Haga clic aquí para instalar Silverlight*
EspañaCambiar|Todos los sitios de Microsoft
Microsoft
|Suscripción CD/DVD|Boletín|Internacional|Suscríbase|Mapa del Web|Contacte con nosotros
Buscar


Guía de administración de riesgos de seguridad

Capítulo 3: Información general acerca de la administración de riesgos de seguridad

Publicado: 15/10/2004

Este capítulo es el primero de la presente guía donde se ofrece un resumen completo del proceso de administración de riesgos de seguridad de Microsoft. Después de esta información general, en el capítulo se tratan varios temas que ayudarán a los lectores a medida que implementen el proceso. Estos temas proporcionan una base sólida para un programa de administración de riesgos de seguridad con éxito y son:

Distinguir la administración de riesgos de la evaluación de riesgos.

Notificar el riesgo de forma eficaz.

Evaluar la madurez de sus prácticas de administración de riesgos actuales.

Definir funciones y responsabilidades.

También es importante tener en cuenta que la administración de riesgos constituye sólo una parte de un programa de gobernanza mayor para la directiva corporativa con el fin de supervisar la empresa y tomar decisiones fundadas. Aunque los programas de gobernanza varían mucho, todos ellos requieren un componente de administración de riesgos de seguridad estructurado para asignar prioridades y mitigar los riesgos de seguridad. Los conceptos del proceso de administración de riesgos de seguridad de Microsoft se pueden aplicar a cualquier programa de gobernanza para definir y administrar los riesgos con un nivel aceptable.

En esta página
Las cuatro fases del proceso de administración de riesgos de seguridad de MicrosoftLas cuatro fases del proceso de administración de riesgos de seguridad de Microsoft
ResumenResumen

Las cuatro fases del proceso de administración de riesgos de seguridad de Microsoft

En el capítulo 2, "Estudio de prácticas de administración de seguridad", se ha presentado el proceso de administración de riesgos de seguridad de Microsoft y se ha definido la administración de riesgos como un proceso continuo con cuatro fases principales:

1.

Evaluación del riesgo: identificar y asignar prioridades a los riesgos para la empresa.

2.

Apoyo a la toma de decisiones: identificar y evaluar las soluciones de control según un proceso definido de análisis de costo-beneficio.

3.

Implementación de controles: implementar y poner en funcionamiento las soluciones con el fin de reducir el riesgo para la empresa.

4.

Medición de la efectividad del programa: analizar la efectividad del proceso de administración de riesgos y comprobar que los controles proporcionan el nivel de protección previsto.

Este ciclo de administración de riesgos en cuatro fases resume el proceso de administración de riesgos de seguridad de Microsoft y también se utiliza para organizar el contenido de esta guía.

Antes de definir las prácticas específicas del proceso de administración de riesgos de seguridad de Microsoft, es importante comprender el proceso de administración de riesgos global y sus componentes. Cada fase del ciclo consta de varios pasos detallados. En la siguiente lista se describen los pasos para que comprenda la importancia de cada uno en la guía como un conjunto:

Fase de evaluación de riesgos

Planear la recopilación de datos: descripción de las claves para el éxito y orientación de preparación.

Recopilar datos de riesgos: descripción del proceso de recopilación y análisis de datos.

Asignar prioridades a riesgos: descripción de los pasos normativos para calificar y cuantificar los riesgos.

Fase de apoyo a la toma de decisiones

Definir los requisitos funcionales: definición de los requisitos funcionales para mitigar los riesgos.

Seleccionar las soluciones de control posibles: descripción del enfoque para identificar las soluciones de mitigación.

Revisar la solución: evaluación de los controles propuestos según los requisitos funcionales.

Estimar la reducción del riesgo: intento de comprender la exposición o probabilidad reducida de riesgos.

Estimar el costo de la solución: evaluación de los costos directos e indirectos asociados a las soluciones de mitigación.

Seleccionar la estrategia de mitigación: realización del análisis de costo-beneficio para identificar la solución de mitigación más asequible.

Fase de implementación de controles

Buscar un enfoque holístico: incorporación de personas, procesos y tecnología en la solución de mitigación.

Organizar por defensa en profundidad: organización de las soluciones de mitigación en la empresa.

Fase de medición de la efectividad del programa

Desarrollar el cálculo de riesgos: comprensión de la posición de riesgo y el progreso.

Medir la efectividad del programa: evaluación del programa de administración de riesgos para determinar los aspectos que se deben mejorar.

En la siguiente figura se ilustra cada fase y los pasos asociados.

Figura 3.1 Proceso de administración de riesgos de seguridad de Microsoft

Figura 3.1 Proceso de administración de riesgos de seguridad de Microsoft
Ver imagen a tamaño completo

En los capítulos posteriores de esta guía se describe, por orden, cada fase del proceso de administración de riesgos de seguridad de Microsoft. No obstante, hay una serie de cuestiones preliminares que se deben tener en cuenta antes de comenzar la ejecución de este proceso.

Nivel de esfuerzo

Si su organización tiene poca experiencia en la administración de riesgos, puede resultar útil conocer los pasos del proceso de Microsoft que requieren más esfuerzo por parte del equipo de administración de riesgos de seguridad. En la siguiente figura, basada en las actividades de administración realizadas en el departamento de TI de Microsoft, se muestran los grados relativos de esfuerzo a lo largo del proceso. Esta perspectiva puede resultar útil al describir el proceso global y el compromiso de tiempo para las organizaciones que no tienen experiencia en la administración de riesgos. Los niveles relativos de esfuerzo también pueden resultar útiles como orientación para evitar dedicar demasiado tiempo a un punto del proceso global. Para resumir el nivel de esfuerzo a lo largo del proceso, en la figura se muestra un nivel moderado de esfuerzo para recopilar datos, un nivel menor para el análisis de resumen seguido de niveles altos de esfuerzo para elaborar listas detalladas de riesgos y llevar a cabo el proceso de apoyo a la toma de decisiones. Para obtener una vista adicional de las tareas y el esfuerzo asociado, consulte el programa de proyecto de ejemplo de la carpeta de herramientas, GARSHerramienta4-Programa de proyecto de ejemplo.xls. En el resto de los capítulos de esta guía se describen cada uno de los pasos mostrados a continuación.

Figura 3.2 Nivel relativo de esfuerzo durante el proceso de administración de riesgos de seguridad de Microsoft

Figura 3.2 Nivel relativo de esfuerzo durante el proceso de administración de riesgos de seguridad de Microsoft
Ver imagen a tamaño completo

Bases del proceso de administración de riesgos de seguridad de Microsoft

Antes de comenzar la administración de riesgos de seguridad, es importante disponer de conocimientos sólidos de las bases, requisitos previos y tareas del proceso de administración de riesgos de seguridad de Microsoft, que son:

Distinción entre la administración de riesgos y la evaluación de riesgos.

Notificación clara del riesgo.

Determinación de la madurez de administración de riesgos de la organización.

Definición de las funciones y responsabilidades del proceso.

Administración de riesgos y evaluación de riesgos

Tal como se ha indicado en el capítulo 2, los términos administración de riesgos y evaluación de riesgos no se pueden utilizar indistintamente. El proceso de administración de riesgos de seguridad de Microsoft define la administración de riesgos como el proceso global para administrar el riesgo hasta alcanzar un nivel aceptable en la empresa. La evaluación de riesgos se define como el proceso de identificar y asignar prioridades a los riesgos para la empresa. Según se describe en el diagrama anterior, la administración de riesgos se compone de cuatro fases principales: evaluación de riesgos, apoyo a la toma de decisiones, implementación de controles y medición de la efectividad del programa. La evaluación de riesgos, en el contexto del proceso de administración de riesgos de seguridad de Microsoft, sólo hace referencia a la fase de evaluación de riesgos en el ciclo de administración de riesgos global.

Otra diferencia entre la administración de riesgos y la evaluación de riesgos la constituye la frecuencia del inicio de cada proceso. La administración de riesgos se define como un ciclo definido, pero normalmente se vuelve a iniciar a intervalos periódicos para actualizar los datos de cada etapa del proceso de administración. El proceso de administración de riesgos habitualmente corresponde al ciclo contable fiscal de una organización para alinear las solicitudes presupuestarias de los controles con los procesos de negocios normales. Un intervalo anual resulta muy habitual en el proceso de administración de riesgos para alinear las nuevas soluciones de control con los ciclos presupuestarios anuales.

Aunque la evaluación de riesgos es una fase necesaria y discreta del proceso de administración de riesgos, el grupo de seguridad de información puede llevar a cabo varias evaluaciones de riesgos independientes de la fase de administración de riesgos o ciclo presupuestario actual. El grupo de seguridad de información puede iniciarlas en cualquier momento si se produce un cambio posiblemente relacionado con la seguridad en la empresa, como la introducción de nuevas prácticas de negocios, o si se han detectado nuevas vulnerabilidades o cambios en la infraestructura. Estas evaluaciones frecuentes se suelen denominar evaluaciones de riesgos ad hoc o evaluaciones de riesgos de ámbito limitado y se deben considerar complementarias al proceso de administración de riesgos formal. Las evaluaciones ad hoc normalmente se centran en un área de riesgo en la empresa y no requieren la misma cantidad de recursos que el proceso de administración de riesgos en su totalidad. En el apéndice A, "Evaluaciones ad hoc", se describe este tipo de evaluaciones y se ofrece una plantilla de ejemplo de una evaluación de riesgos ad hoc.

Tabla 3.1: Administración de riesgos y evaluación de riesgos

 Administración de riesgosEvaluación de riesgos

Objetivo

Administrar los riesgos en la empresa para lograr un nivel aceptable

Identificar los riesgos y asignarles prioridades

Ciclo

Programa global a lo largo de las cuatro fases

Fase única del programa de administración de riesgos

Programa

Continuo

Según se necesite

Alineación

Alineado con los ciclos presupuestarios

N/A

Notificación del riesgo

Las distintas personas involucradas en el proceso de administración de riesgos suelen definir el término riesgo de un modo diferente. Para garantizar la coherencia en todas las etapas del ciclo de administración de riesgos, el proceso de administración de riesgos de seguridad de Microsoft requiere que todos los participantes comprendan y acepten una única definición del término riesgo. Tal como se ha definido en el capítulo 1, "Introducción a la Guía de administración de riesgos de seguridad", riesgo es la probabilidad de que se produzca un ataque a la empresa. Esta definición requiere la inclusión de una declaración de repercusiones y una predicción de cuándo se puede producir la repercusión, es decir, la probabilidad de repercusiones. Cuando ambos elementos de riesgo (probabilidad y ataque) están incluidos en una declaración de riesgo, en el proceso se denomina declaración de riesgo bien elaborada. Utilice el término para garantizar una comprensión coherente de la naturaleza compuesta del riesgo. En el siguiente diagrama se describe el riesgo en su nivel más básico.

Figura 3.3 Declaración de riesgo bien elaborada

Figura 3.3 Declaración de riesgo bien elaborada
Ver imagen a tamaño completo

Resulta importante que todos los implicados en el proceso de administración de riesgos comprendan la complejidad de cada elemento de la definición de riesgo. Sólo un conocimiento exhaustivo del riesgo permitirá a la empresa poder emprender una acción específica al afrontarlo. Por ejemplo, al definir las repercusiones en la empresa se necesita información acerca del activo afectado, el tipo de daño que se puede producir y el alcance del daño en el activo. A continuación, para determinar la probabilidad de que se produzca el ataque, se debe comprender el modo en que se puede producir cada ataque y la manera en que el entorno de controles actual reducirá la probabilidad del riesgo.

Según los términos definidos en el capítulo 1, "Introducción a la Guía de administración de riesgos de seguridad", la siguiente declaración de riesgo proporciona orientación al demostrar los elementos de repercusión y la probabilidad de repercusión:

Riesgo es la probabilidad de que se aproveche una vulnerabilidad en el entorno actual, provocando un nivel de pérdida de confidencialidad, integridad o disponibilidad de un activo.

El proceso de administración de riesgos de seguridad de Microsoft proporciona las herramientas para comunicar y medir de forma coherente la probabilidad y el nivel de pérdida de cada riesgo. En los capítulos de esta guía se recorre el proceso para establecer cada componente de la declaración de riesgo bien elaborada para identificar y asignar prioridades a los riesgos en la empresa. El siguiente diagrama se basa en la declaración de riesgo básica descrita anteriormente para mostrar las relaciones de cada elemento de riesgo.

Figura 3.4 Componentes de la declaración de riesgo bien elaborada

Figura 3.4 Componentes de la declaración de riesgo bien elaborada
Ver imagen a tamaño completo

Para facilitar la notificación del alcance del ataque y el nivel de probabilidad en la declaración de riesgo, el proceso de administración de riesgos de seguridad de Microsoft comienza la asignación de prioridades mediante el uso de términos relativos como alto, moderado y bajo. Aunque esta terminología básica simplifica la selección de los niveles de riesgo, no proporciona detalles suficientes cuando se lleva a cabo un análisis de costo-beneficio para seleccionar la opción de mitigación más eficaz. Para solventar este punto débil del enfoque cualitativo básico, el proceso ofrece herramientas para generar una comparación de riesgos de nivel detallado. El proceso también incorpora atributos cuantitativos para contribuir al análisis de costo-beneficio con el fin de seleccionar controles.

Un error habitual de las disciplinas de administración de riesgos consiste en que normalmente no tienen en cuenta las definiciones cualitativas como riesgos altos, moderados o bajos para la empresa. En el programa de administración de riesgos de seguridad se identificarán numerosos riesgos. Aunque el proceso de administración de riesgos de seguridad de Microsoft proporciona orientación para aplicar de forma coherente las estimaciones de riesgos cualitativos y cuantificables, corresponde al equipo de administración de riesgos de seguridad definir el significado de cada valor en términos de negocio específicos. Por ejemplo, un riesgo alto para la empresa puede significar una vulnerabilidad que se produzca en un año, lo que conlleva la pérdida de integridad de la propiedad intelectual más importante de la organización. El equipo de administración de riesgos de seguridad debe asignar las definiciones de cada elemento de la declaración de riesgo bien elaborada. En el siguiente capítulo se ofrece orientación normativa acerca de la definición de los niveles de riesgo. Debe servirle de ayuda para definir los niveles de riesgo para su empresa. El proceso simplemente facilita la tarea, contribuyendo a lograr coherencia y visibilidad en todo el proceso.  

Determinación de la madurez de administración de riesgos de la organización

Antes de que una organización intente implementar el proceso de administración de riesgos de seguridad de Microsoft, es importante que examine su nivel de madurez en lo que se refiere a la administración de riesgos de seguridad. Para una organización que no disponga de directivas o procesos formales para la administración de riesgos será excesivamente difícil poner en práctica todos los aspectos del proceso a la vez. Incluso para las organizaciones con directivas y directrices formales que siguen la mayoría de los empleados, el proceso puede ser un poco abrumador. Por estos motivos, es importante que realice una estimación del nivel de madurez de su organización. Si considera que su organización todavía es relativamente inmadura, puede introducir el proceso en etapas incrementales durante varios meses, tal vez mediante pruebas piloto en una sola unidad de negocios hasta que el ciclo se haya realizado varias veces. Después de demostrar la eficacia del proceso de administración de riesgos de seguridad de Microsoft mediante este programa piloto, el equipo de administración de riesgos de seguridad podría introducirlo lentamente en otras unidades de negocios hasta que toda la organización lo utilizase.

¿Cómo determinar el nivel de madurez de su organización? Como parte de CobiT (Control Objectives for Information and Related Technology, Objetivos de control para la información y tecnología relacionada), el instituto IT Governance Institute (ITGI) incorpora un modelo de madurez de gobernanza de TI. Puede adquirir y consultar CobiT para obtener un método detallado con el fin de determinar el nivel de madurez de su organización. El proceso de administración de riesgos de seguridad de Microsoft resume los elementos empleados en CobiT y presenta un enfoque simplificado que se basa en modelos desarrollados también por Microsoft Services. Las definiciones de nivel de madurez presentadas aquí se basan en Information technologyCode of practice for information security management, también denominado ISO 17799, de la organización International Standards Organization (ISO).

Puede estimar el nivel de madurez de su organización si lo compara con las definiciones presentadas en la siguiente tabla.

Tabla 3.2: Niveles de madurez de la administración de riesgos de seguridad

NivelEstadoDefinición

0

No existe

La directiva (o el proceso) no está documentada y la organización, anteriormente, no ha tomado conciencia del riesgo de negocios asociado a esta administración de riesgos. Por lo tanto, no ha habido comunicados al respecto.

1

Ad hoc

Es evidente que algunos miembros de la organización han llegado a la conclusión de que la administración de riesgos tiene valor. No obstante, los esfuerzos de administración de riesgos se han llevado a cabo de un modo ad hoc. No hay directivas o procesos documentados y el proceso no se puede repetir por completo. En general, los proyectos de administración de riesgos parecen caóticos y sin coordinación; los resultados no se han medido ni auditado.

2

Repetible

Hay una toma de conciencia de la administración de riesgos en la organización. El proceso de administración de riesgos es repetible aunque inmaduro. El proceso no está totalmente documentado; no obstante, las actividades se realizan periódicamente y la organización está trabajando en establecer un proceso de administración de riesgos exhaustivo con la participación de los directivos. No hay cursos formales ni comunicados acerca de la administración de riesgos; la responsabilidad de la implementación está en manos de empleados individuales.

3

Proceso definido

La organización ha tomado una decisión formal de adoptar la administración de riesgos incondicionalmente con el fin de llevar a cabo su programa de seguridad de información. Se ha desarrollado un proceso de línea de base en el que se han definido los objetivos de forma clara con procesos documentados para lograr y medir el éxito. Además, todo el personal dispone de algunos cursos de administración de riesgos rudimentaria. Finalmente, la organización está implementando de forma activa sus procesos de administración de riesgos documentados.

4

Administrado

Hay un conocimiento extendido de la administración de riesgos en todos los niveles de la organización. Los procedimientos de administración de riesgos existen, el proceso está bien definido, la comunicación de la toma de conciencia es muy amplia, hay disponibles cursos rigurosos y se han implementado algunas formas iniciales de medición para determinar la efectividad. Se han dedicado recursos suficientes al programa de administración de riesgos, muchas partes de la organización disfrutan de sus ventajas y el equipo de administración de riesgos de seguridad puede mejorar continuamente sus procesos y herramientas. Se utilizan herramientas de tecnología como ayuda para la administración de riesgos, pero la mayoría de los procedimientos, si no todos, de evaluación de riesgos, identificación de controles y análisis de costo-beneficios son manuales.

5

Optimizado

La organización ha dedicado recursos importantes a la administración de riesgos de seguridad y los miembros del personal miran al futuro intentando determinar los problemas y soluciones que habrá en los meses y años venideros. El proceso de administración de riesgos se ha comprendido bien y se ha automatizado considerablemente mediante el uso de herramientas (desarrolladas internamente o adquiridas a proveedores de software independientes). La causa principal de todos los problemas de seguridad se ha identificado y se han adoptado medidas adecuadas para minimizar el riesgo de repetición. El personal dispone de cursos en distintos niveles de experiencia.

Autoevaluación del nivel de madurez de la administración de riesgos organizativos

En la siguiente lista de preguntas se ofrece una forma más rigurosa de medir el nivel de madurez organizativa. Las preguntas conllevan respuestas subjetivas, pero si se considera sinceramente cada una de ellas se puede determinar el nivel de preparación de la organización para la implementación del proceso de administración de riesgos de seguridad de Microsoft. Puntúe su organización en una escala de 0 a 5, guiándose por las definiciones de nivel de madurez anteriores.

1.

Las directivas y procedimientos de seguridad son claros, concisos, completos y están bien documentados.

2.

Todos los cargos con responsabilidades que impliquen seguridad de información están articulados de forma clara y sus funciones y responsabilidades se conocen bien.

3.

Las directivas y procedimientos para proteger el acceso de terceros a los datos de negocios están bien documentados. Por ejemplo, los proveedores remotos que llevan a cabo el desarrollo de aplicaciones para una herramienta de negocios interna disponen de suficiente acceso a los recursos de red para colaborar y realizar su trabajo de una forma eficaz, pero sólo tiene el acceso mínimo que necesitan.

4.

Existe un inventario preciso y actualizado de los activos de tecnología de información (TI), como hardware, software y repositorios de datos.

5.

Se han implementado controles adecuados para proteger los datos de negocios frente al acceso no autorizado por parte de intrusos o de personas de la organización.

6.

Se han implementado programas de toma de conciencia de usuario eficaces, como cursos y boletines relativos a directivas y prácticas de seguridad de información.

7.

El acceso físico a la red de equipos y otros activos de tecnología de información está restringido mediante el uso de controles eficaces.

8.

Se han incorporado nuevos sistemas informáticos según los estándares de seguridad organizativa de un modo estandarizado mediante herramientas automatizadas como imágenes de disco o secuencias de comandos de creación.

9.

Un sistema de administración de revisiones eficaz puede ofrecer automáticamente actualizaciones de software de gran parte de los proveedores a la inmensa mayoría de sistemas informáticos de la organización.

10.

Se ha creado un equipo de respuesta a incidencias y se han desarrollado y documentado procesos eficaces para afrontar las incidencias de seguridad y realizar el seguimiento de las mismas. Todas las incidencias se investigan hasta que se identifica la causa principal y se resuelven los problemas.

11.

La organización dispone de un exhaustivo programa antivirus que incluye varios niveles de defensa, cursos de toma de conciencia para los usuarios y procesos eficaces para responder a los ataques de los virus.

12.

Los procesos de creación de usuarios están bien documentados y, como mínimo, parcialmente automatizados para que a los nuevos empleados, proveedores y socios se les pueda proporcionar un nivel de acceso adecuado a los sistemas de información de la organización de un modo oportuno. Estos procesos también deben admitir la deshabilitación y eliminación puntuales de las cuentas de usuario que ya no se necesiten.

13.

El acceso a los equipos y la red se controla mediante autenticación y autorización de usuarios, listas de control de acceso restrictivo a los datos y supervisión proactiva de las infracciones a las directivas.

14.

Los desarrolladores de aplicaciones disponen de cursos y una toma de conciencia clara de los estándares de seguridad para la creación de software y las pruebas de control de calidad del código.

15.

La continuidad de negocios y los programas de continuidad de negocios están definidos de forma clara, bien documentados y se han probado periódicamente mediante simulaciones y pruebas.

16.

Se han iniciado programas y están en vigor para garantizar que todo el personal desempeña sus tareas conforme a los requisitos legales.

17.

Se utilizan periódicamente revisiones y auditorías de terceros para garantizar el cumplimiento con las prácticas estándar para activos de negocios de seguridad.

Calcule la puntuación de su organización sumando los puntos de todos los elementos anteriores. En teoría, las puntuaciones van de 0 a 85; no obstante, muy pocas organizaciones se aproximan a un extremo o a otro.

Una puntuación de 51 o superior sugiere que la organización está bien preparada para introducir y utilizar el proceso de administración de riesgos de seguridad de Microsoft en todo su alcance. Una puntuación de 34 a 50 indica que la organización ha adoptado muchas medidas importantes para controlar los riesgos de seguridad y está preparada para introducir el proceso gradualmente. Las organizaciones que se encuentren en este intervalo deben considerar la posibilidad de implementar el proceso en unas pocas unidades de negocios durante unos cuantos meses antes de exponer toda la organización al proceso. Las organizaciones con una puntuación inferior a 34 deben considerar la posibilidad de iniciar muy lentamente el proceso de administración de riesgos de seguridad de Microsoft mediante la creación del equipo de administración de riesgos de seguridad básico y la aplicación del proceso a una sola unidad de negocios durante los primeros meses. Después de que dichas organizaciones comprueben el valor del proceso mediante su uso para reducir riesgos satisfactoriamente para dicha unidad de negocios, deben ampliarlo a dos o tres unidades adicionales según sea posible. Aunque el avance debe ser lento, ya que los cambios que introduce el proceso pueden ser importantes. No es recomendable alterar la organización de un modo tal que se interfiera en su capacidad de alcanzar de forma eficaz sus objetivos. Aplique su criterio en este sentido (cada sistema que queda sin proteger es un riesgo de seguridad y responsabilidad potencial) y su conocimiento de sus sistemas es la mejor herramienta que puede utilizar en este sentido. Si considera que es urgente avanzar rápidamente y no tener en cuenta la sugerencia de hacerlo lentamente, hágalo.

Debe considerar detenidamente las unidades de negocios que se utilizarán en los programas piloto. Las preguntas que debe tener en cuenta se relacionan con la importancia que representa la seguridad para dicha unidad de negocios, donde la seguridad está definida en términos de disponibilidad, integridad y confidencialidad de información y servicios. Algunos ejemplos son:

¿El nivel de madurez de administración de riesgos de seguridad de dicha unidad de negocios está por encima de la media en comparación con la organización?

¿El responsable de la unidad de negocios ofrecerá apoyo activo al programa?

¿Dispone la unidad de negocios de un alto nivel de visibilidad dentro de la empresa?

¿Se notificará el valor del programa piloto del proceso de administración de riesgos de seguridad de Microsoft al resto de la organización si tiene éxito?

Debe tener en cuenta las mismas preguntas al seleccionar las unidades de negocios para ampliar el programa.

Nota: el instituto National Institute for Standards and Technology (NIST) de EE.UU. proporciona otro ejemplo de autoevaluación de TI que puede resultar útil para determinar el nivel de madurez; consulte http://csrc.nist.gov/, publicación especial 800-26.

Definición de funciones y responsabilidades

El establecimiento de funciones y responsabilidades claras es un factor de éxito fundamental para cualquier programa de administración de riesgos debido al requisito de interacción entre grupos y de responsabilidades separadas. En la siguiente tabla se describen las funciones y responsabilidades principales empleadas en el proceso de administración de riesgos de seguridad de Microsoft:

Tabla 3.3: Funciones y responsabilidades principales del proceso de administración de riesgos de seguridad de Microsoft

TítuloResponsabilidad principal

Patrocinador ejecutivo

Patrocina todas las actividades asociadas a la administración de riesgos para la empresa; por ejemplo, desarrollo, asignación de fondos, autoridad y apoyo al equipo de administración de riesgos de seguridad. Esta función normalmente la lleva a cabo un ejecutivo, como responsables de la seguridad o responsables de la información. Esta función también sirve de último punto de traspaso para definir el riesgo aceptable para la empresa.

Responsable de negocios

Se encarga de los activos tangibles e intangibles de la empresa. Los responsables de negocios también se encargan de la asignación de prioridades a los activos de negocios y de la definición de los niveles de repercusión en los activos. Los responsables de negocios normalmente se encargan de la definición de los niveles de riesgo; no obstante, el patrocinador ejecutivo toma la decisión final de incorporar comentarios del grupo de seguridad de información.

Grupo de seguridad de información

Se encarga del proceso de administración de riesgos global, incluidas las fases de evaluación de riesgos y de medición de la efectividad del programa. También define los requisitos de seguridad funcionales y mide los controles de TI y la efectividad global del programa de administración de riesgos de seguridad.

Grupo de tecnología de la información

Incluye arquitectura, ingeniería y operaciones de TI.

Equipo de administración de riesgos de seguridad

Es responsable de dirigir el programa de administración de riesgos global. También es responsable de la fase de evaluación de riesgos y de asignar prioridades a los riesgos para la empresa. Como mínimo, el equipo consta de un responsable de evaluación y de un responsable de registro.

Responsable de evaluación de riesgos

Como función principal del equipo de administración de riesgos de seguridad, dirige los debates de recopilación de datos. Esta función también puede dirigir todo el proceso de administración de riesgos.

Responsable de registro de evaluación de riesgos

Registra la información de riesgos detallada durante los debates de recopilación de datos.

Responsables de mitigación

Se encargan de implementar y sustentar las soluciones de control para administrar el riesgo con un nivel aceptable. Incluye al grupo de TI y, en algunos casos, a los responsables de negocios.

Comité directivo de seguridad

Consta del equipo de administración de riesgos de seguridad, representantes del grupo de TI y responsables de negocios específicos. El patrocinador ejecutivo normalmente dirige este comité. Es responsable de seleccionar las estrategias de mitigación y de definir el riesgo aceptable para la empresa.

Participante

Término general que hace referencia a los participantes directos e indirectos en un determinado proceso o programa; se utiliza en todo el proceso de administración de riesgos de seguridad de Microsoft. Los participantes también pueden ser grupos ajenos a TI, por ejemplo, finanzas, relaciones públicas y recursos humanos.

El equipo de administración de riesgos de seguridad encontrará participantes que intervengan por primera vez en el proceso de administración de riesgos que no comprendan por completo sus funciones. Aproveche siempre la oportunidad para proporcionar un resumen del proceso y de sus participantes. El objetivo es lograr el consenso y destacar el hecho de que cada participante tiene su responsabilidad en la administración de riesgos. El siguiente diagrama, donde se resumen los participantes clave y se muestran sus relaciones de alto nivel, puede resultar útil para comunicar las funciones y responsabilidades definidas anteriores y debe ofrecer un resumen del proceso de administración de riesgos.

Para resumir, el patrocinador ejecutivo es el último responsable de definir el riesgo aceptable y proporciona orientación al equipo de administración de riesgos de seguridad en cuanto a la clasificación de riesgos para la empresa. El equipo de administración de riesgos de seguridad es responsable de evaluar el riesgo y de definir los requisitos funcionales para mitigar el riesgo a un nivel aceptable. Posteriormente, el equipo de administración de riesgos de seguridad colabora con los grupos de TI que se encargan de la selección, la implementación y las operaciones de mitigación. La relación final definida a continuación es el control del equipo de administración de riesgos de seguridad de la medición de la efectividad del control. Normalmente se realiza mediante informes de auditoría, que también se notifican al patrocinador ejecutivo.

Figura 3.5 Resumen de las funciones y responsabilidades empleadas en el proceso de administración de riesgos de seguridad de Microsoft

Figura 3.5 Resumen de las funciones y responsabilidades empleadas en el proceso de administración de riesgos de seguridad de Microsoft
Ver imagen a tamaño completo

Creación del equipo de administración de riesgos de seguridad

Antes de iniciar el proceso de evaluación de riesgos, no pase por alto la necesidad de definir de forma clara las funciones en el equipo de administración de riesgos de seguridad. Debido a que el ámbito de la administración de riesgos incluye a toda la empresa, personas que no sean del grupo de seguridad de información pueden solicitar formar parte del equipo. En este caso, describa funciones claras para cada miembro y alinéelas con las funciones y responsabilidades definidas en el programa de administración de riesgos global. Si se dedica tiempo en la definición de funciones al principio, se reduce la confusión y contribuye a la toma de decisiones durante el proceso. Todos los miembros del equipo deben comprender que el grupo de seguridad de información se encarga del proceso global. Es importante definir la responsabilidad porque el grupo de información de seguridad es el único que es un participante clave en todas las etapas del proceso, incluida la elaboración de informes ejecutivos.

Funciones y responsabilidades del equipo de administración de riesgos de seguridad

Después de establecer el equipo de administración de riesgos de seguridad, es importante crear funciones específicos y mantenerlas a lo largo de todo el proceso. Las funciones principales del responsable de evaluación de riesgos y del responsable de registro de evaluación de riesgos se describen a continuación.

El responsable de evaluación de riesgos debe disponer de amplios conocimientos de todo el proceso de administración de riesgos y de la empresa, así como de los riesgos de seguridad técnicos que subyacen en las funciones de negocios. Debe poder traducir los escenarios de negocios en riesgos técnicos mientras se llevan a cabo los debates acerca de los riesgos. Como ejemplo, el responsable de evaluación de riesgos tiene que conocer las amenazas técnicas y las vulnerabilidades de los empleados móviles, así como el valor de negocio de dichos empleados. Por ejemplo, los pagos de cliente no se procesarán si un empleado móvil no puede tener acceso a la red corporativa. El responsable de evaluación de riesgos debe comprender escenarios de este tipo y poder identificar los riesgos técnicos y los posibles requisitos de control, como los de configuración y autenticación de dispositivos móviles. Si es posible, seleccione a un responsable de evaluación de riesgos que haya llevado a cabo evaluaciones de riesgos con anterioridad y que comprenda las prioridades globales de la empresa.

Si no se puede disponer de un responsable con experiencia en evaluación de riesgos, solicite la ayuda de un socio o consultor cualificado. No obstante, asegúrese de incluir un miembro del grupo de seguridad de información que conozca la empresa y a los participantes implicados.

Nota: la subcontratación de la función de responsable de evaluación de riesgos puede ser atractiva, pero tenga en cuenta que se perderán los conocimientos de las relaciones de los participantes, de la empresa y de la seguridad cuando se marchen los consultores. No infravalore el valor que un proceso de administración de riesgos aporta a los participantes así como al grupo de seguridad de información.

El responsable de registro de evaluación de riesgos es el encargado de tomar notas y documentar las actividades de planeamiento y recopilación de datos. Esta responsabilidad puede parecer demasiado informal para la definición de funciones en esta etapa; no obstante, la habilidad para tomar notas repercute en los procesos de asignación de prioridades y de apoyo a la toma de decisiones más adelante en el proceso. Uno de los aspectos más importantes de la administración de riesgos es comunicarlos de modo que los participantes los entiendan y puedan aplicarlos a sus actividades de negocios. Un responsable de registro eficaz facilita este proceso ya que proporciona documentación por escrito cuando es necesario.

Resumen

En los capítulos 1 a 3 se proporciona información general acerca de la administración de riesgos y se definen los objetivos y el enfoque para comenzar a sentar las bases para una implementación satisfactoria del proceso de administración de riesgos de seguridad de Microsoft. En el siguiente capítulo se trata en detalle la primera fase, la evaluación del riesgo. En los capítulos posteriores se trata cada una de las fases del proceso de administración de riesgos: apoyo a la toma de decisiones, implementación de controles y medición de la efectividad del programa.


**
**

©2017 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad
Microsoft