Guía de administración de riesgos de seguridad

Capítulo 2: Estudio de prácticas de administración de riesgos de seguridad

Publicado: 15/10/2004

Este capítulo comienza con una revisión de los puntos fuertes y débiles de los enfoques proactivo y reactivo de la administración de riesgos de seguridad. A continuación, en el capítulo se evalúan y se comparan la administración de riesgos de seguridad cualitativa y la cuantitativa, los dos métodos tradicionales. El proceso de administración de riesgos de seguridad de Microsoft se presenta como un método alternativo, que proporciona un equilibrio entre estas metodologías, lo que deriva en un proceso que ha demostrado su eficacia en Microsoft.

Nota: es importante sentar las bases del proceso de administración de riesgos de seguridad mediante la revisión de las distintas formas en que las organizaciones han enfocado la administración de riesgos de seguridad en el pasado. Los lectores que ya tengan experiencia en administración de riesgos de seguridad pueden consultar el capítulo rápidamente; se recomienda que los que tengan poca experiencia en la seguridad o la administración de riesgos lo lean detenidamente.

En esta página
Comparación de los enfoques de administración de riesgosComparación de los enfoques de administración de riesgos
Enfoques de asignación de prioridades a riesgosEnfoques de asignación de prioridades a riesgos
Proceso de administración de riesgos de seguridad de MicrosoftProceso de administración de riesgos de seguridad de Microsoft

Comparación de los enfoques de administración de riesgos

Muchas organizaciones se han introducido en la administración de riesgos de seguridad debido a la necesidad de responder a una incidencia de seguridad relativamente pequeña. Por ejemplo, el equipo de un empleado se infecta con un virus y un responsable de la oficina convertido en experto informático debe averiguar cómo tiene que erradicar el virus sin destruir el equipo ni los datos que contiene. Independientemente de cuál sea la incidencia inicial, a medida que aparecen cada vez más problemas relacionados con la seguridad y comienzan a tener repercusiones en los negocios, muchas organizaciones sienten frustración al tener que responder a una crisis tras otra. Desean una alternativa a este enfoque reactivo, una alternativa que reduzca la probabilidad de que las incidencias de seguridad se produzcan en primer lugar. Las organizaciones que administran el riesgo de forma eficaz evolucionan a un enfoque más proactivo pero, como se explicará en este capítulo, esto sólo constituye parte de la solución.

Enfoque reactivo

Actualmente, muchos profesionales de tecnología de información (TI) sienten una tremenda presión para terminar sus tareas rápidamente y provocar las menos incomodidades posibles a los usuarios. Cuando se produce una incidencia de seguridad, muchos profesionales de TI piensan que lo único para lo que tienen tiempo de hacer es contener la situación, averiguar qué ha sucedido y reparar los sistemas lo más rápidamente posible. Algunos pueden intentar identificar la causa principal, pero esto incluso puede parecer un lujo para los que tienen grandes restricciones de recursos. Aunque un enfoque reactivo puede constituir una respuesta táctica eficaz a los riesgos de seguridad descubiertos y se han convertido en incidencias de seguridad, la imposición de un pequeño nivel de rigor al enfoque reactivo puede permitir que las organizaciones de cualquier tipo utilicen mejor sus recursos.

Las incidencias de seguridad recientes pueden servir de ayuda para que una organización se prepare y prevea los problemas futuros. Esto significa que una organización que dedica tiempo a responder a las incidencias de seguridad de un modo calmado y racional mientras determina los motivos subyacentes que han permitido que se produjera la incidencia podrá protegerse mejor de problemas similares en el futuro y responderá con más rapidez a otros problemas que puedan aparecer.

Queda fuera del alcance de esta guía el examen en profundidad de la respuesta a incidencias, pero los siguientes seis pasos al responder a incidencias de seguridad pueden ayudarle a afrontarlos de un modo rápido y eficaz:

1.

Proteger la vida humana y la seguridad de las personas. Ésta debe ser siempre la primera prioridad. Por ejemplo, si los equipos afectados incluyen equipos de mantenimiento de vida, apagarlos puede no ser una opción; tal vez se pueden aislar lógicamente los sistemas en la red cambiando la configuración de enrutadores y conmutadores sin interrumpir su capacidad de ayudar a los pacientes.

2.

Contener el daño. Contener el daño que ha provocado el ataque ayuda a limitar daños adicionales. Proteja rápidamente los datos, el software y el hardware importantes. Minimizar la alteración de los recursos información es una consideración importante, pero mantener los sistemas conectados durante un ataque puede causar más problemas y de mayor difusión a largo plazo. Por ejemplo, si descubre un gusano en su entorno, puede intentar limitar los daños desconectando los servidores de la red. No obstante, desconectar los servidores puede resultar más perjudicial que beneficioso. Utilice su criterio y conocimientos de la red y sistemas para tomar esta decisión. Si determina que no habrá efectos negativos o que estos se verán compensados por las ventajas positivas de la actividad, la contención se debe iniciar lo más pronto posible durante una incidencia de seguridad mediante la desconexión de la red de los sistemas que estén afectados. Si no puede contener el daño mediante el aislamiento de los servidores, supervise activamente las acciones del pirata informático para poder reparar los daños tan pronto como sea posible. Ante cualquier incidencia, asegúrese de que todos los archivos de registro se guardan antes de apagar los servidores con el fin de conservar la información que contienen dichos archivos como prueba si usted (o sus abogados) la necesitan posteriormente.

3.

Evaluar el daño. Cree inmediatamente un duplicado de los discos duros de los servidores atacados y quítelos para realizar un examen forense posterior. A continuación, evalúe los daños. Debe empezar por determinar el alcance de los daños que el ataque ha causado tan pronto como sea posible, inmediatamente después de contener la situación y duplicar los discos duros. Esta acción es importante para poder restaurar las operaciones de la organización tan pronto como sea posible, al mismo tiempo que se conserva una copia de los discos duros para su investigación. Si no se puede evaluar el daño de forma oportuna, debe implementar un plan de contingencias para que las operaciones de negocios normales y la productividad puedan continuar. En este momento las organizaciones pueden establecer contacto con los cuerpos de seguridad en relación con la incidencia; no obstante, debe establecer y mantener relaciones con los cuerpos de seguridad que tengan jurisdicción sobre la actividad de su organización antes de que se produzca una incidencia para que, cuando aparezca un problema grave, sepa con quién debe ponerse en contacto y con quién debe colaborar. También debe avisar inmediatamente al departamento jurídico de su empresa para que pueda determinar si es posible emprender una demanda civil como consecuencia de los daños.

4.

Determinar la causa del daño. Para determinar el origen del asalto, es necesario conocer los recursos a los que iba dirigido el ataque y las vulnerabilidades que se han aprovechado para obtener acceso o interrumpir los servicios. Revise la configuración del sistema, el nivel de revisión, los registros del sistema, los registros de auditoría y las pistas de auditoría en los sistemas afectados directamente y en los dispositivos de red que les enrutan el tráfico. Normalmente, estas revisiones ayudan a descubrir dónde se ha originado el ataque en el sistema y los demás recursos afectados. Debe llevar a cabo esta actividad en los sistemas informáticos instalados y no en las unidades de copia de seguridad creadas en el paso 3. Dichas unidades deben permanecer intactas con fines forenses de modo que los cuerpos de seguridad o sus abogados puedan utilizarlas para descubrir a los autores del ataque y llevarlos ante la justicia. Si necesita crear una copia de seguridad para efectuar pruebas con el fin de determinar la causa del daño, cree una segunda copia de seguridad del sistema original y no utilice las unidades creadas en el paso 3.

5.

Reparar el daño. Es de suma importancia que se repare el daño tan pronto como sea posible para así restaurar las operaciones de negocios normales y los datos que se han perdido durante el ataque. Los planes y procedimientos de continuidad de negocio de la organización deben cubrir la estrategia de restauración. El equipo de respuesta a incidencias también debe estar disponible para encargarse del proceso de restauración y recuperación, o para proporcionar orientación acerca del proceso al equipo responsable. Durante la recuperación, se ejecutan los procedimientos de contingencias con el fin de evitar una mayor propagación del daño y aislarlo. Antes de devolver los sistemas reparados al servicio, tenga cuidado de que no se vuelvan a infectar inmediatamente; para ello, asegúrese de que ha mitigado las vulnerabilidades que se hayan atacado durante la incidencia.

6.

Revisar las directivas de respuesta y actualización. Después de haber completado las fases de documentación y recuperación, debe revisar a fondo el proceso. Determine con su equipo cuáles son los pasos que se realizaron correctamente y qué errores se cometieron. En casi todos los casos, descubrirá que es necesario modificar los procesos para permitirle administrar mejor las incidencias en el futuro. Inevitablemente encontrará debilidades en su plan de respuesta a incidencias. En esto estriba la cuestión de este ejercicio detallado: se buscan oportunidades de mejora. Cualquier error debe propiciar otra ronda del proceso de plan de respuesta a incidencias para poder afrontar las incidencias futuras con menos problemas.

Esta metodología se ilustra en el siguiente diagrama:

Figura 2.1 Proceso de respuesta a incidencias

Figura 2.1 Proceso de respuesta a incidencias

Enfoque proactivo

La administración de riesgos de seguridad proactiva tiene numerosas ventajas con respecto a un enfoque reactivo. En vez de esperar a que suceda lo peor y, a continuación, llevar a cabo la respuesta, se minimiza la posibilidad de que pase lo peor antes de que se produzca. Se trazan planes para proteger los activos importantes de la organización mediante la implementación de controles que reduzcan el riesgo de que el software malintencionado, los piratas informáticos o un uso incorrecto accidental aprovechen las vulnerabilidades. Esta idea se puede ilustrar con una analogía. La gripe es una enfermedad respiratoria mortal que infecta a millones de personas en Estados Unidos cada año. De ellas, más de 100.000 deben recibir tratamiento en hospitales y cerca de 36.000 mueren. Podría tratar la amenaza de la enfermedad esperando a infectarse y, después, tomar la medicina para tratar los síntomas si enferma. O también podría optar por vacunarse antes de que comenzara la temporada de la gripe.

Evidentemente, las organizaciones no debe abandonar por completo la respuesta a incidencias. Un enfoque proactivo puede ayudar a las organizaciones a reducir considerablemente el número de incidencias de seguridad que surjan en el futuro, pero no es probable que dichos problemas desaparezcan por completo. Por lo tanto, las organizaciones deben continuar mejorando sus procesos de respuesta a incidencias mientras desarrollan simultáneamente enfoques proactivos a largo plazo.

En las secciones posteriores de este capítulo, y en el resto de los capítulos de esta guía, se examinará la administración de riesgos de seguridad proactiva en profundidad. Todas las metodologías de administración de riesgos de seguridad comparten algunos procedimientos de alto nivel comunes:

1.

Identificar los activos de negocios.

2.

Determinar el daño que un ataque a un activo podría provocar a la organización.

3.

Identificar las vulnerabilidades que aprovechará el ataque.

4.

Determinar el modo de minimizar el riesgo de ataque mediante la implementación de los controles adecuados.

Enfoques de asignación de prioridades a riesgos

Los términos administración de riesgos y evaluación de riesgos se utilizan con frecuencia en esta guía y, aunque están relacionados, no se pueden usar indistintamente. El proceso de administración de riesgos de seguridad de Microsoft define la administración de riesgos como el esfuerzo global para administrar el riesgo hasta alcanzar un nivel aceptable en la empresa. La evaluación de riesgos se define como el proceso de identificar y asignar prioridades a los riesgos para la empresa.

Hay numerosas metodologías distintas para asignar prioridades a los riesgos o evaluarlos, pero la mayoría están basadas en uno de estos dos enfoques o en una combinación de ambos: administración de riesgos cuantitativa o administración de riesgos cualitativa. Consulte en la lista de recursos de la sección "Información adicional" al final del capítulo 1, "Introducción a la guía de administración de riesgos de seguridad", los vínculos a otras metodologías de evaluación de riesgos. En las siguientes secciones de este capítulo se ofrecen un resumen y una comparación de la evaluación de riesgos cuantitativa y la cualitativa, seguidos de una breve descripción del proceso de administración de riesgos de seguridad de Microsoft para que pueda apreciar cómo combina aspectos de ambos enfoques.

Evaluación de riesgos cuantitativa

En las evaluaciones de riesgos cuantitativas, el objeto es intentar calcular valores numéricos objetos para cada uno de los componentes recopilados durante la evaluación de riesgos y el análisis de costo-beneficio. Por ejemplo, se estima el valor verdadero de cada activo de negocios en función de lo que costaría reemplazarlo, lo que costaría en pérdida de productividad, lo que costaría en reputación de marca y en otros valores de negocios directos e indirectos. Intente emplear la misma objetividad al calcular la exposición de activos, el costo de controles y el resto de los valores que identifique durante el proceso de administración de riesgos.

Nota: en esta sección se pretende mostrar a grandes rasgos algunos de los pasos de las evaluaciones de riesgos cuantitativas; no se trata de una guía normativa para utilizar dicho enfoque en proyectos de administración de riesgos de seguridad.

Existen algunos puntos débiles importantes que son inherentes a este enfoque y que no se pueden solventar fácilmente. En primer lugar, no existe un modo formal y riguroso de calcular de forma eficaz los valores de los activos y de los controles. Es decir, aunque pueda parecer que ofrece más detalle, en realidad los valores financieros oscurecen el hecho de que las cifras se basan en estimaciones. ¿Cómo es posible calcular de un modo preciso y exacto las repercusiones que una incidencia de seguridad de amplia difusión podría tener en la marca? Se pueden examinar los datos históricos, si están disponibles, pero no suelen estarlo.

En segundo lugar, las organizaciones que han intentado aplicar meticulosamente todos los aspectos de la administración de riesgos cuantitativa han comprobado que el proceso es excesivamente costoso. Dichos proyectos suelen tardar mucho tiempo en completar su primer ciclo completo y normalmente implican a muchos miembros del personal con discusiones acerca de cómo se han calculado los valores fiscales específicos. En tercer lugar, en organizaciones con valores de alto valor, el costo de exposición puede ser tan alto que se gastaría una ingente cantidad de dinero en mitigar los riesgos a los que estuvieran expuestas. Pero esto no es realista, una organización no gastaría todo su presupuesto en proteger un solo activo, ni siquiera los cinco principales.

Detalles del enfoque cuantitativo

En este punto, puede resultar útil disponer de una descripción general de las ventajas y los inconvenientes de las evaluaciones de riesgos cuantitativas. En el resto de esta sección se examinan algunos de los factores y valores que normalmente se evalúan durante una evaluación de riesgos cuantitativa, como la valoración de activos, el costo de los controles, la determinación del rendimiento de la inversión en seguridad (ROSI) y el cálculo de valores para la expectativa de pérdida simple (SLE), la frecuencia anual (ARO) y la expectativa de pérdida anual (ALE). No se trata en absoluto de un examen exhaustivo de todos los aspectos de la evaluación de riesgos cuantitativa, sino de un breve examen de algunos detalles de dicho enfoque para que compruebe que las cifras que conforman la base de todos los cálculos son subjetivas en sí mismas.

Valoración de activos

La determinación del valor monetario de un activo es una parte importante de la administración de riesgos de seguridad. A menudo, los directores se basan en el valor de un activo como orientación para determinar el dinero y tiempo que deben invertir para protegerlo. Muchas organizaciones conservan una lista de valores de los activos como parte de los planes de continuidad de negocios. No obstante, las cifras calculadas en realidad son estimaciones subjetivas: no existe ninguna herramienta o método para determinar el valor de un activo. Para asignar un valor a un activo, se deben calcular los tres factores principales siguientes:

El valor global del activo en la organización. Calcule o estime el valor del activo en términos financieros directos. Consideremos el ejemplo simplificado de las repercusiones de la interrupción temporal de un sitio Web de comercio electrónico que normalmente funciona siete días a la semana, 24 horas al día, y que genera un promedio de 2.000 dólares por hora en ingresos procedentes de los pedidos de los clientes. Puede establecer con seguridad que el valor anual del sitio Web en términos de ingresos por ventas es de 17.520.000 dólares.

La repercusión financiera inmediata de la pérdida del activo. Si simplificamos deliberadamente el ejemplo anterior y suponemos que el sitio Web genera una tasa constante por hora y el mismo sitio Web deja de estar disponible durante seis horas, la exposición calculada es de un 0,000685% por año. Al multiplicar este porcentaje de exposición por el valor anual del activo, podrá predecir que las pérdidas directamente atribuibles en este caso serían de 12.000 dólares. En realidad, la mayoría de los sitios Web de comercio electrónico generan ingresos con unas tasas muy distintas según la hora del día, el día de la semana, la estación, las campañas de publicidad y otros factores. Además, algunos clientes pueden encontrar un sitio Web alternativo que prefieran al original, por lo que dicho sitio Web puede tener una pérdida de usuarios permanente. En realidad, calcular la pérdida de ingresos resulta bastante complejo si se quiere ser preciso y tener en cuenta todos los tipos posibles de pérdida.

La repercusión de negocios indirecta de la pérdida del activo. En este ejemplo, la empresa estima que gastará 10.000 dólares en publicidad para contrarrestar la propaganda negativa de una incidencia. Asimismo, la empresa también estima una pérdida de un 0,01% a un 1% de ventas anuales, o 17.520 dólares. Mediante la combinación de los gastos de publicidad adicionales y de la pérdida ingresos por ventas anuales, en este caso se puede predecir un total de 27.520 dólares en pérdidas indirectas.

Determinación de la expectativa de pérdida simple

La expectativa de pérdida simple es la cantidad total de ingresos que se pierde por una única incidencia del riesgo. Se trata de un importe monetario que se asigna a un único suceso que representa la cantidad de pérdida potencial de la empresa, en caso de que una amenaza específica aproveche una vulnerabilidad. (La expectativa de pérdida simple es similar a la repercusión de un análisis de riesgos cualitativo.) Calcule dicha expectativa multiplicando el valor del activo por el factor de exposición. Dicho factor representa el porcentaje de pérdida que una amenaza realizada podría suponer para un determinado activo. Si un conjunto de servidores Web tiene un valor de activo de 150.000 dólares y un incendio provoca daños estimados en el 25% de su valor, en este caso la expectativa de pérdida simple será de 37.500 dólares. No obstante se trata de un ejemplo muy simplificado, ya que es necesario tener en cuenta otros gastos.

Determinación de la frecuencia anual

La frecuencia anual es la cantidad razonable de veces que se espera que ocurra el riesgo durante el año. La elaboración de estas estimaciones resulta muy difícil; existen muy pocos datos actuariales disponibles. Lo que se ha recopilado hasta ahora parece ser información privada que poseen unas pocas empresas de seguros de bienes. Para estimar la frecuencia anual, recurra a sus experiencias anteriores y consulte a expertos en administración de riesgos, además de consultores de negocios y de seguridad. La frecuencia anual es similar a la probabilidad de un análisis de riesgos cualitativo y va del 0% (nunca) al 100% (siempre).

Determinación de la expectativa de pérdida anual

La expectativa de pérdida anual es la cantidad total de dinero que la organización perderá en un año si no se toman medidas para mitigar el riesgo. Para calcular este valor multiplique la expectativa de pérdida simple por la frecuencia anual. La expectativa de pérdida anual es similar al intervalo relativo de un análisis de riesgo cualitativo.

Por ejemplo, si un incendio en el conjunto de servidores Web de la misma empresa provoca daños valorados en 37.500 dólares y la probabilidad, o frecuencia anual, de que se produzca un incendio tiene un valor 0,1 (lo que indica una vez cada diez años), en este caso el valor de frecuencia anual sería 3.750 dólares (37.500 x 0,1 = 3.750).

La expectativa de pérdida anual proporciona un valor con el que la organización puede trabajar para presupuestar cuánto costará establecer controles o protecciones para prevenir este tipo de daño (en este caso, 3.750 dólares o menos al año) y brindar un nivel adecuado de protección. Es importante cuantificar la posibilidad real de un riesgo y el daño, en términos monetarios, que puede causar la amenaza para determinar la cantidad que se puede destinar en la protección contra la posible consecuencia de la amenaza.

Determinación del costo de los controles

Determinar el costo de los controles requiere estimaciones precisas de cuánto costará adquirir, probar, implementar, poner en funcionamiento y mantener cada control. Dichos costos deben incluir la compra o desarrollo de la solución de control, la implementación y configuración de la solución de control, el mantenimiento de la misma, la notificación de nuevas directivas o procedimientos relacionados con el nuevo control a los usuarios, los cursos para usuarios y personal de TI acerca de cómo utilizar y dar soporte al control, supervisarlo y combatir la pérdida de comodidad o productividad que el control pueda imponer. Por ejemplo, para reducir el riesgo de que un incendio dañe el conjunto de servidores Web, la organización ficticia puede implementar un sistema de extinción de incendios automatizado. Será necesario contratar a un contratista para que diseñe e instale el sistema y, después, se tiene que supervisar continuamente. También será necesario comprobar el sistema periódicamente y, en ocasiones, recargarlo con los retardantes químicos que utilice.

Rendimiento de la inversión en seguridad

Estime el costo de los controles mediante la siguiente ecuación:

(expectativa de pérdida anual antes del control) – (expectativa de pérdida anual después del control) – (costo anual del control) = rendimiento de la inversión en seguridad

Por ejemplo, la expectativa de pérdida anual de la amenaza de que un pirata informático inutilice un servidor Web es de 12.000 dólares y después de implementar la protección sugerida se valora en 3.000 dólares. El costo anual del mantenimiento de la protección es de 650 dólares, por lo que el rendimiento de la inversión en seguridad es de 8.350 dólares al año, tal como se expresa en la siguiente ecuación: 12.000 - 3.000 - 650 = 8.350.

Resultados de los análisis de riesgos cuantitativos

Los elementos de entrada de los análisis de riesgos cuantitativos proporcionan objetivos y resultados claramente definidos. Los siguientes elementos normalmente se derivan de los resultados de los pasos anteriores:

Valores monetarios asignados de los activos

Una lista completa de amenazas importantes

La probabilidad de que cada amenaza ocurra

El potencial de pérdida para la empresa, por amenaza, cada 12 meses

Protecciones, controles y acciones recomendados

Ha podido comprobar que todos estos cálculos se basan en estimaciones subjetivas. Las cifras clave que proporcionan los resultados no se obtienen de ecuaciones objetivas o de conjuntos de datos actuariales bien definidos sino de las opiniones de los que realizan la evaluación. El valor del activo, la expectativa de pérdida simple, la frecuencia anual y el costo de los controles son cifras que incorporan los propios participantes (normalmente después de mucho debate y compromiso).

Evaluación de riesgos cualitativa

La diferencia entre la evaluación de riesgos cualitativa y la cuantitativa estriba en que en la primera no se intentan aplicar valores financieros puros a los activos, pérdidas previstas y costo de controles. En su lugar se calculan valores relativos. El análisis de riesgos normalmente se lleva a cabo mediante la combinación de cuestionarios y talleres colaborativos que implican a personas de varios grupos de la organización, como expertos en seguridad de información, responsables y personal de tecnología de la información, responsables y usuarios de activos de negocios y directivos. Si se utilizan, los cuestionarios normalmente se distribuyen unos días, o unas semanas, antes del primer taller. Los cuestionarios están diseñados para descubrir los activos y controles que ya están implementados, y la información recopilada puede resultar muy útil durante los talleres posteriores. En los talleres, los participantes identifican los activos y estiman sus valores relativos. A continuación, intentan determinar las amenazas a las que se enfrenta cada activo y los tipos de vulnerabilidades que pueden aprovechar dichas amenazas en el futuro. Los expertos en seguridad de información y los administradores del sistema normalmente proponen controles con el fin de mitigar los riesgos para el grupo en consideración y el costo aproximado de cada control. Finalmente, los resultados se presentan a los directivos para que los tengan en cuenta durante un análisis de costo-beneficio.

Como se puede comprobar, el proceso básico de las evaluaciones cualitativas es muy similar a lo que sucede en el enfoque cuantitativo. La diferencia se encuentra en los detalles. Las comparaciones entre el valor de un activo y otro son relativas, y los participantes no dedican demasiado tiempo en intentar calcular cifras financieras exactas para la valoración de activos. Lo mismo sucede en el cálculo de las repercusiones posibles si se produce un riesgo y el costo de la implementación de controles.

Las ventajas de un enfoque cualitativo estriban en que se supera la dificultad de calcular cifras exactas para el valor de activos, costo de control, etc., y el proceso exige menos personal. Los proyectos de administración de riesgos cualitativa normalmente empiezan a arrojar resultados importantes al cabo de pocas semanas, mientras que en las organizaciones que optan por un enfoque cuantitativo se aprecian pocas ventajas durante meses, y en ocasiones años, de esfuerzos. El inconveniente de un enfoque cualitativo reside en que las cifras resultantes son vagas; algunos de los responsables de la toma de decisiones, en concreto los que disponen de experiencia en cuestiones financieras o contables, pueden no sentirse cómodos con los valores relativos determinados durante un proyecto de evaluación de riesgos cualitativa.

Comparación de los dos enfoques

Los enfoques cualitativo y cuantitativo de la administración de riesgos de seguridad tienen sus ventajas e inconvenientes. Determinadas situaciones pueden demandar que las organizaciones adopten el enfoque cuantitativo. Por el contrario, las organizaciones de pequeño tamaño o con recursos limitados normalmente encontrarán más adecuado el enfoque cualitativo. En la siguiente tabla se resumen las ventajas y los inconvenientes de cada enfoque:

Tabla 2.1: Ventajas e inconvenientes de cada enfoque de administración de riesgos

 CuantitativoCualitativo

Ventajas

– Se asignan prioridades a los riesgos según las repercusiones financieras; se asignan prioridades de los activos según los valores financieros.

– Los resultados facilitan la administración del riesgo por el rendimiento de la inversión en seguridad.

– Los resultados se pueden expresar en terminología específica de administración (por ejemplo, los valores monetarios y la probabilidad expresados como un porcentaje específico).

– La precisión tiende a ser mayor con el tiempo a medida que la organización crea un registro de historial de los datos mientras gana experiencia.

– Permite la visibilidad y la comprensión de la clasificación de riesgos.

– Resulta más fácil lograr el consenso.

– No es necesario cuantificar la frecuencia de las amenazas.

– No es necesario determinar los valores financieros de los activos.

– Resulta más fácil involucrar a personas que no sean expertas en seguridad o en informática.

Inconvenientes

– Los valores de repercusión asignados a los riesgos se basan en las opiniones subjetivas de los participantes.

– El proceso para lograr resultados creíbles y el consenso es muy lento.

– Los cálculos pueden ser complejos y lentos.

– Los resultados sólo se presentan en términos monetarios y pueden ser difíciles de interpretar por parte de personas sin conocimientos técnicos.

– El proceso requiere experiencia, por lo que los participantes no pueden recibir cursos fácilmente durante el mismo.

– No hay una distinción suficiente entre los riesgos importantes.

– Resulta difícil invertir en la implementación de controles porque no existe una base para un análisis de costo-beneficio.

– Los resultados dependen de la calidad del equipo de administración de riesgos que los hayan creado.

En el pasado, los enfoques cuantitativos parecían dominar la administración de riesgos de seguridad; sin embargo, esto ha cambiado recientemente a medida que cada vez más especialistas admiten que el seguimiento estricto de los procesos de administración de riesgos cuantitativa da lugar a proyectos difíciles y de larga duración que muestran pocas ventajas tangibles. Como se verá en los capítulos posteriores, el proceso de administración de riesgos de seguridad de Microsoft combina los mejores aspectos de ambas metodologías en un único proyecto híbrido.

Proceso de administración de riesgos de seguridad de Microsoft

El proceso de administración de riesgos de seguridad de Microsoft es un enfoque híbrido que combina los mejores elementos de los dos enfoques tradicionales. Como se verá en los capítulos siguientes, en esta guía se presenta un enfoque único de la administración de riesgos de seguridad que es considerablemente más rápido que un enfoque cuantitativo tradicional. Sin embargo, proporciona resultados que son más detallados y fácilmente justificables a los ejecutivos que un enfoque cualitativo típico. Mediante la combinación de la simplicidad y la elegancia del enfoque cualitativo con parte del rigor del enfoque cuantitativo, en esta guía se ofrece un proceso único para administrar los riesgos de seguridad que es eficaz y útil. El objetivo del proceso es que los participantes puedan comprender cada paso de la evaluación. Este enfoque, considerablemente más simple que la administración de riesgos cuantitativa tradicional, minimiza la oposición a los resultados de las fases de análisis de riesgos y de apoyo a la toma de decisiones, lo que permite que se logre el consenso más rápidamente se mantenga en todo el proceso.

El proceso de administración de riesgos de seguridad de Microsoft consta de cuatro fases. La primera, la fase de evaluación de riesgos, combina aspectos de las metodologías de evaluación de riesgos cuantitativa y cualitativa. Se utiliza un enfoque cualitativo para clasificar rápidamente toda la lista de riesgos de seguridad. A continuación, los riesgos más graves identificados durante esta clasificación se examinan más detenidamente mediante un enfoque cuantitativo. El resultado es una lista relativamente corta de los riesgos más importantes que se han examinado con detalle.

Esta lista breve se utiliza durante la siguiente fase, Apoyo a la toma de decisiones, en la que se propone las soluciones de control posibles y se evalúan las mejores, que posteriormente se presentan al comité directivo de seguridad de la organización como recomendaciones para mitigar los riesgos principales. Durante la tercera fase, Implementación de controles, los responsables de mitigación implementan realmente las soluciones de control. La cuarta fase, Medición de la efectividad del programa, se utiliza para comprobar que los controles proporcionan el nivel de protección previsto y para examinar los cambios en el entorno, como nuevas aplicaciones de negocios o herramientas de ataque que puedan cambiar el perfil de riesgo de la organización.

Debido a que el proceso de administración de riesgos de seguridad de Microsoft es continuo, el ciclo vuelve a comenzar con cada nueva evaluación de riesgos. La frecuencia con la que se repita el ciclo varía de una organización a otra; muchas consideran que una vez al año es suficiente siempre que la organización supervise proactivamente las nuevas vulnerabilidades, amenazas y activos.

Figura 2.2 Fases del proceso de administración de riesgos de seguridad de Microsoft

Figura 2.2 Fases del proceso de administración de riesgos de seguridad de Microsoft

En la figura 2.2 se ilustran las cuatro fases del proceso de administración de riesgos de seguridad de Microsoft. En el capítulo 3, "Información general acerca de la administración de riesgos de seguridad", se ofrece un examen exhaustivo del proceso. En los capítulos posteriores se explican los pasos y las tareas asociados a cada una de las cuatro fases.


**
**