores de los activos de negocios pueden durar mucho tiempo. Otras tareas, como la identificación de amenazas y de vulnerabilidades, requieren grandes conocimientos técnicos. Los retos relacionados con estas tareas ilustran la importancia de un planeamiento correcto y de la creación de un equipo de administración de riesgos de seguridad sólo, tal como se recalca en el capítulo 3, "Información general acerca de la administración de riesgos de seguridad".

En la asignación de prioridades a los riesgos de resumen, el equipo de administración de riesgos de seguridad utiliza un enfoque cualitativo para clasificar la lista completa de riesgos de seguridad para poder identificar los más importantes y someterlos a un mayor análisis. A continuación, los riesgos principales se someten a un análisis detallado mediante técnicas cuantitativas. El resultado es una lista breve de los riesgos más importantes con métricas detalladas que el equipo puede utilizar para tomar decisiones sensatas durante la siguiente fase del proceso.

Capítulo 5: Apoyo a la toma de decisiones

Durante la fase de apoyo a la toma de decisiones del proceso, el equipo de administración de riesgos de seguridad determina cómo afrontar los riesgos clave del modo más eficaz y asequible. El equipo identifica los controles, determina los costos asociados a la adquisición, implementación y soporte de cada control, evalúa la reducción del nivel de riesgo que logra cada control y, finalmente, trabaja con el comité directivo de seguridad para determinar los controles que se implementarán. El resultado final es un plan claro y aplicable para controlar o aceptar cada uno de los riesgos principales identificados en la fase de evaluación de riesgos.

Capítulo 6: Implementación de controles y medición de la efectividad del programa

En este capítulo se tratan las dos últimas fases del proceso de administración de riesgos de seguridad de Microsoft: la implementación de controles y la medición de la efectividad del programa. La fase de implementación de controles se explica por sí misma: los responsables de mitigación crean y ejecutan planes en función de la lista de soluciones de control surgida durante el proceso de apoyo a la toma de decisiones para mitigar los riesgos identificados en la fase de evaluación de riesgos. En este capítulo se proporcionan vínculos a indicaciones normativas que los responsables de mitigación de su organización pueden considerar útiles para responder a distintos riesgos. La fase de medición de la efectividad del programa es un proceso continuo en el que el equipo de administración de riesgos de seguridad comprueba periódicamente que los controles implementados durante la fase anterior están ofreciendo realmente el nivel de protección previsto.

Otro paso de esta fase consiste en valorar el progreso global que la organización está efectuando en relación con la administración de riesgos de seguridad como un conjunto. En el capítulo se introduce el concepto de un "cálculo de riesgos de seguridad" que puede utilizar para realizar el seguimiento de la actuación de su organización. Finalmente, en el capítulo se explica la importancia de vigilar los cambios en el entorno informático, como la adición y eliminación de sistemas y aplicaciones o la aparición de nuevas amenazas y vulnerabilidades. Estos tipos de cambios pueden requerir que la organización adopte acciones inmediatas para protegerse de riesgos nuevos o cambiantes.

Apéndice A: Evaluaciones ad hoc

En este apéndice se compara el proceso de evaluación de riesgos de empresa formal con el enfoque ad hoc que muchas organizaciones adoptan. Se destacan las ventajas y las desventajas de cada método y se sugiere cuándo resulta más sensato utilizar uno u otro.

Apéndice B: Activos comunes del sistema de información

En este apéndice se enumeran los activos del sistema de información que se encuentran habitualmente en organizaciones de varios tipos. Esta lista no pretende ser exhaustiva y es improbable que represente todos los activos del entorno único de su organización. Por lo tanto, es importante que personalice la lista durante el proceso de evaluación de riesgos. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organización a empezar.

Apéndice C: Amenazas comunes

En este apéndice se enumeran las amenazas que probablemente pueden afectar a una amplia gama de organizaciones. La lista no es exhaustiva y, debido a que es estática, no estará actualizada. Por lo tanto, es importante que quite las amenazas que no son relevantes para su organización y agregue las identificadas recientemente durante la fase de evaluación de su proyecto. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organización a empezar.

Apéndice D: Vulnerabilidades

En este apéndice se enumeran las vulnerabilidades que probablemente pueden afectar a una amplia gama de organizaciones. La lista no es exhaustiva y, debido a que es estática, no estará actualizada. Por lo tanto, es importante que quite las vulnerabilidades que no son relevantes para su organización y agregue las identificadas recientemente durante el proceso de evaluación de riesgos. Se proporciona como una lista de referencia y un punto de partida para ayudar a su organización a empezar.

Herramientas y plantillas

En esta guía se incluye una serie de herramientas y plantillas que facilitarán a su organización la implementación del proceso de administración de riesgos de seguridad de Microsoft. Estas herramientas y plantillas están incluidas en un archivo WinZip autoextraíble que está disponible en el Centro de descarga. Tenga en cuenta que la descarga también contiene una copia de esta guía. Al extraer los archivos del archivo de almacenamiento descargado, se crea la siguiente estructura de carpetas en la ubicación especificada:

\Guía de administración de riesgos de seguridad: contiene la versión de esta guía en un archivo de formato de documento portátil (PDF).

\Guía de administración de riesgos de seguridad\Herramientas y plantillas: contiene los siguientes archivos:

Plantilla de recopilación de datos (GARSHerramienta1-Herramienta de recopilación de datos.doc). Puede utilizar esta plantilla en la fase de evaluación de riesgos durante los talleres que se describen en el capítulo 4, "Evaluación del riesgo".

Hoja de trabajo Análisis de riesgos de nivel de resumen (GARSHerramienta2-Nivel de riesgo de resumen.xls). Esta hoja de trabajo de Microsoft® Excel ayudará a su organización a realizar el primer paso del análisis de riesgos: el análisis de nivel de resumen.

Hoja de trabajo Análisis de riesgos de nivel de detalle (GARSHerramienta3-Asignación de prioridades a los riesgos de nivel detallado.xls). Esta hoja de trabajo de Excel ayudará a su organización a realizar un análisis más exhaustivo de los riesgos principales identificados durante el análisis de nivel de resumen.

Programa de ejemplo (GARSHerramienta4-Programa de proyecto de ejemplo.xls). Esta hoja de trabajo de Excel muestra un programa de proyecto de alto nivel para el proceso de administración de riesgos de seguridad. Incluye las fases, los pasos y las tareas descritos a lo largo de la guía.

Claves para el éxito

Siempre que una organización emprende una nueva iniciativa importante, deben existir varios elementos fundamentales si se desea que el esfuerzo tenga éxito. Microsoft ha identificado los componentes que deben existir antes de la implementación de un proceso de administración de riesgos de seguridad con éxito y que deben seguir existiendo una vez se ha puesto en marcha. Se trata de:

Patrocinio ejecutivo.

Lista bien definida de los participantes en la administración de riesgos.

Madurez organizativa en administración de riesgos.

Ambiente de comunicaciones abiertas.

Espíritu de trabajo en equipo.

Visión holística de la organización.

Autoridad de equipo de administración de riesgos de seguridad.

En las siguientes secciones se tratan estos elementos necesarios en todo el proceso de administración de riesgos; los adicionales que resulten pertinentes para fases específicas se indican en los capítulos donde se explican dichas fases.

Patrocinio ejecutivo

Los directivos deben apoyar de forma clara y con entusiasmo el proceso de administración de riesgos de seguridad. Sin este patrocinio, los participantes pueden oponerse o socavar los esfuerzos para utilizar la administración de riesgos con el fin de lograr que la organización sea más segura. Asimismo, sin un patrocinio ejecutivo claro, los empleados pueden hacer caso omiso a las directivas acerca del modo de llevar a cabo su trabajo o no ayudar a proteger los activos organizativos. Existen numerosos motivos posibles por los que los empleados no colaboren. Entre otros, se puede mencionar la resistencia generalizada a los cambios, la falta de consideración acerca de la importancia de una administración de riesgos eficaz, la creencia no exactamente cierta de que ellos, como individuos, poseen unos conocimientos sólidos acerca de cómo proteger los activos de negocios aunque su punto de vista pueda no ser tan amplio o profundo como el del equipo de administración de riesgos de seguridad o la creencia de que su parte de la organización nunca será objetivo de los posibles piratas informáticos.

El patrocinio implica lo siguiente:

Delegación de autoridad y responsabilidad al equipo de administración de riesgos de seguridad para un alcance de proyecto articulado de forma clara.

Apoyo a la participación de todo el personal según sea necesario.

Asignación de recursos suficientes, como personal y recursos financieros.

Apoyo claro y enérgico al proceso de administración de riesgos de seguridad.

Participación en la revisión de los resultados y las recomendaciones del proceso de administración de riesgos de seguridad.

Lista bien definida de los participantes en la administración de riesgos

En esta guía con frecuencia se hace referencia al término participantes, que en este contexto significa miembros de la organización que están interesados en los resultados del proceso de administración de riesgos de seguridad. El equipo de administración de riesgos de seguridad tiene que saber quiénes son todos los participantes, incluido el propio equipo nuclear así como los patrocinadores ejecutivos. También se incluyen las personas que se encargan de los activos de negocios que se evaluarán. El personal de TI responsable de diseñar, implementar y administrar los activos de negocios también son participantes clave.

Los participantes se deben identificar para que se puedan incorporar al proceso de administración de riesgos de seguridad. El equipo de administración de riesgos de seguridad debe dedicar tiempo en ayudarles a comprender el proceso y el modo en que pueden colaborar para proteger sus activos y ahorrar dinero a largo plazo.

Madurez organizativa en administración de riesgos

Si una organización no dispone actualmente de un proceso de administración de riesgos de seguridad, el proceso de Microsoft puede implicar demasiados cambios para implementarlo por completo. Aunque una organización tenga algunos procesos informales, como esfuerzos ad hoc que se ponen en marcha como respuesta a problemas de seguridad específicos, el proceso puede parecer abrumador. No obstante, puede resultar eficaz en organización con más madurez en administración de riesgos; la madurez se hace patente en cuestiones como procesos de seguridad bien definidos y un conocimiento y aceptación sólidos de la administración de riesgos de seguridad en muchos niveles de la organización. En el capítulo 3, "Información general acerca de la administración de riesgos de seguridad", se trata el concepto de madurez de administración de riesgos de seguridad y cómo calcular el nivel de madurez de su organización.

Ambiente de comunicaciones abiertas

Muchas organizaciones y proyectos funcionan exclusivamente sobre la base de "quien necesite saberlo", que con frecuencia provoca equivocaciones y merma la capacidad de un equipo para ofrecer una solución satisfactoria. El proceso de administración de riesgos de seguridad de Microsoft requiere un enfoque abierto y honesto de las comunicaciones, tanto dentro del equipo como con los participantes clave. Un flujo libre de la información no sólo reduce el riesgo de equivocaciones y esfuerzos desperdiciados, sino que también garantiza que todos los miembros del equipo pueden contribuir para reducir las incertidumbres que rodean al proyecto. Un debate abierto y honesto acerca de los riesgos que se han identificado y los controles que pueden mitigarlos de forma eficaz resulta crucial para el éxito del proceso.

Espíritu de trabajo en equipo

La solidez y la validez de las relaciones entre todas las personas que trabajan en el proceso de administración de riesgos de Microsoft tendrán un efecto muy importante en el esfuerzo. Independientemente del apoyo de los directivos, las relaciones establecidas entre el personal y responsables de seguridad y el resto de la organización son fundamentales para el éxito global del proceso. Resulta muy importante que el equipo de administración de riesgos de seguridad fomente un espíritu de trabajo en equipo con cada uno de los representantes de las unidades de negocios con los que trabajen a lo largo del proyecto. El equipo puede facilitar este hecho si demuestra de forma eficaz el valor de negocios de la administración de riesgos de seguridad a los responsables individuales de las unidades de negocios y si muestra al personal el modo en que el proyecto, a largo plazo, puede facilitarles su trabajo.

Visión holística de la organización

Todos los participantes implicados en el proceso de Microsoft, en concreto el equipo de administración de riesgos de seguridad, deben tener en cuenta a toda la organización durante su trabajo. Lo que resulta adecuado para un empleado concreto no suele serlo para la organización como un conjunto. Del mismo modo, lo que es más beneficioso para una unidad de negocios puede no corresponder a los mejores intereses de la organización. El personal y los responsables de una determinada unidad de negocios intentarán instintivamente que los resultados del proceso sean beneficiosos para ellos y sus partes de la organización.

Autoridad a través del proceso

Los participantes del proceso de administración de riesgos de seguridad de Microsoft aceptan la responsabilidad de identificar y controlar los riesgos de seguridad más importantes para la organización. Con el fin de mitigar de forma eficaz estos riesgos mediante la implementación de controles razonables, también necesitan autoridad suficiente para efectuar los cambios adecuados. Los miembros del equipo deben poder cumplir los compromisos asignados. Para ello, es necesario que a los miembros del equipo se les concedan los recursos necesarios para llevar a cabo su trabajo, que sean responsables de las decisiones que afecten a su trabajo y que comprendan los límites de su autoridad y las rutas de traslado a niveles superiores disponibles para tratar los problemas que trasciendan dichos límites.

Términos y definiciones

En ocasiones, la terminología relacionada con la administración de riesgos de seguridad puede resultar difícil de entender. En otras ocasiones, un término de fácil identificación puede ser interpretado de forma distinta por diferentes personas. Por estos motivos, es importante que comprenda las definiciones que los autores de esta guía han utilizado para los términos importantes que aparecen en ella. Muchas de las definiciones indicadas a continuación proceden de documentos publicados por dos organizaciones: International Standards Organization (ISO) e Internet Engineering Task Force (IETF). Las direcciones Web de dichas organizaciones se proporcionan en la sección "Información adicional" más adelante en este capítulo. En la siguiente lista se proporciona una perspectiva unificada de los componentes clave de la administración de riesgos de seguridad:

Expectativa de pérdida anual (ALE): importe monetario total que una organización perderá en un año si no se emprende ninguna acción para mitigar un riesgo.

Frecuencia anual (ARO): número de veces que se prevé que se produzca un riesgo durante un año.

Activo: cualquier elemento de valor para una organización, como componentes de hardware y software, datos, personas y documentación.

Disponibilidad: propiedad de un sistema o un recurso del sistema que garantiza que se puede tener acceso y utilizar según lo solicite un usuario de sistema autorizado. La disponibilidad es una de las características básicas de un sistema seguro.

CID: consulte confidencialidad, integridad y disponibilidad.

Confidencialidad: propiedad de que la información no se revela ni pone a disposición de personas, entidades o procesos no autorizados (ISO 7498-2).

Control: medio organizativo, de procedimiento o tecnológico para administrar el riesgo; es sinónimo de protección o contramedida.

Análisis de costo-beneficio: estimación y comparación del valor relativo y el costo asociado a cada control propuesto para que se implementen los más eficaces.

Apoyo a la toma de decisiones: asignación de prioridades a los riesgos según el análisis de costo-beneficio. El costo de la solución de seguridad para mitigar un riesgo se compara con la ventaja para el negocio de mitigar el riesgo.

Defensa en profundidad: enfoque en el que se utilizan varios niveles de seguridad para protegerse del error de un solo componente de seguridad.

Aprovechamiento: medio de utilizar una vulnerabilidad para poner en peligro las actividades de negocios o la seguridad de la información.

Exposición: acción de amenaza en la que los datos confidenciales se revelan a una entidad no autorizada (RFC 2828). El proceso de administración de riesgos de seguridad de Microsoft limita esta definición para centrarse en el alcance de los daños en un activo empresarial.

Efecto: pérdida de negocios global prevista cuando una amenaza aprovecha una vulnerabilidad en un activo.

Integridad: propiedad de que los datos no se han modificado ni destruido de un modo no autorizado (ISO 7498-2).

Mitigación: solución de un riesgo mediante la adopción de medidas diseñadas para contrarrestar la amenaza.

Solución de mitigación: implementación de un control (organizativo, de procedimiento o tecnológico) para hacer frente a un riesgo de seguridad.

Probabilidad: posibilidad de que se produzca un suceso.

Administración de riesgos cualitativa: enfoque de la administración de riesgos en el que los participantes asignan valores relativos a activos, riesgos, controles y efectos.

Administración de riesgos cuantitativa: enfoque de la administración de riesgos en el que los participantes intentan asignar valores numéricos objetivos (por ejemplo, valores monetarios) a activos, riesgos, controles y efectos.

Reputación: opinión que las personas tienen de una organización; la reputación de la mayoría de las organizaciones tiene un valor real aunque sea intangible y difícil de calcular.

Rendimiento de la inversión en seguridad (ROSI): importe monetario total que una organización prevé ahorrar en un año si implementa un control de seguridad.

Riesgo: combinación de la probabilidad de un suceso y sus consecuencias (guía 73 de ISO).

Evaluación de riesgos: proceso mediante el que se identifican los riesgos y se determinan sus efectos.

Administración de riesgos: proceso para determinar un nivel de riesgo aceptable, evaluar el nivel de riesgo actual, adoptar medidas para reducir el riesgo al nivel aceptable y mantener dicho nivel de riesgo.

Expectativa de pérdida simple (SLE): importe total de los ingresos que se perderán si se produce una vez un riesgo.

Amenaza: causa posible de un efecto no deseado en un sistema u organización (ISO 13335-1).

Vulnerabilidad: cualquier debilidad, proceso administrativo, acto o exposición física que permita que una amenaza ataque a un activo de información.

Convenciones de estilo

En esta guía se utilizan las siguientes convenciones de estilo y terminología.

Tabla 1.1: Convenciones de estilo

ElementoSignificado

Nota

Avisa al lector de que hay información adicional.

Ejemplo de Woodgrove

Avisa al lector de que hay contenido relacionado con la empresa ficticia de ejemplo, "Woodgrove Bank".

Obtención de ayuda para esta guía

En esta guía se pretende describir de forma clara un proceso que las organizaciones pueden seguir para implementar y mantener un programa de administración de riesgos. Si necesita ayuda para implementar un programa de administración de riesgos, debe ponerse en contacto con su equipo de cuentas de Microsoft. Para este documento no existe asistencia telefónica.

Las opiniones y las dudas acerca de esta guía se pueden enviar a secwish@microsoft.com.

Información adicional

Las siguientes fuentes de información eran las más recientes disponibles acerca de los temas estrechamente relacionados con la administración de riesgos de seguridad en el momento de publicar esta guía.

Microsoft Operations Framework (MOF) proporciona orientación que permite a las organizaciones aumentar la confiabilidad, disponibilidad, compatibilidad y manejabilidad de los productos y las tecnologías de Microsoft que resultan fundamentales para su labor. MOF proporciona orientación operativa en notas del producto, guías de operaciones, herramientas de evaluación, prácticas recomendadas, estudios de casos, plantillas, herramientas de asistencia y servicios. El objetivo de esta guía es orientar en todas las cuestiones administrativas, de personal, de proceso y tecnológicas que suelen surgir en cualquier entorno de TI distribuido, heterogéneo y complejo. En www.microsoft.com/mof hay disponible más información acerca de MOF.

Microsoft Solutions Framework (MSF) puede ayudarle a llevar a cabo con éxito los planes de acción creados como parte del proceso de administración de riesgos de seguridad de Microsoft. Se ha diseñado para ayudar a las organizaciones a ofrecer soluciones de tecnología de alta calidad puntuales y según lo presupuestado. MSF sintetiza un enfoque bien disciplinado orientado hacia los proyectos tecnológicos basándose en un conjunto definido de principios, modelos, disciplinas, conceptos, orientaciones y prácticas demostradas de Microsoft. Para obtener más información acerca de MSF, consulte www.microsoft.com/msf.

El Centro de instrucciones de seguridad de Microsoft (SGC) constituye una colección exhaustiva y bien organizada de documentación que trata una amplia variedad de temas de seguridad. SGC está disponible en www.microsoft.com/security/guidance/default.mspx.

Microsoft Windows 2000 Server Solution for Security es una solución normativa dirigida a reducir las vulnerabilidades de seguridad así como los costos de exposición y la administración de seguridad en entornos de Microsoft Windows® 2000. Los capítulos 2, 3 y 4 de la guía Microsoft Windows 2000 Server Solution for Security contienen la primera guía de administración de riesgos de seguridad que ha publicado Microsoft, que se denomina Disciplina de administración de riesgos de seguridad (SRMD). La guía que está leyendo reemplaza el contenido de administración de riesgos de seguridad de la guía Microsoft Windows 2000 Server Solution for Security. Esta guía esta disponible en http://go.microsoft.com/
fwlink/?LinkId=14837
.

El instituto National Institute for Standards and Technology (NIST) ofrece una excelente guía acerca de la administración de riesgos titulada Risk Management Guide for Information Technology Systems (enero de 2002). Está disponible http://csrc.nist.gov/publications/nistpubs/800-30/
sp800-30.pdf
.

NIST también ofrece la guía titulada The Security Self-Assessment Guide for Information Technology Systems (noviembre de 2001) acerca de cómo realizar la evaluación de su organización. Está disponible en http://csrc.nist.gov/publications/nistpubs/800-26/
sp800-26.pdf
.

La organización ISO ofrece un código de alto nivel de práctica denominado Information technology — Code of practice for information security management; también se denomina ISO 17799. Se puede adquirir en www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?
CSNUMBER=33441&ICS1=35&ICS2=40&ICS3=
.

La organización ISO ha publicado varios documentos de estándares, algunos de los cuales se mencionan en esta guía. Se pueden adquirir en www.iso.org.

La organización Computer Emergency Response Team (CERT), que se encuentra en el centro Software Engineering Institute de la universidad Carnegie-Mellon, ha creado OCTAVE® (Operationally Critical Threat, Asset, and Vulnerability EvaluationSM), una técnica de autoevaluación y planeamiento de riesgos. En www.cert.org/octave hay disponible más información acerca de OCTAVE.

En CobiT (Control Objectives for Information and Related Technology) se ofrecen estándares de aplicación y aceptación general para prácticas recomendadas de seguridad y control de TI que proporcionan un marco de referencia a directivos, usuarios y especialistas de auditoría, control y seguridad de sistemas de información. Se puede adquirir en línea en el instituto IT Governance Institute en www.itgi.org/cobit.

La organización IETF ha publicado el documento 2828 de Request for Comments (RFC), que es un memorando disponible públicamente donde se proporcionan definiciones estándar para numerosos términos de seguridad de sistemas de información. Está disponible en www.faqs.org/rfcs/rfc2828.html.


**
**

©2015 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad
Microsoft